Derzeit befindet sich das Schweizer Datenschutzgesetz (DSG) in Revision. Aufgrund der rasanten technologischen Entwicklung über die letzten 20 Jahren ist das aktuelle DSG von 1993 nicht mehr zeitgemäss. Zudem ist am 25. Mai 2018 die EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Dadurch ist die Schweiz in Zugzwang geraten. Damit die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennen kann und die grenzüberschreitende Datenübermittlung auch in Zukunft relativ einfach möglich bleibt, wird sich das Schweizer DSG entsprechend der EU-DSGVO annähern. Geplant war, dass das neue Datenschutgesetz im Januar 2019 in Kraft treten sollte, jedoch verzögerte sich die Bearbeitung der Vorlage.
Im Dezember 2019 hat das revidierte Datenschutzgesetz (e-DSG) eine weitere Hürde genommen und wurde durch den Ständerat beraten. Auch hierbei gab es einige Punkte die zu Debatten und Änderungen geführt haben. Eine Übersicht über den derzeitigen Stand der strittigsten Punkte:
Das neue DSG soll eine Bestimmung zum räumlichen Geltungsbereich enthalten.
Das Persönlichkeitsprofil wird durch das Profiling ersetzt und es soll zwischen Profiling als solchem und Profiling “mit hohem Risiko” unterschieden werden. Ein solches liegt besonders dann vor, wenn der verantwortliche Daten aus mehreren Quellen und über verschiedene Lebensbereiche bearbeitet oder Daten systematisch und umfangreich bearbeitet, mit dem Ziel, Rückschlüsse auf verschiedene Lebensbereiche einer Person zu ziehen. Die Bonitätsprüfung soll dabei nicht als Profiling mit hohem Risiko betrachtet werden.
Auf eine allgemeines Verbot von Weitergabe von Daten an Dritte ohne ausdrückliche Einwilligung soll verzichtet werden, während eine ausdrückliche Einwilligung für die Bearbeitung von besonders schützenswerten Daten, sowie neu bei einem Profiling mit hohem Risiko, soll erforderlich bleiben
Die Pflicht zur Führung eines Bearbeitungsverzeichnisses entfällt bei Unternehmen mit weniger als 250 Mitarbeitern, sofern die Bearbeitung nur ein geringes Risiko birgt.
Weitere Entlastungen bei der Bestellung eines Datenschutzberaters wird nicht vorgesehen.
Verantwortliche mit Sitz im Ausland sollen Verpflichtet sein in der Schweiz eine Vertretung zu bestellen.
Die Informationspflicht umfasst Angaben zum Verantwortlichen, zum Bearbeitungszweck und zu Kategorien von Empfängern, neu aber auch die Liste der Betroffenenrechte und gegebenenfalls die Absicht, Personendaten zu Prüfung der Kreditwürdigkeit zu bearbeiten und/oder sie Dritten bekanntzugeben, und weiter sämtliche Empfängerstaaten und weitere Angaben zur Auslandsbekanntgabe
Ausnahmen von der Informationspflicht sollen dann gelten, wenn die Information unverhältnismässigen Aufwand erfordert (z.B. bei Drittbeschaffung).
Das Recht auf Datenportabilität soll, wie in der ursprünglichen Fassung vorgesehen, gewährleistet sein.
Der EDÖB erhält Verfügungskompetenz.
Bei bestimmten vorsätzlich begangenen Verstössen drohen Bussen bis zu CHF 250’000. der Adressat der Bussen ist nach Art. 29 StGB zu bestimmen, z.B. bei einer Verletzung der Informationspflicht, bei einer unerlaubten Auslandsbekanntgabe und einer unzureichenden Absicherung der Auftragsbearbeitung. Strafbar soll unter anderem auch die Verletzung der Anforderungen an die Datensicherheit sein.
Übergangsfristen soll es für die laufende Bearbeitung geben, sofern sich der Verarbeitungszweck nicht ändert und keine neuen Daten beschafft werden.
Ein Inkrafttreten des revidierten DSG vor 2021 ist, unter jetzigem Kenntnisstand, weiterhin sehr unwahrscheinlich. Obwohl erst die nun folgende Differenzbereinigung volle Klarheit über die derzeit noch umstrittenen Bestimmungen bringen wird, ist bereits jetzt absehbar, dass dass das revidierte Datenschutzrecht erheblichen Aufwand verursachen wird, unter anderem deshalb, weil es in vielen Punkten deutlich von den Vorgaben der Europäischen DSGVO abweicht, in einigen Punkten zum Vorteil, in vielen Punkten aber auch zum Nachteil der betroffenen Unternehmen. Unternehmen sind geraten, ihre jetzige Datenschutz-Organisation kritisch zu überprüfen, um Lücken festzustellen und zu schliessen. Denn bei einer Verletzung werden nicht nur die verantwortlichen Personen mit Bussen (persönliche Haftung) bestraft. Ein Verstoss kann sehr wohl auch zu Reputationsschäden und Vertrauensverlust führen.