Mit Gut­hei­ßung des Schluss­ab­stim­mungs­tex­tes durch die Räte wur­de am 25. Sep­tem­ber 2020 das Gesetz­ge­bungs­ver­fah­ren zur Revi­si­on des Schwei­zer Bun­des­ge­set­zes über den Daten­schutz (DSG) abge­schlos­sen. Nach­dem die anschlie­ßen­de 100-tägige Refe­ren­dums­frist am 14. Janu­ar 2021 ablief, wird der Bun­des­rat im nächs­ten Schritt den Zeit­punkt der Inkraft­set­zung des revi­sio­nier­ten Schwei­zer Daten­schutz­rechts bestim­men. Das neue DSG wird dann in der Schweiz anwend­ba­res Recht.

Führt man sich vor Augen, dass zur Inkraft­set­zung des aktu­el­len DSG weder das ers­te Smart­phone noch der ers­te Tablet-PC ent­wi­ckelt waren, über­rascht es kaum, dass der dama­li­ge Fokus der Ziel­set­zung noch immer aktu­ell und zeit­ge­mäß gele­sen wer­den kann«. ” – Mat­thi­as Herkert

Das Bun­des­ge­setz über den Daten­schutz in sei­ner aktu­el­len Fas­sung geht zurück auf den 19. Juni 1992. Die den Gesetz­ge­bungs­ent­wurf beglei­ten­de Bot­schaft begrün­de­te die Not­wen­dig­keit der Gesetz­ge­bung sei­ner­zeit ein­lei­tend mit der »enor­men Inten­si­vie­rung der Daten­ver­ar­bei­tung und Daten­ver­brei­tung in Gesell­schaft, Wirt­schaft und Staat und dem zuneh­men­den Ein­satz moder­ner Informations- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gien in prak­tisch allen Berei­chen des Lebens«.

Zie­le der Revi­si­on des Bun­des­ge­set­zes über den Datenschutz

Führt man sich vor Augen, dass zur Inkraft­set­zung des aktu­el­len DSG weder das ers­te Smart­phone noch der ers­te Tablet-PC ent­wi­ckelt waren (das ers­te Smart­phone stell­te die Apple Cor­po­ra­ti­on im Janu­ar 2007, den ers­ten Tablet-PC eben­falls die Apple Cor­po­ra­ti­on im April 2010 vor) und der ers­te als Note­book bezeich­ne­te mobi­le Com­pu­ter von Toshi­ba 1987, gera­de ein Jahr vor der Bot­schaft des aktu­el­len DSG, auf dem Schwei­zer Markt ein­ge­führt wur­de, über­rascht es kaum, dass der dama­li­ge Fokus der Ziel­set­zung noch immer aktu­ell und zeit­ge­mäß gele­sen wer­den kann.

So grün­det auch die Bot­schaft zur aktu­el­len Revi­si­on des Bun­des­ge­set­zes über den Daten­schutz die ver­folg­ten Zie­le erneut auf die Not­wen­dig­keit der Anpas­sung an die »rasan­te tech­no­lo­gi­sche Ent­wick­lung, die erheb­li­che Aus­wir­kun­gen auf den Daten­schutz« habe. Wei­ter zielt die Anpas­sung des schwei­ze­ri­schen Daten­schutz­rech­tes in einem natio­na­len Fokus auf die Stär­kung der Rech­te der betrof­fe­nen Per­so­nen, einer För­de­rung der Eigen­ver­ant­wor­tung der Ver­ant­wort­li­chen wie auch auf die Erhal­tung und Stär­kung der Wett­be­werbs­fä­hig­keit der Schweiz durch Schaf­fung posi­ti­ver Rah­men­be­din­gun­gen für den grenz­über­schrei­ten­den Daten­ver­kehr. Im inter­na­tio­na­len Kon­text trägt die Total­re­vi­si­on vor allem auch den Ent­wick­lun­gen in der Euro­päi­schen Uni­on, unter ande­rem durch die Euro­päi­sche Ver­ord­nung (EU) 2016/679, die Richt­li­nie (EU) 2016/680 wie auch der Europarats-Konvention SEV 108, Rech­nung (vgl. BBI, 2017, S. 6969).

