RRB Nr. 1044/2021
Totalrevision der Verordnung zum Bundesgesetz über den Datenschutz, Vernehmlassung, Schreiben an das EJPD
22. September 2021Deutsch14 min
Source zh.ch
Totalrevision der Verordnung zum Bundesgesetz über den Datenschutz, Vernehmlassung, Schreiben an das EJPD
Auszug aus dem Protokoll des Regierungsrates des Kantons Zürich Sitzung vom 22. September 2021
1044. Totalrevision der Verordnung zum Bundesgesetz
Erwägungen
über den Datenschutz (Vernehmlassung) Mit Schreiben vom 23. Juni 2021 hat das Eidgenössische Justiz und Poli- zeidepartement das Vernehmlassungsverfahren zum Entwurf zur Total- revision der Verordnung zum Bundesgesetz über den Datenschutz (E- VDSG) eröffnet. Mit der Verordnung sollen Ausführungsbestimmungen zur beschlossenen Totalrevision des Bundesgesetzes über den Daten- schutz (nDSG) erlassen werden. Die zentralen Regelungspunkte der Vorlage sind die Folgenden: – Die Bestimmungen über die Mindestanforderungen an die Daten- sicherheit wurden überarbeitet und ergänzt, vor allem um die Vorga- ben der Schengen-relevanten Richtlinie (EU) 2016/680 umzusetzen. Es wurde zudem Wert auf die Kompatibilität mit der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) gelegt. Schweizer Unternehmen, die in der EU tätig sind und eine gemäss der DSGVO konforme Datensicherheit gewährleisten, sollen davon ausgehen kön- nen, dass sie auch die Mindestanforderungen gemäss schweizerischem Recht erfüllen. – Die Regelung zur Bekanntgabe von Personendaten ins Ausland wurde geändert, da nach dem nDSG der Bundesrat festlegt, welche Staaten oder internationale Organe einen angemessenen Datenschutz gewähr- leisten. – Die bisherigen Bestimmungen zum Datenschutzverantwortlichen so- wie zum Berater für den Datenschutz in den Departementen und der Bundeskanzlei werden durch diejenigen der Datenschutzberaterin bzw. des Datenschutzberaters ersetzt und die Aufgaben der Beraterinnen und Berater umschrieben. Sodann sollen künftig nicht mehr nur die Departemente, sondern alle Bundesorgane eine Beraterin oder einen Berater bezeichnen. – In Ausführung von Art. 12 Abs. 5 nDSG wird für kleine und mittlere Unternehmen mit weniger als 250 Mitarbeitenden eine Ausnahme von der Pflicht der Führung eines Verzeichnisses der Bearbeitungstätig- keiten vorgesehen, sofern sie keine risikobehafteten Datenbearbeitun- gen vornehmen. Dazu werden in einen Negativkatalog die risikobehaf- teten Datenbearbeitungen aufgezählt.
– Die Bestimmungen über die Eidgenössische Datenschutz- und Öffent- lichkeitsbeauftragte oder den Eidgenössischen Datenschutz- und Öf- fentlichkeitsbeauftragten wurden insbesondere aufgrund der im nDSG angepassten Aufgaben und Budgetkompetenzen an verschiedenen Stel- len ergänzt und angepasst. – Schliesslich enthält die Vorlage unter anderem Ausführungsbestim- mungen zu Auftragsbearbeitenden, zur Informationspflicht, zur Mel- dung von Verletzungen der Datensicherheit sowie zur Durchführung von Pilotversuchen.
