Der Bundesrat veröffentlichte am vergangenen Mittwoch, 23. Juni 2021, den Vorentwurf zur totalrevidierten Verordnung zum schweizerischen Datenschutzgesetz (E-VDSG), den dazugehörigen erläuternden Bericht, eine Vergleichstabelle (E-VDSG – VDSG – nDSG) sowie eine Medienmitteilung.
Die E-VDSG konkretisiert die Vorgaben des totalrevidierten DSG in folgenden Bereichen:
- Datensicherheit (Art. 1 - 5 E-VDSG)
- Bearbeitung durch Auftragsbearbeiter (Art. 6 & 7 E-VDSG)
- Bekanntgabe von Personendaten ins Ausland (Art. 8 - 12 E-VDSG)
- Pflichten des Verantwortlichen und des Auftragsbearbeiters (Art. 13 - 19 E-VDSG)
- Rechte der betroffenen Person (Art. 20 - 24 E-VDSG)
- Besondere Bestimmungen zur Datenbearbeitung durch private Personen (Art. 25 & 26 E-VDSG)
- Besondere Bestimmungen zur Datenbearbeitung durch Bundesorgane (Art. 27 - 36 E-VDSG)
- Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (Art. 37 - 45 E-VDSG)
- Schlussbestimmungen (Art. 46 - 48 E-VDSG)
Die E-VDSG bleibt der Mechanik des schweizerischen Datenschutzrechts treu und sieht nach wie vor ein sog. risikobasiertes Vorgehen vor. Dies zeigt sich unter anderem bei den Vorgaben zur Datensicherheit: Die für die Sicherheit zuständigen Fachstellen des jeweiligen Unternehmens bzw. Bundesorgans (i.d.R. IT-Security - nicht der Datenschutzberater bzw. - beauftragte) definieren und überprüfen periodisch in Anwendung eines risikobasierten Vorgehens angemessene technische/organisatorische Massnahmen (TOM) zur Einhaltung der jeweiligen Schutzziele (Art. 2 E-VDSG, vgl. auch Protokollierung und Bearbeitungsreglemente gem. Art. 3 ff E-VDSG).
Für die Beurteilung der Angemessenheit der definierten TOM gibt die E-VDSG den genannten Fachstellen folgende Kriterien vor: Zweck, Art, Umfang und Umstände der Datenbearbeitung; Stand der Technik; Implementierungskosten und insbesondere die Eintrittswahrscheinlichkeit einer Verletzung der Datensicherheit und deren potenziellen Auswirkungen für die betroffenen Personen (vgl. Art. 1 Abs. 1 lit. a - b E-VDSG).
Ferner hält der erläuternde Bericht hierzu folgendes fest:
"Da bereits im Gesetz der Ansatz einer risikobasierten Datensicherheit verfolgt wird und sich keine allgemeingültigen Mindestanforderungen für jegliche Branchen festlegen lassen, wurde im E-VDSG auf ein starres Regime von Mindestanforderungen verzichtet. Der Ansatz des E-VDSG beruht vielmehr darauf, dass es in erster Linie in der Verantwortung des Verantwortlichen liegt, die im Einzelfall notwendigen Massnahmen zu bestimmen und zu ergreifen. Diese sind stark einzelfallbezogen und abhängig vom jeweiligen Risiko zu bestimmen. So stellen sich etwa in einem Spital, wo regelmässig besonders schützenswerte Personendaten bearbeitet werden, in aller Regel erhöhte Anforderungen im Vergleich zur Bearbeitung von Kunden- oder Lieferantendaten in einer Bäckerei oder Metzgerei (...)""(...) An dieser Stelle sei darauf hingewiesen, dass nicht jede Verletzung der Datensicherheit (...) auch eine Verletzung der Mindestanforderungen (...) und somit eine Verletzung der Sorgfaltspflichten (...) darstellt. Eine absolute Sicherheit kann und soll nicht verlangt werden. So ist insbesondere vorstellbar, dass der Verantwortliche alle angemessenen Massnahmen getroffen hat, eine Verletzung der Datensicherheit aber dennoch eintritt, namentlich, weil sich das Restrisiko realisiert hat. Dieses kann dem Verantwortlichen nicht angelastet werden. Es ist im Rahmen der Mindestanforderungen vielmehr zu prüfen, ob der Verantwortliche und der Auftragsbearbeiter angesichts der konkreten Sachlage die angemessenen Massnahmen zur Gewährleitung der Datensicherheit getroffen haben, und zwar unabhängig davon, ob eine Verletzung der Datensicherheit eintritt" (vgl. 4.1.1 Erläuternder Bericht).
Diese Mechanik muss folgerichtig auch für die Auslandsbekanntgabe von Personendaten in Staaten ohne angemessenes Datenschutzniveau gelten (vgl. Art. 16 ff nDSG und Art. 8 ff E-VDSG). In diesem Zusammenhang dürfte der Fokus ebenfalls auf der Definition sowie Durchsetzung nicht rechtlicher, sondern angemessener technischer/organisatorischer Massnahmen (TOM) liegen, welche die Datensicherheit wahren und insbesondere „unzulässige", ausländische Behördenzugriffe mit an Sicherheit grenzender Wahrscheinlichkeit verhindern sollen.
Next Steps: Mit der Veröffentlichung der oben genannten Dokumente erfolgte zeitgleich der Startschuss für das öffentliche Vernehmlassungsverfahren zur E-VDSG, welches bis 14. Oktober 2021 dauert. Die E-VDSG soll zusammen mit dem totalrevidierten DSG in der zweiten Jahreshälfte 2022 in Kraft treten.
Michal Cichocki
Next Steps: Mit der Veröffentlichung der oben genannten Dokumente erfolgte zeitgleich der Startschuss für das öffentliche Vernehmlassungsverfahren zur E-VDSG, welches bis 14. Oktober 2021 dauert. Die E-VDSG soll zusammen mit dem totalrevidierten DSG in der zweiten Jahreshälfte 2022 in Kraft treten.
Michal Cichocki