1. Bundesorgane

Ein «Bundesorgan» im Sinne des neuen DSG ist eine Behörde, Dienststelle oder Person, die mit öffentlichen Aufgaben des Bundes betraut ist – selbst, wenn eine juristische Person privatrechtlich gegründet und organisiert ist. Insbesondere im Obligatorium tätige Vorsorgeeinrichtungen gelten neu als Bundesorgane und haben bestimmte neue Pflichten einzuhalten.
 

1.1. Datenschutzberater (Art. 10 DSG, Art. 25 ff. DSV)

Bundesorgane sind verpflichtet, einen Datenschutzberater einzusetzen. Das alte DSG kannte die Rolle des «Datenschutzverantwortlichen». Abgesehen von der Rollenbezeichnung ist u.a. neu, dass nicht nur die einzelnen Departemente und die Bundeskanzlei, sondern grundsätzlich jedes Bundesorgan einen Datenschutzberater zu bezeichnen hat. Mehrere Bundesorgane können gemeinsam eine solche Ernennung vornehmen. Der Datenschutzberater berät das Bundesorgan bspw. bei der Erstellung der neuen Datenschutz-Folgenabschätzung (siehe Beitrag von Adrian Bieri, Neue Pflicht zur Durchführung von Datenschutz-Folgenabschätzungen, bratschiLETTER Öff.-Recht September 2023). Das Bundesorgan sorgt dafür, dass der Datenschutzberater über (alle) Datensicherheitsverletzungen informiert wird.
 

1.2 Bearbeitungsverzeichnis (Art. 12 DSG)

Die neue Bestimmung zur Führung eines Bearbeitungsverzeichnisses ersetzt die bisherige Meldepflicht von Datensammlungen. Das Bearbeitungsverzeichnis soll nicht die Personendaten enthalten, sondern eine Beschreibung der wesentlichen Parameter der kategorisierten Datenbearbeitungstätigkeiten: Zum Mindestinhalt, der gesetzlich verankert ist, gehören neben Angaben zum Bundesorgan eine Beschreibung der Kategorien betroffener Personen, der bearbeiteten Personendaten und von Empfängern, daneben den jeweiligen Bearbeitungszweck und wenn möglich die Aufbewahrungsdauer der Personendaten sowie Datensicherheitsmassnahmen. Falls die Daten ins Ausland bekanntgegeben würden, müsste das Verzeichnis weitere Angaben enthalten.

Hinsichtlich der Form des Bearbeitungsverzeichnisses kann sich eine Excel-Tabelle anbieten. Die Bearbeitungsverzeichnisse der Bundesorgane müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden.
 

1.3 Informationspflicht (Art. 19 f. DSG)

Eines der Hauptziele der DSG-Totalrevision ist die Verbesserung der Transparenz von Datenbearbeitungen. In diesem Rahmen wurde die Informationspflicht ausgebaut. Es handelt sich zwar um eine der praxisrelevantesten Pflichten des neuen DSG, doch finden sich in Art. 20 DSG Einschränkungs- und Ausnahmeregelungen, die insbesondere bei Bundesorganen relevant sind. Der Informationspflicht wird häufig durch Datenschutzerklärungen nachgekommen. Bundesbehörden brauchen nur so lange keine (externe) Datenschutzerklärung, als sich ihre Datenbearbeitungen im Rahmen dessen bewegen, was das Gesetz selbst an Datenbearbeitungen vorsieht. Eine Gesetzesbestimmung genügt dieser Anforderung jedoch nur, wenn sie die Datenbearbeitung so genau regelt, dass betroffenen Personen namentlich Bearbeitungszweck und Datenempfänger mit Blick ins Gesetz klar sind. Zudem, sobald Behörden bspw. für das Hosting internationale Cloud-Anbieter benutzen, befreien entsprechende gesetzliche Datenbearbeitungsgrundlagen nicht von der Informationspflicht, weil sie den internationalen Datentransfer regelmässig nicht vorsehen und auch nicht vorsehen dürften (siehe zudem mit weiteren Informationen den Beitrag von Damiano Gargiulo, Cloudlösung für die öffentliche Hand, bratschiLETTER Öff.-Recht September 2023).
 