Dispositiv
Auf Antrag der Direktion der Justiz und des Innern beschliesst der Regierungsrat:
I. Schreiben an das Eidgenössische Justiz- und Polizeidepartement, 3003 Bern (Zustellung auch per E-Mail als PDF- und Word-Version an jonas.amstutz@bj.admin.ch): Mit Schreiben vom 23. Juni 2021 haben Sie uns den Entwurf zur Total- revision der Verordnung zum Bundesgesetz über den Datenschutz (E- VDSG) zur Vernehmlassung unterbreitet. Wir danken für die Gelegen- heit zur Stellungnahme und äussern uns wie folgt:
1. Vorbemerkungen Kantone und Gemeinden sind von der Datenschutzverordnung des Bundes zwar nicht unmittelbar betroffen. Der Verordnungsentwurf kann ihnen jedoch als Orientierungshilfe dienen, um das kantonale bzw. kom- munale Recht an die raschen technologischen und rechtlichen Entwick- lungen anzupassen, die im Zusammenhang mit der Bearbeitung von Per- sonendaten auf europäischer und auf eidgenössischer Ebene zu beobach- ten sind. Zudem diente die Revision des Bundesgesetzes vom 25. Septem- ber 2020 über den Datenschutz (nDSG) neben der Anpassung des Daten- schutzes an die technologische Entwicklung und an die Herausforderun- gen der Digitalisierung vorab dem Ziel, dass die Schweiz von der EU weiterhin als Drittstaat mit angemessenem Datenschutz anerkannt wird. Ohne einen entsprechenden Angemessenheitsbeschluss der EU und ohne den freien Datenverkehr wären beträchtliche Wettbewerbsnachteile für die Schweiz zu erwarten. Mit dem vorliegenden Verordnungsentwurf sollte dies erreicht werden. Die vorliegenden Ausführungsbestimmungen erhöhen jedoch den Umsetzungsaufwand für Unternehmen. Soweit der Angemessenheitsbeschluss der EU nicht gefährdet wird, ersuchen wir Sie, deshalb zu prüfen, ob Anforderungen, die zu einem erheblichen adminis- trativen Aufwand für Unternehmen führen, in Teilbereichen begrenzt werden können (vgl. auch die nachfolgenden Bemerkungen zu einzelnen Bestimmungen).
2. Zu den Bestimmungen im Einzelnen Vorbemerkungen zu Art. 1–4 E-VDSG (Datensicherheit): Art. 1–4 E-VDSG konkretisieren die Anforderungen an die Daten- sicherheit gemäss Art. 8 nDSG. Unseres Erachtens fehlen den Bestim- mungen objektive Tatbestandsmerkmale bezüglich der strafbaren Unter- lassung (Art. 61 Abs. 1 Bst. c nDSG). Für die Rechtsunterworfenen ist damit nicht klar, wann sie sich strafbar machen. Mit Bezug auf die Daten- sicherheit weisen wir zudem darauf hin, dass mit dem Bundesgesetz vom 18. Dezember 2020 über die Informationssicherheit (Informationssicher- heitsgesetz) ebenfalls Anforderungen an die Datensicherheit formuliert wurden. Auch wenn der Geltungsbereich der Gesetze nicht deckungs- gleich ist, sollten die Grundsätze doch übereinstimmen. Wir regen des- halb an, die Bestimmungen mit Blick auf das Informationssicherheits- gesetz zu überarbeiten. Die Regelung müsste Kriterien zur Beurteilung des Schutzbedarfs und der Risiken enthalten und entsprechende Sicher- heitsmassnahmen vorschlagen. Zu Art. 1 E-VDSG: Zu Abs. 1: Es sollte entsprechend Art. 32 der Verordnung (EU) 2016/ 679 (Datenschutz-Grundverordnung, DSGVO) vom 27. April 2016 in den Vordergrund gestellt werden, dass ein dem Risiko angemessenes Schutz- niveau gewährleistet wird. Dazu sind die Schutzziele, die in Art. 5 Bst. h nDSG aufgezählt sind, der Schutzbedarf (Art. 1 Abs. 1 Bst. a E-VDSG) und die Risiken (entsprechend Art. 22 nDSG) zu ermitteln und gestützt darauf die angemessenen Massnahmen festzulegen. Diese Grundsätze sollten aus der Bestimmung klarer hervorgehen. Zu Art. 2 E-VDSG: Die Aufzählung der Schutzziele wurde aus der geltenden Verordnung übernommen und mit Bestimmungen aus der DSGVO ergänzt. Im Grund- satz gehen die Schutzziele bereits aus Art. 5 Bst. h nDSG hervor und las- sen sich mit den folgenden, in der Informatiksicherheit üblichen Schutz- zielen zusammenfassen: Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit (so auch Erläuternder Bericht, S. 15). Wir regen an, die Schutzziele in einer verständlicheren Weise umzuformulieren. Zu ergänzen ist, dass der Einleitungssatz missverständlich ist: Die Massnahmen müssen angemessen sein in Bezug auf die in der Risikobe- urteilung festgestellten Risiken und nicht in Bezug auf die Schutzziele. Zu Art. 3 E-VDSG: Art. 3 E-VDSG sieht eine ausführliche Protokollierung der Datenbe- arbeitungen sowohl für private Verantwortliche als auch für die Bundes- organe vor. Unseres Erachtens wird mit der vorgeschlagenen Regelung die Protokollierung als Massnahme der Informatiksicherheit überbewer-
tet. Die Protokollierung hat zum Zweck, dass in Situationen, in denen ein unberechtigtes Bearbeiten von Personendaten nicht von vornherein tech- nisch ausgeschlossen werden kann, im Nachhinein mittels Auswertung eines Protokolls ein unberechtigtes Bearbeiten festgestellt (und unter Umständen sanktioniert) werden kann. Sie ergibt sich folglich aus der Risikobeurteilung und der Massnahmenplanung und soll insbesondere angeordnet werden, wenn besonders schützenswerte Personendaten be- arbeitet werden. Dies ist im Rahmen der Abklärungen gemäss einem an- gepassten Art. 1 zu ermitteln, weshalb wir die Weglassung von Art. 3 E- VDSG anregen. Die Vorgabe für die privaten Verantwortlichen, bei bestehenden hohen Risiken eine Protokollierung umzusetzen (Art. 3 Abs. 1 E-VDSG), wider- spricht zudem dem Konzept, keine konkreten Massnahmen festzulegen (Erläuternder Bericht, S. 14), und verkennt in dieser absoluten Form die Möglichkeiten der Protokollierung. Sodann sollen die Protokolle gemäss Art. 3 Abs. 4 E-VDSG während zwei Jahren aufbewahrt werden und dürfen nur zur Überwachung der Datenschutzvorschriften oder die Wiederherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Daten verwendet werden. Dabei ist in Betracht zu ziehen, dass diese Vorgabe zum Aufbau riesiger Datensammlungen führen würde, was Missbrauchspotenzial mit sich bringen würde. Je nach Ziel der Protokollierung (Überwachung der Datenschutzvorschriften, Wiederherstellung von Sicherheitslücken) ist eine Aufbewahrung von wenigen Tagen oder Monaten angemessen. Zu Art. 4 E-VDSG: Die Erstellung eines Bearbeitungsreglements wird für private Ver- antwortliche und deren Auftragsbearbeitende beschränkt auf die Fälle, in denen diese «umfangreich besonders schützenswerte Personendaten bearbeiten» (Abs. 1 Bst. a) oder «ein Profiling mit hohem Risiko durch- führen» (Abs. 1 Bst. b). Durch diese Beschränkung wird nur ein Teil der für die Persönlichkeitsrechte kritischen Datenbearbeitungen abgedeckt. Ein Reglement sollte dann nötig sein, wenn die Voraussetzungen zur Vor- nahme einer Datenschutz-Folgenabschätzung gegeben sind (Die Bearbei- tung weist ein hohes Risiko für die Persönlichkeit und die Grundrechte der betroffenen Personen auf, Art. 22 Abs. 1 nDSG). Im Rahmen der Datenschutz-Folgenabschätzung werden zudem zahlreiche Dokumente erstellt (Art. 22 Abs. 3 nDSG), die Teil des Bearbeitungsreglements sein können. Art. 4 Abs. 2 E-VDSG enthält Mindestanforderungen für das Daten- bearbeitungsreglement. Es sollte hier ein Konnex zu den Standards in der Informatik hergestellt werden: Es könnte auf diese verwiesen und beim Vorhandensein einer Zertifizierung (z. B. ISO 27001) auf die separate Erstellung eines Datenbearbeitungsreglements verzichtet werden.