Die Revi­si­on führt zu Prüf­be­dar­fen bei allen Schwei­zer Unternehmen

Vor dem Hin­ter­grund die­ser weit­rei­chen­den und unzwei­fel­haft erfor­der­li­chen Ziel­set­zun­gen rich­te­te sich der Blick der Fach­li­te­ra­tur in den ver­gan­ge­nen Mona­ten stark auf die extra­ter­ri­to­ria­le Wir­kung der For­de­run­gen des revi­sio­nier­ten Bun­des­ge­set­zes über den Daten­schutz und auf die Her­aus­for­de­run­gen, die ins­be­son­de­re auf daten­be­ar­bei­ten­de Unter­neh­men im inter­na­tio­na­len Kon­text zukom­men. Dabei soll­te indes nicht über­se­hen wer­den, dass durch die Total­re­vi­si­on des DSG und die in die­sem Kon­text erfolg­ten Teil­re­vi­sio­nen wei­te­rer Bun­des­ge­set­ze (vgl. BBI, 2017, S. 7109) gera­de auch auf Schwei­zer KMU, zu denen nach Anga­ben des Schwei­ze­ri­schen Bun­des­am­tes für Sta­tis­tik im Jahr 2018 immer­hin 99% Pro­zent aller Unter­neh­men in der Schweiz zähl­ten, ein zum Teil umfang­rei­cher Anpas­sungs­be­darf zukom­men wird.

Daten­schutz­ma­nage­ment­sys­te­me prü­fen und bei Bedarf weiterentwickeln

Der Umfang der mög­li­cher­wei­se erfor­der­li­chen Neu­aus­rich­tun­gen und Wei­ter­ent­wick­lun­gen der Daten­schutz­or­ga­ni­sa­tio­nen wird in der Pra­xis vor­aus­sicht­lich stark vari­ie­ren, denn die natio­na­le wie auch inter­na­tio­na­le Aus­rich­tung die­ser Revi­si­ons­zie­le hat im Ergeb­nis zu eini­gen grund­le­gen­den, ins­be­son­de­re aber zu einer Viel­zahl klei­ner Anpas­sun­gen geführt, die es in der Gestal­tung der Anpas­sungs­pro­jek­te nun zu beach­ten gilt.

Die Umset­zung die­ser Anpas­sun­gen und Neue­run­gen in betrieb­li­che Pro­zes­se und Abläu­fe wie auch die all­fäl­li­ge Anpas­sung von Ver­trä­gen und Doku­men­ten wird wie dar­ge­stellt nicht nur für daten­ge­trie­be­ne Unter­neh­men und inter­na­tio­nal agie­ren­de Kon­zer­ne eine Her­aus­for­de­rung dar­stel­len. Gera­de in klei­nen und mit­tel­stän­di­schen Unter­neh­men, im moder­nen Hand­werk wie auch in einer Viel­zahl der kli­ni­schen und sozia­len Ein­rich­tun­gen in der Schweiz, in denen meist kei­ne Rechts- oder Com­pli­ancestel­len besetzt sind, wird die Ent­wick­lung von rechts­si­che­ren Lösun­gen zur Adap­ti­on der geän­der­ten Bestim­mun­gen und der zum Teil neu­en Anfor­de­run­gen des DSG vor­ran­gig durch das Manage­ment und die Ein­rich­tungs­lei­tun­gen erfol­gen müs­sen. Abhän­gig von den spe­zi­fi­schen Markt­ak­ti­vi­tä­ten und der Diver­si­tät der Daten­land­schaft wird die Imple­men­tie­rung der geän­der­ten Bestim­mun­gen die Lei­tun­gen in den kom­men­den Mona­ten fach­lich wie auch zeit­lich fordern.

Was Sie noch interessieren könnte:

Autor des Artikels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter