Der Entwurf und die Botschaft zum revidierten Datenschutzgesetz des Bundes wurden am 15. September 2017 publiziert. Im Januar 2018 beschloss das Parlament, den Entwurf in 2 Phasen zu beraten, wobei zuerst die Bestimmungen für den öffentlichen Bereich und erst anschliessend diejenigen für den privaten Bereich behandelt werden sollen. Das genaue Datum des Inkrafttretens des revidierten Datenschutzgesetzes ist daher zurzeit noch ungewiss. Unternehmen, die auch unter die EU-Datenschutz-Grundverordnung (DSGVO) fallen, müssen die erforderlichen Umsetzungsarbeiten aber bereits bis am 25. Mai 2018 abgeschlossen haben.
Der Entwurf des revidierten DSG (E-DSG) zeigt, dass Unternehmen in Zukunft nach dem schweizerischen DSG ähnliche Dokumentationspflichten haben werden, wie sie auch in der DSGVO vorgesehen sind. So müssen Unternehmen beispielsweise in Zukunft nicht mehr ihre Datensammlungen dokumentieren, sondern Verzeichnisse über die Geschäftsprozesse führen, in denen Personendaten bearbeitet werden. Diese sogenannten Verzeichnisse von Bearbeitungstätigkeiten enthalten Angaben zum Unternehmen, zur Bearbeitungstätigkeit und zu den technischen und organisatorischen Massnahmen.
Ist eine geplante Datenbearbeitung voraussichtlich mit erhöhten Risiken für die betroffenen Personen verbunden, so muss in Zukunft eine sogenannte Datenschutz-Folgenabschätzung durchgeführt werden, bevor mit der Datenbearbeitung begonnen wird. Diese umfasst unter anderem eine Beschreibung der geplanten Datenbearbeitung, die Risiken, die für die betroffenen Personen entstehen und die Massnahmen, mit denen diese Risiken eingeschränkt oder verringert werden.
Da die DSGVO praktisch dieselben Pflichten vorsieht, kann betreffend den Inhalt und die Gestaltung der Verzeichnisse sowie betreffend die Durchführung von Datenschutz-Folgenabschätzungen auf diverse Publikationen von Aufsichtsbehörden und anderen offiziellen Stellen aus der EU zurückgegriffen werden.
Die folgende Übersicht enthält Hinweise und Links zu diversen Publikationen und Mustern, die im Internet publiziert wurden und die bei der Erstellung der Verzeichnisse und bei der Durchführung der Datenschutz-Folgenabschätzung praktische Hilfestellungen geben können.
| Herausgeber/ Quelle | Name / Thema | Link |
|---|---|---|
| GDD, Gesell-schaft für Da-tenschutz und Datensicherheit | Praxishilfe V, Verzeichnis von Verarbeitungstätigkeiten | https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_5.pdf |
| Datenschutz-Konferenz (DSK) | DSK-Kurzpapier Nr. 1: Verzeichnis von Verarbei-tungstätigkeiten | https://www.lda.bayern.de/media/dsk_kpnr_1_verzeichnis_verarbeitungstaetigkeiten.pdf |
| GDD, Gesell-schaft für Da-tenschutz und Datensicherheit | Praxishilfe X: Voraussetzungen der Datenschutz-Folgenabschätzung | https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_10.pdf |
| GDD, Gesell-schaft für Da-tenschutz und Datensicherheit | Praxishilfe XIV: Die Datenschutz-Folgenabschätzung | https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_14.pdf |
| Datenschutz-Konferenz (DSK) | DSK-Kurzpapier Nr. 5: Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO | https://www.lda.bayern.de/media/dsk_kpnr_5_dsfa.pdf |
| CNIL, Commis-sion Nationale de l'Informatique et des Libertés | Tool für die Durchführung einer Da-tenschutz-Folgenabschätzung (Open Source) in englischer und französi-scher Sprache | https://www.cnil.fr/en/tag/Privacy+Impact+Assessment+(PIA) |
Selbstverständlich muss jedes Unternehmen, das die genannten Muster verwendet beachten, dass die Publikationen aus dem EU-Bereich auf den gesetzlichen Grundlagen der DSGVO basieren und daher allenfalls auf die konkreten schweizerischen Vorgaben angepasst werden müssen. Schlussendlich bleibt jedes Unternehmen dafür verantwortlich, dass die eigenen Verzeichnisse und Datenschutz-Folgenabschätzungen korrekt ausgefüllt werden. Die Muster ersetzen daher nicht eine allfällig notwendige Rechtsberatung, aber sie enthalten wertvolle Tipps und praktische Hinweise darauf, wie die Umsetzung erfolgen kann.