SwissAccounting Blog

Revision des DSG: Vernehmlassung zum revidierten Entwurf

Geschrieben von Maria Winkler | 26/08/2021 10:13
Der vorliegende Beitrag gibt einen kurzen Überblick über die wichtigsten Änderungen, die der E-VDSG vorsieht und geht etwas detaillierter auf die Mindestanforderungen an die Datensicherheit ein.

Die Schlussfassung des totalrevidierten Datenschutzgesetzes (revDSG) wurde vom Parlament bereits am 25. September 2020 gutgeheissen. Das revDSG ist dennoch noch nicht in Kraft, da die beiden Verordnungen zum DSG, die Verordnung zum Datenschutzgesetz (VDSG) und die Verordnung über die Datenschutzzertifizierungen (VDSZ) ebenfalls noch revidiert werden. Am 23. Juni 2021 wurde nun das Vernehmlassungsverfahren zum Entwurf der revidierten Verordnung zum Datenschutzgesetz (E-VDSG) gestartet, das bis zum 14. Oktober 2021 laufen wird.

Ein Überblick über die Anpassungen

Etliche Bestimmungen des revDSG müssen auf Verordnungsebene konkretisiert werden. Bevor das Gesetz in Kraft treten kann, muss daher die Verordnung angepasst werden.

Die für Unternehmen wichtigsten Anpassungen umfassen vor allem die folgenden Themengebiete:

  • die Mindestanforderungen an die Datensicherheit
  • die Meldung von Datensicherheitsverletzungen
  • die Modalitäten der Informationspflicht
  • die Modalitäten des Auskunftsrechts
  • de Modalitäten der Auslagerung der Datenbearbeitung
  • die Ausnahme von der Pflicht zur Erstellung von Verzeichnissen der Bearbeitungstätigkeiten

Im Folgenden wird insbesondere auf die Mindestanforderungen an die Datensicherheit sowie auf die Modalitäten der Meldepflicht für Datensicherheitsverletzungen näher eingegangen.

Mindestanforderungen an die Datensicherheit

Grundsätze und Schutzziele (Art. 2 E-VDSG)

Das revDSG bestimmt, dass «Verantwortliche und Auftragsbearbeiter» eine dem Risiko angemessene Datensicherheit gewährleisten müssen, indem sie geeignete technische und organisatorische Massnahmen ergreifen. Zur Gewährleistung einer angemessenen Datensicherheit sind somit nicht nur die Unternehmen verpflichtet, die als «Verantwortliche» den Zweck und die Mittel der Datenbearbeitung bestimmen und somit die Datenbearbeitung als solche überhaupt initialisieren, sondern auch deren Dienstleister (die «Auftragsbearbeiter») die für diese die Daten bearbeiten.

Die Mindestanforderungen werden nun im E-VDSG definiert, wobei zunächst die Grundsätze sowie die Schutzziele festgelegt werden. Die Grundsätze, die bei der Beurteilung der Angemessenheit der technischen und organisatorischen Massnahmen zu berücksichtigen sind, unterscheiden sich nicht wesentlich von denen nach geltendem Recht. Auch die Schutzziele, auf die die zu ergreifenden Massnahmen auszurichten sind, wurden nicht wesentlich angepasst. Es wurden die bisherigen Schutzziele übernommen und um drei weitere Schutzziele (Art. 2 lit. i-k E-VDSG) ergänzt.

So muss beispielsweise neu durch entsprechende Massnahmen gewährleistet werden, dass Verletzungen der Datensicherheit rasch erkannt und Massnahmen zur Minderung oder Beseitigung der Folgen eingeleitet werden (Art. 2 lit. k E-VDSG).