Art. 4 Abs. 3 E-VDSG erscheint praxisfern. Die Datenschutzberaterin oder der Datenschutzberater ist die Fachperson bei einem Verantwort- lichen, und ein Bearbeitungsreglement wird zusammen mit ihr oder ihm erstellt und nicht «der Datenschutzberaterin oder dem Datenschutzbe- rater in einer für diese oder diesen verständliche Form zur Verfügung» gestellt. Es gehört zu den Aufgaben der Datenschutzberaterin oder des Datenschutzberaters, bei der Anwendung der Datenschutzvorschriften mitzuwirken (Art. 10 Abs. 2 Bst. b nDSG). Zudem muss die Datenschutz- beraterin oder der Datenschutzberater über die erforderlichen Fachkennt- nisse verfügen (Art. 10 Abs. 3 Bst. c nDSG). Art. 4 Abs. 3 E-VDSG ist des- halb wegzulassen. Zu Art. 5 E-VDSG: Wir verweisen hierzu auf die Ausführungen zu Art. 4 E-VDSG. Zu Art. 7 E-VDSG: Auch die Datenschutzberaterin oder der Datenschutzberater des Bun- desorgans hat bei der Anwendung der Datenschutzvorschriften mitzu- wirken. Es widerspricht dem präventiven und risikoorientierten Ansatz des nDSG, wenn die Datenschutzberaterin oder der Datenschutzberater lediglich nachträglich über den Abschluss eines Outsourcingvertrages oder bei einer Funktionsübertragung informiert werden soll. Es ist eine Kernaufgabe einer Datenschutzberaterin oder eines Datenschutzbera- ters, bei solchen Geschäften mitzuwirken («Mitwirkung bei der Anwen- dung der Datenschutzvorschriften»). Die Datenschutzberaterin oder der Datenschutzberater ist rechtzeitig zu informieren, wie dies bei den Daten- bearbeitungsprojekten vorgesehen ist (Art. 31 E-VDSG). Art. 7 E-VDSG ist deshalb wegzulassen. Art. 8 E-VDSG: Bei den Formulierungen in Art. 8 E-VDSG fällt auf, dass die oder der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) konsultiert wird (Abs. 6), während die Beurteilungen von internationa- len Organisationen oder ausländischen Behörden berücksichtigt werden können (Abs. 2). Mit einer Anpassung der Formulierung ist klarzustel- len, dass auch die Stellungnahmen des EDÖB berücksichtigen werden können. Zu Art. 13 E-VDSG: Art. 19 nDSG enthält keine direkte Informationspflicht der Auftrags- datenbearbeiterin oder des Auftragsdatenbearbeiters. Eine Informations- pflicht der Auftragsdatenbearbeiterin oder des Auftragsdatenbearbeiters kann sich deshalb nur aus einem Auftrag ergeben. In der Verordnung kann sie unseres Erachtens nicht geschaffen werden.
