10 April 2018

Verschärfung des Datenschutzgesetzes – endgültige Fassung und parlamentarische Beratung

In unserem Newsletter vom Juni 2017 berichteten wir über die Auswirkungen des Vorentwurfs der Revision des Datenschutzgesetzes (DSG) auf die Arbeitgeber und Pensionskassen.

Seitdem sind die gesetzgeberischen Arbeiten fortgeschritten und in der Phase der parlamentarischen Beratung angelangt.

Änderungen gegenüber dem Vorentwurf

In seiner endgültigen Fassung hat der Bundesrat zahlreiche Artikel überarbeitet, um die Stellungnahmen während der Vernehmlassung mit zu berücksichtigen. Im Folgenden erläutern wir die drei Änderungen mit den unserer Auffassung nach grössten Auswirkungen für Arbeitgeber und Pensionskassen.

 

Pflicht zur Führung eines Registers der Bearbeitungstätigkeiten

Die allgemeine Pflicht, alle Datenbearbeitungsprozesse zu dokumentieren, wurde von den Teilnehmern der Vernehmlassung als zu unklar empfunden. Der Bundesrat ersetzte sie durch die Pflicht zur Führung eines Registers der Bearbeitungstätigkeiten, wie sie auch in der EU-Verordnung[1] besteht. Darüber hinaus erhob er die Registerführung zu einem allgemeinen Datenschutzgrundsatz, was von der Bedeutung zeugt, die ihr beizumessen ist. Ziel dieses Registers ist es nämlich, nachweisen zu können, dass alle Bearbeitungstätigkeiten dem Datenschutz entsprechen.

Derzeit besteht keine Pflicht, ein Register der Bearbeitungstätigkeiten zu führen.

Konkret entspricht ein solches Register der genauen Beschreibung aller in einem Unternehmen oder einer Stiftung erfolgten Datenbearbeitungen. Als Datenbearbeitung gilt jede Verarbeitung personenbezogener Daten unabhängig von den verwendeten Instrumenten und Verfahren, und dabei insbesondere:

- Datenerhebung
- Erfassung
- Speicherung
- Nutzung
- Änderung
- Übermittlung
- Archivierung
- Löschung
- Datenvernichtung

Das Register muss insbesondere den Zweck der Bearbeitung, die Kategorien der betroffenen Personen und der bearbeiteten Daten, die Speicherdauer, die Massnahmen zur Gewährleistung der Datensicherheit, Übermittlung ins Ausland usw. umfassen. Um sich eine Vorstellung von der Form zu machen, die ein solches Register haben könnte, empfehlen wir, die Internetseite der französischen Datenschutzbehörde (CNIL) zu konsultieren.

Es ist jedoch hervorzuheben, dass der Bundesrat bei Unternehmen mit weniger als 50 Mitarbeitenden Ausnahmen gewähren kann.

Es ist offen, ob die Behörden Registermodelle oder Anleitungen bereitstellen werden, wie es in Europa oder bei Fachverbänden der Fall ist. Sobald nämlich die Verarbeitung durch die Pensionskassen und die Aktivitäten der Unternehmen in Bezug auf ihre Mitarbeitenden auf den gesetzlichen Rahmen beschränkt sind, müsste eine umfassende Standardisierung möglich sein.

 

Informationspflicht bei der Datenerhebung

Der Vorentwurf sah bei jeder Erhebung personenbezogener Daten eine Informationspflicht gegenüber den Mitarbeitenden und den Versicherten vor. Der Entwurf wurde in dieser Hinsicht erheblich aufgeweicht, da jetzt eine Ausnahme bei der gesetzlich vorgesehenen Bearbeitung personenbezogener Daten vorgesehen ist[2].

Da die Pensionskassen[3] nur im gesetzlichen Rahmen Daten erheben dürfen, bedeutet das, dass sie keiner Informationspflicht unterliegen.

Die Informationspflicht der Arbeitgeber wiederum ist auf die Daten beschränkt, die trotz fehlender gesetzlicher Erfordernis erhoben werden. Zu den gesetzlich geforderten Verarbeitungen zählen etwa solche im Zusammenhang mit den Lohndaten der Mitarbeitenden (der Arbeitgeber ist gemäss Art. 957 OR zur Buchführung und Rechnungslegung verpflichtet), solche im Zusammenhang mit Vorteilen, die die Mitarbeiter erhielten (diese Vorteile müssen gemäss Art. 45 StHG in der Steuerbescheinigung aufgeführt sein) oder auch solche, die der AHV oder der IV (gemäss Art. 50a AHVG oder Art. 66 und 66a IVG) mitgeteilt werden.

Niedrigere Strafen

Die endgültige Fassung sieht vor, dass der Höchstbetrag der Strafen auf CHF 250‘000 anstatt der ursprünglich vorgesehenen CHF 500‘000 festgesetzt wird.

Es ist hervorzuheben, dass im Gegensatz zum EU-Recht Strafen von mehr als CHF 50‘000 stets auf die physischen Personen angewandt werden, die gegen die Rechtsvorschriften verstossen, und nicht auf das Unternehmen oder die Stiftung[1].

 

Weitere Revisionsschritte

Die staatspolitische Kommission des Nationalrats (SPK-N) hat eine Aufspaltung der Revision in zwei Etappen beschlossen. Im ersten Schritt wird europäisches Recht bezüglich der Datenverarbeitung im Strafrechtsbereich umgesetzt[2], die entsprechenden Vorschriften sollen spätestens im August 2018 entsprechend den internationalen Verpflichtungen der Schweiz (Schengen-Besitzstand) in Kraft treten.

Die SPK-N machte keine Angaben dazu, wann sie die zweite Etappe angehen will. Es ist damit zu rechnen, dass das Inkrafttreten des neuen DSG auf 2019 verschoben wird.

Zudem sieht der Gesetzesentwurf eine Übergangsfrist von zwei Jahren vor, bevor die für die Bearbeitung Verantwortlichen beginnen müssen, ihren neuen Pflichten nachzukommen.

 

Vereinbarkeit mit dem EU-Recht

Im Bereich Datenschutz gilt die Schweiz für die EU als Drittstaat. Bereits im Jahr 2000 stellte die Europäische Kommission fest, dass die Schweiz über einen angemessenen Datenschutz verfügt[3].

Der Entwurf zur Revision des Datenschutzgesetzes soll insbesondere sicherstellen, dass die Schweiz weiterhin in der Liste der Drittstaaten verzeichnet ist, für die eine Angemessenheitsentscheidung der Europäischen Kommission gilt[4].

 

Trianon verfolgt aufmerksam diese Gesamtrevision des Datenschutzgesetzes, um Ihnen zu gewährleisten, dass die gesetzlichen Vorschriften bei unseren Mandaten eingehalten werden.

Maria Bianchi-Pastori
Legal Consulting Counselor

 

[1] Vgl. Art. 58 p-DSG

[2] Medienmitteilung der SPK-N vom 12. Januar 2018

[3] Entscheidung der Kommission vom 26. Juli 2000 bezüglich der Feststellung entsprechend der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Schutzes personenbezogener Daten in der Schweiz, AB L 215 vom 25.8.2000, S. 1. 

[4] BB 2017 6593