Die Revision des Datenschutzgesetzes des Bundes (DSG) war nötig, um die Schwächen des geltenden Datenschutzgesetzes, die auf die rasche technologische Entwicklung zurückzuführen sind, zu beheben. Zudem erfolgt eine Anpassung an die EU-Datenschutzgrundverordnung (DSGVO) und die Europarats-Konvention 108 (SEV-108).
Die Revision des DSG wird keine vollkommene Abkehr von den bewährten Prinzipien des Datenschutzes bringen, was als sehr positiv hervorgehoben werden kann. Die bisher bereits geltenden Bearbeitungsgrundsätze wurden übernommen und können daher auch weiterhin angewandt werden. Die revidierten Bestimmungen werden aber einige neue Begriffe und auch neue Pflichten für Unternehmen mit sich bringen, von denen die wichtigsten im Folgenden kurz erörtert werden.
Neu werden die Daten von juristischen Personen nicht mehr vom Geltungsbereich des DSG erfasst, was zu begrüssen ist, da der datenschutzrechtliche Schutz von Daten juristischer Personen in der Praxis kaum eine Rolle spielt.
Zudem wird der Begriff des Persönlichkeitsprofils, der in der praktischen Anwendung wegen seiner Unbestimmtheit oft zu Problemen führte, abgeschafft. Stattdessen wird neu der Begriff des „Profilings“ eingeführt, was eine Annäherung an die europäischen Datenschutzvorschriften bringen wird. Werden Entscheide, die für die betroffene Person rechtliche Wirkungen oder erhebliche Auswirkungen haben, automatisiert getroffen, so hat sie in Zukunft ein Anhörungsrecht. Da heute viele Entscheidungen basierend auf Algorithmen und somit automatisiert getroffen werden, wird die genaue Auslegung dieser Bestimmung grosse Auswirkungen auf die Digitalisierung der Unternehmensprozesse haben.
Um die Rechte der betroffenen Personen zu stärken und die Transparenz der Datenbearbeitungen zu erhöhen, werden die Informationspflichten, die Unternehmen bei der Beschaffung von Personendaten zu erfüllen haben, verschärft. Ob dies tatsächlich zu einer Verbesserung des Datenschutzes durch mehr Transparenz oder nur zu viel umfangreicheren Datenschutzbestimmungen führen wird, bleibt abzuwarten.
Ist eine Einwilligung erforderlich, so ist diese neu nur mehr gültig, wenn sie eindeutig und bei besonders schützenswerten Personendaten und beim Profiling zudem ausdrücklich erfolgt. Die genaue Bedeutung dieser gesetzlichen Vorgaben ist allerdings unklar. So soll zwar gemäss den Erläuterungen zum VE-DSG die Einwilligung weiterhin an keine Formvorschriften gebunden und auch durch sogenanntes konkludentes Handeln möglich sein, gänzliche Untätigkeit der betroffenen Person führt jedoch nicht zu einer Einwilligung.
Die Meldepflicht für Datensammlungen wird abgeschafft, stattdessen müssen die Datenbearbeitungen dokumentiert werden. Der Umfang dieser Dokumentationspflicht ist noch unklar, sie muss jedoch so erfolgen, dass Melde- und Informationspflichten erfüllt werden können und auch Verletzungen des Datenschutzes umfassen.
Ist eine geplante Datenbearbeitung voraussichtlich mit erhöhten Risiken für die betroffenen Personen verbunden, so muss in Zukunft eine sogenannte Datenschutz-Folgenabschätzung durchgeführt werden, bevor mit der Datenbearbeitung begonnen wird. Diese umfasst unter anderem eine Beschreibung der geplanten Datenbearbeitung, die Risiken, die für die betroffenen Personen entstehen und die Massnahmen, mit denen diese Risiken eingeschränkt oder verringert werden.
Zudem wird mit den Grundsätzen „Privacy by Design“ und „Privacy by Default“ die Verpflichtung des Verantwortlichen eingeführt, vorsorglich mittels geeigneter Massnahmen das Risiko von Datenschutzverletzungen zu verringern. Durch geeignete Voreinstellungen der verwendeten Systeme muss sichergestellt werden, dass nur die Daten bearbeitet werden, die für den geplanten Verwendungszweck erforderlich sind.
Kommt es zu einer unbefugten Datenbearbeitung oder zu einem Verlust von Daten, muss der EDÖB unverzüglich informiert werden. Die betroffenen Personen müssen zusätzlich informiert werden, wenn dies zu deren Schutz erforderlich ist oder der EDÖB es verlangt.
Im Rahmen der Vernehmlassung wurde vor allem vonseiten der Wirtschaft sehr viel Kritik am VE-DSG geäussert. Die wesentlichen Kritikpunkte werden im Folgenden kurz zusammengefasst:
Die Botschaft zum revidierten Datenschutzgesetz wird in den nächsten Wochen erwartet. Es ist zu hoffen, dass zahlreiche der kritisierten Punkte noch verbessert werden. Ein wirksames Datenschutzgesetz ist sowohl im Interesse der Wirtschaft als auch der betroffenen Personen sehr wünschenswert. Gesetzliche Vorgaben, die den Datenschutz nicht stärken, aber grosse administrative Aufwände zur Folge haben, sollten hingegen unbedingt vermieden werden.