Zu Art. 18 E-VDSG: Art. 18 E-VDSG schreibt vor, dass eine Datenschutz-Folgenabschät- zung schriftlich festzuhalten und bis zwei Jahre nach Beendigung der Datenbearbeitung aufzubewahren ist. Wir bezweifeln den Nutzen dieser Aufbewahrungspflicht. Einerseits fliessen die Ergebnisse der Daten- schutz-Folgenabschätzung direkt in die beurteilte Datenbearbeitung ein und anderseits ist die Datenschutz-Folgenabschätzung als Moment- aufnahme sehr schnell veraltet. Es erscheint als ausreichend, die Daten- schutz-Folgenabschätzung nach Aufnahme der Datenbearbeitung noch ein Jahr aufzubewahren. Zu Art. 19 E-VDSG: Art. 24 Abs. 1 nDSG sieht eine Meldung von Verletzungen der Daten- sicherheit nur in Fällen vor, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen. Art. 24 Abs. 2 nDSG präzisiert den Inhalt der Meldung und nennt die Voraussetzungen für die Information der betroffenen Personen (Art. 24 Abs. 4 und 5 nDSG). Mit Art. 24 nDSG wird (bewusst) von Art. 33 DSGVO abgewichen. Dennoch werden in Art. 19 E-VDSG die Bestimmungen von Art. 33 DSGVO weitgehend übernommen. Dies ist einzig für Verantwortliche dienlich, die auch der DSGVO unterliegen, was für die Mehrheit der Ver- antwortlichen nicht der Fall ist. Art. 19 E-VDSG bringt damit unnötige Zusatzbestimmungen, vielfach eingeschränkt mit der Bemerkung «wenn möglich». Dies ist dem Institut der Meldepflicht wenig dienlich: Es will ja in erster Linie, dass die Aufsichtsbehörde und allenfalls auch die be- troffenen Personen rasch informiert werden und dass Massnahmen zum Schutz der Personendaten umgehend getroffen werden. Eine Konkreti- sierung von Art. 24 nDSG durch Art. 19 E-VDSG erscheint nicht nötig. Zudem ist die in Art. 19 Abs. 5 E-VDSG vorgesehene Aufbewahrungs- dauer der Unterlagen von drei Jahren nicht nachvollziehbar, weil die Unterlagen in einem Strafverfahren nur mit der Einwilligung der melde- pflichtigen Person verwendet werden dürfen. Es ist ausreichend, wenn die Aufsichtsbehörde die Meldung nach den für sie ohnehin geltenden Aufbewahrungsvorschriften aufbewahrt. Eine Spezialbestimmung ist nicht erforderlich. Zu Art. 20 E-VDSG: Art. 25 f. nDSG regeln das Auskunftsrecht und dessen Einschränkun- gen ausführlich. Art. 20 E-VDSG bringt hierzu zwar einige Konkretisie- rungen, diese sind jedoch nur zum Teil notwendig.
Art. 20 Abs. 3 E-VDSG hält fest, dass die Auskunft für die betroffene Person verständlich sein muss. Dies ist irreführend. Der Inhalt der Aus- kunft ist in Art. 25 Abs. 2 nDSG festgelegt. Daraus ergeben sich der Um- fang und der Zweck der Auskunft. Dies bemisst sich nach objektiven Kri- terien. Das Abstellen auf die individuell um Auskunft ersuchende Person würde für die Verantwortlichen bedeuten, dass sie mehr Angaben zu dieser Person bearbeiten müssten und das Auskunftsrecht nicht mehr als selbstverständlicher Standard des Datenschutzrechts in die Prozesse der Verantwortlichen integriert werden könnte. Art. 20 Abs. 3 E-VDSG ist deshalb wegzulassen. Art. 20 Abs. 4 E-VDSG verpflichtet die Verantwortlichen, «die Per- sonendaten der betroffenen Person bei der Auskunftserteilung vor dem Zugriff unberechtigter Dritter zu schützen». Dies ergibt sich bereits aus Art. 8 nDSG und den Bestimmungen des 1. Kapitels der E-VDSG, wes- halb dieser Hinweis in Art. 20 Abs. 4 E-VDSG wegzulassen ist. Art. 26 Abs. 4 nDSG sieht vor, dass die oder der Verantwortliche an- geben muss, weshalb die Auskunft verweigert, eingeschränkt oder auf- geschoben wird. Dies ist ausreichend für die betroffene Person, um ihren Auskunftsanspruch allenfalls gerichtlich geltend zu machen. Die Auf- lage an die Verantwortlichen in