Angesichts der Tatsache, dass die vorsätzliche Nichtbeachtung der Mindestanforderungen an die Datensicherheit nach dem revDSG mit Busse bis zu CHF 250'000.00 bedroht ist, stellt sich die Frage, ob die in Art. 2 E-VDSG definierten Schutzziele ausreichend klar definiert sind, um tatsächlich eine Strafbarkeit auszulösen. Der Erläuterungsbericht hält ausdrücklich fest, dass nicht jede Verletzung der Datensicherheit auch eine (strafbare) Verletzung der Mindestanforderungen an die Datensicherheit darstellt, da eine absolute Sicherheit nicht verlangt werde.

In der Folge wird es wohl nur selten zu einer Strafbarkeit kommen, da der entsprechende Nachweis schwer zu erbringen sein wird.

Der E-VDSG hebt zwei Massnahmen, die zur Erreichung der in Art. 2 definierten Schutzziele ergriffen werden müssen, als separate Pflichten hervor. Es handelt sich dabei um die Protokollierungspflicht (Art. 3 Abs. 1 E-VDSG) und um die Pflicht zur Erstellung von Bearbeitungsreglementen (Art. 4 E-VDSG).

Protokollierung (Art. 3 E-VDSG)

Unternehmen müssen gemäss dem Wortlaut von Art. 3 Abs. 1 E-VDSG Datenbearbeitungen protokollieren, wenn sich aus der Datenschutz-Folgenabschätzung ergibt, dass trotz der ergriffenen Massnahmen ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht.

Dies ist missverständlich, da gemäss den Bestimmungen des revDSG in diesem Fall die geplante Datenbearbeitung gar nicht produktiv eingesetzt werden darf. Vielmehr müssen in dem Fall der EDÖB oder die Datenschutzberater*in konsultiert werden und es stellt sich die Frage, ob mit den Protokollierungen nach Art. 3 Abs. 1 E-VDSG eine solche Datenbearbeitung dennoch erlaubt ist.

Der Erläuterungsbericht hingegen verweist darauf, dass die Protokollierung dann vorzunehmen sei, wenn sich aus der Datenschutz-Folgenabschätzung ergibt, dass bei Datenbearbeitung ein hohes Risiko für die betroffenen Personen besteht. Dabei werden also die bereits ergriffenen Massnahmen noch nicht mitberücksichtigt. Es ist daher davon auszugehen, dass die Protokollierung eine der Massnahmen sein wird, die bei einem an sich hohen Risiko ergriffen werden muss und die dann schlussendlich dazu führen wird, dass das Restrisiko nicht mehr hoch sein wird.

Zweck der verlangten Protokollierung ist gemäss Erläuterungsbericht, die nachträgliche Überprüfbarkeit der Datenbearbeitung. Zu protokollieren sind mindestens das Speichern, das Lesen, das Verändern, das Bekanntgeben, das Löschen oder Vernichten der Daten. Zudem muss die Protokollierung Auskunft über die Art des Bearbeitungsvorgangs, die Identität der Person, die die Bearbeitung vorgenommen hat, die Identität des Empfängers oder der Empfängerin sowie den Zeitpunkt der Bearbeitung geben.

Die Protokollierungen müssen zwei Jahre lang aufbewahrt werden (Art. 3 Abs. 4 E-VDSG) was zu einer grossen Menge von Daten sowie zu einem erheblichen Aufwand und zu entsprechenden Kosten führen wird. Es ist daher zu erwarten, dass die Protokollierungspflicht vonseiten der Wirtschaft im Rahmen der Vernehmlassung noch hinterfragt werden wird.

Bearbeitungsreglemente (Art. 4 E-VDSG)

Unternehmen (sowohl Verantwortliche als auch Auftragsbearbeiter) müssen Bearbeitungsreglemente für automatisierte Datenbearbeitungen erstellen, wenn sie umfangreich besonders schützenswerte Personendaten bearbeiten oder ein Profiling mit hohem Risiko durchführen.