1.4 Meldung von Datensicherheitsverletzungen (Art. 24 DSG)

Bundesbehörden müssen dem EDÖB neu so rasch wie möglich eine Verletzung der Datensicherheit melden, wenn sie voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person führt. Dabei sind namentlich die Art der Verletzung, ihre Folgen und die ergriffenen und vorgesehenen Massnahmen zu nennen.
 

1.5 Rechtsgrundlagen (Art. 34 DSG)

Neu wird ein formelles Gesetz als Grundlage für jedes Profiling verlangt. Als Profiling gilt dabei bereits die automatisierte Bewertung von Eigenschaften einer natürlichen Person. Diese Schwelle kann schon erreicht sein, wenn eine Behörde eine Liste von Kunden zusammenstellt, die an einem bestimmten Angebot interessiert sein könnten. Findet sich keine entsprechende formell-gesetzliche Grundlage, ist diese Datenbearbeitung grundsätzlich unzulässig.
 

1.6 EDÖB (Art. 43 ff. DSG)

Die Befugnisse des EDÖB wurden mit dem neuen DSG erweitert; so kann er bspw. im Rahmen seiner ausgebauten Aufsichtstätigkeit Untersuchungen eröffnen sowie Zugang zu Räumlichkeiten oder Zeugeneinvernahmen anordnen. Die wichtigste Neuerung ist jedoch, dass der EDÖB verbindliche und erzwingbare Verfügungen erlassen kann. Unter altem Recht konnte er bloss Empfehlungen abgeben. Die Besonderheit liegt darin, dass der EDÖB selbst eine Bundesbehörde ist und den anderen Bundesbehörden gegenüber hoheitlich verfügen kann – z.B., dass Personendatenbearbeitungen angepasst, unterbrochen oder abgebrochen werden müssen.
 

1.7 Protokollierung (Art. 4 DSV)

Bundesorgane müssen das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten von Personendaten protokollieren. Das führt dazu, dass Computersysteme verwendet werden müssen, welche die vorgenannten Datenbearbeitungen aufzeichnen können. Hierbei muss ersichtlich sein, welcher Mitarbeiter oder welche Mitarbeiterin welche Bearbeitung zu welchem Zeitpunkt vorgenommen hat.
 

1.8 Strafbestimmungen (Art. 60 ff. DSG)

Die neuen Strafbestimmungen gelten nur für private Personen. Bundesorgane im Sinne des neuen DSG können damit grundsätzlich nicht mit den Bussen bis zu CHF 250'000 bestraft werden (zu beachten ist aber insbesondere bei Vorsorgeeinrichtungen die Unterscheidung der Tätigkeit hinsichtlich des obligatorischen und überobligatorischen Bereichs).

2. Kantonale Behörden: Kantonale Datenschutzgesetze

Nach wie vor gibt es in der Schweiz 24 kantonale Datenschutzgesetze und eine interkantonale Vereinbarung über den Datenschutz. Im Zuge der europäischen Entwicklungen des Datenschutzrechts haben viele Kantone ebenfalls Arbeiten zur Revision ihrer Datenschutzgesetze aufgenommen. Einige Gesetze sind bereits in Kraft (z.B. das Gesetz über die Information und den Datenschutz des Kantons Basel-Landschaft [BL-IDG] oder das Datenschutzgesetz des Kantons Zug [ZG-DSG]), andere Entwürfe sind noch in Bearbeitung (bspw. das Gesetz über die Information und den Datenschutz des Kantons Zürich [ZH-IDG]).

Die Trends in den Kantonen sind oftmals einheitlich: Daten juristischer Personen werden nicht mehr geschützt, neu sind Datenschutz-Folgenabschätzungen vorzunehmen, für das Profiling wird eine Grundlage in einem formellen Gesetz benötigt, Datensicherheitsverletzungen sind der zuständigen Aufsichtsbehörde zu melden, es gibt unabhängige Datenschutzaufsichtsbehörden und dieser kommt in manchen Kantonen eine Verfügungskompetenz zu.