Art. 20 Abs. 5 E-VDSG, die Einschrän- kung des Auskunftsrechts zu dokumentieren und diese Dokumentation mindestens drei Jahre aufzubewahren, bringt einen Mehraufwand, ohne ersichtliche Auswirkungen im Hinblick auf die Geltendmachung oder die Durchsetzung des Auskunftsrechts durch die betroffene Person. Art. 20 Abs. 5 E-VDSG ist deshalb wegzulassen. Zu Art. 21 E-VDSG: Art. 21 Abs. 1 E-VDSG sieht vor, dass Verantwortliche, die für die Behandlung eines Begehrens nicht zuständig sind, dieses dem zuständi- gen Verantwortlichen weiterleiten. Dies kann im öffentlich-rechtlichen Bereich vorgesehen werden. Im privatrechtlichen Verhältnis legen die Par- teien ihre Rechte und Pflichten aber autonom fest. Die gleiche Auflage auch dem privatrechtlichen Verantwortlichen zu machen, ist deshalb un- verhältnismässig. Sie führt zu einem Aufwand für die privatrechtlichen Verantwortlichen, die «zuständigen» Verantwortlichen ausfindig zu ma- chen, ohne dass dadurch die Rechte der betroffenen Personen gestärkt würden. Art. 21 Abs. 1 zweiter Satz E-VDSG ist deshalb anzupassen. Zu Art. 24 E-VDSG: Art. 24 E-VDSG enthält eine Konkretisierung von Art. 28 nDSG, in- dem auf die sinngemässe Anwendung von Bestimmungen zum Auskunfts- recht verwiesen wird. Dies wird dem neuen Rechtsinstitut der «Daten- portabilität» nicht gerecht und verkennt den durchaus vorhandenen Be- darf einer Konkretisierung der gesetzlichen Bestimmung (beispielsweise
in Bezug auf die «gängigen elektronischen Formate» oder den «unverhält- nismässigen Aufwand» bei der direkten Übertragung von einem Ver- antwortlichen zu einem anderen). Zudem wäre auch in Bezug auf die Aus- nahmen der Kostenlosigkeit eine andere Regelung als beim Auskunfts- recht denkbar, da hier nicht der Persönlichkeitsschutz, sondern der wirt- schaftliche Wert der Daten im Vordergrund steht. Wir regen deshalb eine Überprüfung der Bestimmung an. Zu Art. 25 E-VDSG: Art. 25 E-VDSG hält fest, welche Aufgaben die Datenschutzberaterin oder der Datenschutzberater wahrnehmen muss. Es wird dabei kein Be- zug auf Art. 10 Abs. 2 nDSG genommen, der namentlich zwei Aufgaben aufzählt: die Schulung und Beratung sowie die Mitwirkung bei der An- wendung der Datenschutzvorschriften. Diese gesetzlichen Aufgaben sind umfassend, weshalb die Aufgaben in Art. 25 Abs. 1 Bst. a und b E-VDSG nicht die Aufgaben sind, die sie oder er wahrnehmen muss, sondern ledig- lich eine Konkretisierung der bereits in Art. 10 Abs. 2 nDSG festgehal- tenen Aufgaben. Die Formulierung in Art. 25 Abs. 1 E-VDSG ist deshalb missverständlich und sollte angepasst werden. Zu Art. 26 E-VDSG: In Anwendung von Art. 12 Abs. 5 nDSG sieht Art. 26 E-VDSG vor, dass Verantwortliche mit weniger als 250 Mitarbeitenden nur ein Verzeich- nis der Bearbeitungstätigkeiten führen müssen, wenn «umfangreich be- sonders schützenswerte Personendaten bearbeitet» werden (Bst. a) oder «ein Profiling mit hohem Risiko durchgeführt» wird (Bst. b). Wir verwei- sen auf unsere Ausführungen zu Art. 4 Abs. 1 E-VDSG und erachten es auch hier als angezeigt, die Voraussetzungen für die Datenschutz-Folgen- abschätzung zu übernehmen (Die Bearbeitung weist ein hohes Risiko für die Persönlichkeit und die Grundrechte der betroffenen Personen auf; Art. 22 Abs. 1 nDSG). Zu Art. 36 E-VDSG: Diese Bestimmung ist nicht nötig. Die angestrebte Präzisierung (Be- arbeitung nur für nicht personenbezogene Zwecke) ergibt sich bereits aus dem Ingress von Art. 39 nDSG ausreichend klar.
II. Mitteilung an die Mitglieder des Regierungsrates sowie an die Direktion der Justiz und des Innern.
Vor dem Regierungsrat Die Staatsschreiberin:
Kathrin Arioli