Die Pflicht, für Datenbearbeitungen mit einem hohen Risiko Bearbeitungsreglemente zu erstellen, besteht bereits nach der geltenden Verordnung. Allerdings wurde allgemein erwartet, dass die Bearbeitungsreglemente angesichts der neu eingeführten Dokumentations- und Informationspflichten (Verzeichnisse von Bearbeitungstätigkeiten, Datenschutz-Folgenabschätzungen, Datenschutzerklärungen) aus der Verordnung gestrichen werden.

Angesichts des Umfangs der verlangten Dokumentation entsteht für die Unternehmen ein nicht zu unterschätzender Aufwand. Dabei darf und muss hinterfragt werden, ob sich aus der Verpflichtung, die in Art. 4 E-VDSG verlangten Informationen (beispielsweise betreffend die interne Organisation, die Datenbearbeitungsverfahren oder die Verfahren zur Ausübung des Auskunftsrechts, etc.) in einem separaten Dokument festzuhalten, die Datensicherheit tatsächlich wesentlich erhöht. Grundsätzlich ist daher zu erwarten, dass im Rahmen der Vernehmlassung erhebliche Einwände gegen die Pflicht zur Erstellung von Bearbeitungsreglementen geltend gemacht werden.

Irritierend ist zudem die in Art. 4 Abs. 3 E-VDSG enthaltene Pflicht, das Reglement der Datenschutzberater*in zur Verfügung zu stellen. Dies suggeriert, dass diese Funktion immer vorhanden sein muss, obwohl das revDSG keine entsprechende Pflicht für Unternehmen einführen wird.

Meldung von Datensicherheitsverletzungen

Das revDSG führt die Pflicht ein, Verletzungen der Datensicherheit, die zu einem hohen Risiko für die betroffenen Personen führen, dem EDÖB zu melden (Art. 24 revDSG). Der E-VDSG führt nun genauer aus, welche Informationen dem EDÖB mitgeteilt werden müssen (Art. 19 Abs. 1 E-VDSG). Sollten die verlangten Informationen nicht bereits bei der ersten Meldung vorhanden sein, dürfen sie dem EDÖB auch schrittweise bekanntgegeben werden (Art. 19 Abs. 2 E-VDSG). Die Pflicht, den von der Datensicherheitsverletzung betroffenen Personen gewisse Informationen zu geben, besteht nur, wenn die in Art. 24 Abs. 4 revDSG definierten Voraussetzungen gegeben sind, was aus dem Wortlaut von Art. 19 Abs. 3 E-VDSG nicht hervorgeht. Hier wäre eine eindeutige Formulierung wünschenswert.

Mit der Verordnung soll auch im Bereich der Datensicherheitsverletzungen eine neue Dokumentationspflicht eingeführt werden. Gemäss Art. 19 Abs. 5 E-VDSG umfasst diese die Datensicherheitsverletzung selbst, sowie alle damit zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Massnahmen. Der Umfang und der Inhalt der Dokumentation sollten klarer definiert werden, um den Unternehmen mehr Rechtssicherheit zu geben, zumal diese Dokumentationen mindestens drei Jahre aufzubewahren sind.

Schlussbemerkungen

Der E-VDSG enthält auch noch in anderen, in diesem Beitrag nicht ausdrücklich erwähnten, Bestimmungen unklare oder interpretationsbedürftige Aussage. An einigen Stellen haben sich zudem Fehler eingeschlichen, wie beispielsweise bei der Informationspflicht, die entgegen dem Wortlaut des revDSG dem Verantwortlichen und dem Auftragsbearbeiter zugewiesen wird.

Es ist zu hoffen, dass im Rahmen der Vernehmlassung einerseits die offensichtlichen Fehler behoben werden und andererseits Bestimmungen, die zu einem Mehraufwand für die Unternehmen führen, ohne dass diesem ein wesentlicher Mehrwert für den Persönlichkeitsschutz gegenübersteht, nochmals grundsätzlich hinterfragt und angepasst werden.