Das Schweizer Parlament hat am 25. September 2020 das revidierte Datenschutzgesetz (DSG-neu) verabschiedet (angenommener Schlussabstimmungstext DSG). Das Bundesgesetz untersteht dem fakultativen Referendum. Über das Inkrafttreten entscheidet der Bundesrat nach Ablauf der 100-tägigen Referendumsfrist. 

 

Nachdem sich die Räte bis zuletzt beim Thema Profiling uneinig waren, konnten sie sich schliesslich auf die Einführung des Konzepts «Profiling mit hohem Risiko» einigen. Die Konsequenz dieser Art von Profiling ist, dass die Einwilligung, sofern erforderlich, ausdrücklich erfolgen muss (siehe unten die relevanten Gesetzesartikel betreffend Profiling und Einwilligung). 

 

Wie die Risikoprüfung beim Profiling in der Praxis erfolgen soll, wird sich zeigen müssen, wird aber sicherlich für Unternehmen eine Herausforderung sein. 

 

Zu beachten ist, dass das revidierte DSG kein Einwilligungserfordernis für das Profiling mit hohem Risiko einführt, sondern lediglich fordert, dass eine Einwilligung, sofern diese als Rechtfertigungsgrund nach Art. 31 DSG-neu überhaupt erforderlich ist, ausdrücklich erfolgen muss. Es sei daran erinnert, dass die Grundkonzeption des DSG und DSG-neu anders ist als diejenige der DSGVO. Während nach der DSGVO für die Verarbeitung von personenbezogenen Daten immer ein Rechtsgrund erforderlich ist (Art. 6 und 9 DSGVO), ist die Bearbeitung von Personendaten nach dem DSG und DSG-neu grundsätzlich erlaubt, solange die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzt wird. Nach dem DSG-neu gilt demnach weiterhin das «Erlaubnisprinzip mit Verbotsvorbehalt» während nach der DSGVO das «Verbotsprinzip mit Erlaubnisvorbehalt» gilt. 

 

Das revidierte Datenschutzgesetz gilt künftig für die Bearbeitung von Personendaten natürlicher Personen (heute auch juristischer Personen). Es führt spezifische Begriffe, wie "Verantwortlicher" und "Auftragsbearbeiter" ein und erweitert den Begriff der "besonders schützenswerten Personendaten" um "genetische Daten" und "biometrische Daten, die eine natürliche Person eindeutig identifizieren". Konzepte, wie bereits aus der DSGVO bekannt, sind nun im Gesetz verankert, wie beispielsweise Privacy by Design, das Verzeichnis der Bearbeitungstätigkeiten, Datenschutz-Folgenabschätzungen, die allgemeine Informationspflicht bei der Beschaffung von Personendaten und die Meldung von Verletzungen der Datensicherheit. Künftig müssen auch im Ausland ansässige Verantwortliche unter bestimmten Voraussetzungen einen Vertreter in der Schweiz benennen, wenn sie Personendaten von Personen in der Schweiz bearbeiten. Das neue Gesetz verschärft die Strafbestimmungen mit Bussen von bis zu 250 000 Franken für Privatpersonen, die gegen gewisse Bestimmungen verstossen, wie die Informations-, Auskunfts- und Mitwirkungspflicht mit dem EDÖB, die Bestimmungen über die Bekanntgabe von Personendaten ins Ausland und die Beauftragung von Auftragsbearbeitern sowie die Nichteinhaltung der Mindestanforderungen an die Datensicherheit.

 

Eine detaillierte Zusammenfassung und Analyse des revidierten Gesetzes und seiner Grundsätze wird folgen.

 

Relevante Artikel im DSG-neu betreffend Profiling: 

 

Art. 5 lit f: 

Profiling ist jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

 

Art. 5 lit g: 

Profiling mit hohem Risiko: Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt.

 

Art. 6 Abs. 6: 

Ist die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information freiwillig erteilt wird. 

 

Art. 6 Abs. 7: 

Die Einwilligung muss ausdrücklich erfolgen für: 

a. die Bearbeitung von besonders schützenswerten Personendaten; 

b. ein Profiling mit hohem Risiko durch eine private Person; oder 

c. ein Profiling durch ein Bundesorgan. 

 

Art. 30 

Persönlichkeitsverletzungen

1 Wer Personendaten bearbeitet, darf die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen. 

2 Eine Persönlichkeitsverletzung liegt insbesondere vor, wenn: 

a. Personendaten entgegen den Grundsätzen nach den Artikeln 6 und 8 bearbeitet werden; 

b. Personendaten entgegen der ausdrücklichen Willenserklärung der betroffenen Person bearbeitet werden; 

c. Dritten besonders schützenswerte Personendaten bekanntgegeben werden. 

3 In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Personendaten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.

 

Art. 31 Abs. 1 

Eine Persönlichkeitsverletzung ist widerrechtlich, wenn sie nicht durch Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist.