HomeNewsNeues zum Datenschutzgesetz (DSG) und Folgen für NPO-Branche

Neues zum Datenschutzgesetz (DSG) und Folgen für NPO-Branche

18.02.2020

Die Revision des Schweizer Datenschutzgesetzes startete verhalten und verlief eher schleppend. Per Ende 2019 kam der Vernehmlassungsprozess des Parlaments dann aber dicht getaktet ins Rollen. Aktuell liegt der Ball wieder beim Nationalrat (Differenzbereinigung in der Frühlingssession 03/20) und der Druck nimmt zu: Nachdem die europäische Verordnung (DSGVO) im kommenden Mai bereits zwei Jahre in Kraft sein wird, steht die Äquivalenzprüfung der EU an, die zur Sicherung der schweizerischen Handelsinteressen positiv ausfallen muss. Noch sind Fragen offen und der Prozess kann sich weiter verzögern: Zurzeit gehen ExpertInnen aber von einer Einführung des neuen DSG per Ende 2020 bzw. ab 2021 aus.

Die Revision des Schweizer Datenschutzgesetzes hat endlich Fahrt aufgenommen: Sowohl National- als auch Ständerat haben die Vorlage mit Stand Ende Januar 2020 beraten, in der kommenden Frühlingssession (03/20) findet die Differenzbereinigung im Sinne der Konkordanz statt. Welche Differenzen bestehen? Und welche Konsequenzen bleiben relevant für unsere tägliche Arbeit mit personenbezogenen Daten?

Verlauf Vernehmlassungsprozess und Diskurs

Nachdem der Gesetzesentwurf des Bundesrats im Nationalrat diskutiert und teilweise «entschärft» wurde, rollte der Vernehmlassungsprozess erst richtig an: Mitte November 2019 erarbeitete die staatspolitische Kommission des Ständerats einen Vorschlag zuhanden der Wintersession (18. Dezember 2019), der in einigen Punkten von der gemässigteren NR-Vorlage divergierte und teilweise auch den ursprünglichen Entwurf wieder berücksichtigte. So wurden die Bestrafungsklausel und die strafrechtliche Sanktionierung bei Nichteinhaltung von Datensicherheit wieder ins Spiel gebracht und keine Ausnahmen bei der Informationspflicht aufgrund unverhältnismässigen Aufwandes vorgesehen. Ebenso sollte von einem abschliessenden Katalog der zu dokumentierenden Informationen bei Ausübung des Auskunftsrechts abgesehen werden. In Anlehnung an die Praxis der DSGVO wurden Daten über «gewerkschaftliche Ansichten oder Tätigkeiten» wieder den «schützenswerten Personendaten» zugeordnet, gleichzeitig sollen die Bonitätsprüfung sowie die Datenbearbeitung Minderjähriger spezifischen Auflagen unterworfen sein.

Das Timing blieb sportlich. Am 24. Januar 2020 tagte dann die staatspolitische Kommission des Nationalrates über diesen Entwurf des Ständerates und erarbeitete den aktuellen Vorschlag an ihren Rat – zwecks Differenzbereinigung und Empfehlungsausarbeitung innerhalb der Frühlingssession im März 2020.

Aktueller Stand und Konsequenzen

Für den heftigsten Diskussionsbedarf und die grössten Differenzen zwischen den Räten bzw. ihren Kommissionen sorgte das neu sogenannte «Profiling»: In Anlehnung an den bisherigen Begriff «Persönlichkeitsprofile» versteht man darunter insbesondere die automatisierte Bearbeitung personenbezogener Daten, die der Musterprofilierung und Bewertung persönlicher Aspekte einer natürlichen Person zuträgt («Rückschlüsse auf Lebensbereiche»). Hier wurde zuletzt im Sinne eines Kompromisses («risikobasierter Ansatz») eine Kategorie mit hohem Risiko für Persönlichkeit oder Grundrecht unterschieden (z.B. politische Präferenzen, medizinische Daten, sexuelle Orientierung) und ausdrückliche Einwilligung nach Vorankündigung gefordert. Mit aktuellem Stand im Sinne des vorliegenden Vorschlags an den Nationalrat hat sich eine knappe Mehrheit der Kommission wieder gegen eine solche Unterscheidung ausgesprochen – es wird jedoch eine weitere Diskussion erwartet.

Nebst Profiling sind für unsere Branche sicher die Konsequenzen im Hinblick auf Strafrecht und Informationspflicht relevant – als vorläufig letzter Stand der weiteren Aspekte gilt:

  • (erweiterte) Verfügungskompetenz für den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)
  • Bussen bis CHF 250’000 bei vorsätzlicher Verletzung von Informations-, Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten – strafrechtliche Sanktion im Unterschied zur EU auf natürliche Personen
  • Informationspflicht, unter anderem mit Angaben zum Verantwortlichen, zum Bearbeitungszweck und zu den Kategorien von Empfängern bei Datenweitergabe. Vermutlich Sonderregelung für Konzerne (erleichterte «interne» Weitergabe)
  • Bearbeitungsverzeichnis nur bei mehr als 250 Mitarbeitenden
  • Keine erweiterten Auflagen bei Prüfung von Kreditwürdigkeit, jedoch gerade in diesem Kontext erweiterter Schutz Minderjähriger
  • Privacy by Design und Privacy by Default: Die Gestaltung von Anmeldeformularen (z.B. von Newslettern) soll so gewählt werden, dass Ablauf und Vorauswahlen nicht als Standard automatische Einwilligung stützen.

Handlungsimplikationen heute

Die Einführung der revidierten DSG verschiebt sich also weiter auf Ende 2020 (Einführungskulanzfrist für laufende Prozesse nachfolgend rund 2 Jahre) und der bereits komplexe politische Prozess dürfte aufgrund zu erwartender weiterer Einsprachen auch seitens Wirtschaftsverbänden nicht einfacher werden. Aufgrund zunehmendem Druck (anstehende Äquivalenzprüfung EU, Sicherung schweizerischer Handelsinteressen) gilt jedoch als gesichert, dass die europäische DSVGO trotz teils bestehenden Abweichungen den engen Bezugsrahmen für das definitive DSG setzt. Gleichzeitig hat sich mittlerweile, insbesondere in digitalen Medien, der europäische Standard durch tägliche Nutzung wohl intuitiv durchgesetzt und kann als Masstab gelten. Damit steht weitestgehend fest, welche vorbereitendenden Arbeiten zwingend werden, um als Organisation bereit zu sein und den neuen Anforderungen genügen zu wollen (institutional readiness, compliance) – und es ist noch Zeit für eine optimale Vorbereitung.

Praktische Hilfen/Unterlagen für Swissfundraising-Mitglieder

Nach dem Handbuch für die Praxis und der Informationsveranstaltung mit Rechtsanwalt David Rosenthal (Homburger) legt die Swissfundraising-Arbeitsgruppe nun praktische Arbeitshilfen nach: Eine «Checkliste Compliance» möchte Organisationen dabei unterstützen, sich im Sinne der Selbstbeurteilung und Selbstdeklaration vorzubereiten und die wichtigsten Aspekte mit möglichst verhältnismässigem Aufwand zu erarbeiten bzw. abzudecken. Weiter bieten wir eine geführte Anleitung mit den wichtigsten Fragen rund um die Erstellung einer Datenschutzerklärung.

Die Unterlagen (Checkliste Compliance und Anleitung Datenschutzerklärung) stehen Swissfundraising-Mitgliedern im Memberbereich auf swissfundraising.org zur Verfügung.

Für die AG Swissfundraising «Datenschutz»: Ruth Wagner


AG Neue Datenschutzgesetze

  • Simon Bienz, Schweizerisches Rotes Kreuz
  • Christine Bill, HELVETAS Swiss Intercooperation
  • Roman Bolliger, Public Eye
  • Léonie Van de Vijfeijken, WWF Schweiz
  • Ruth Wagner, Swissfundraising / one marketing