Daten

Revidiertes Datenschutzgesetz tritt im September 2023 in Kraft

Der Bundesrat hat entschieden, das revidierte Datenschutzgesetz auf den 1. September 2023 in Kraft zu setzen. Gleichzeitig hat er vergangenen Mittwoch die Verordnung zum Datenschutzgesetz verabschiedet. Diese war in der Vernehmlassung von der Wirtschaft stark kritisiert worden und wurde nun in wichtigen Punkten, jedoch nicht umfassend zufriedenstellend, überarbeitet.

Das im Herbst 2020 revidierte Datenschutzgesetz und die dazugehörige Verordnung liegen nun vor. Damit neigt sich ein langer Prozess, der von einer intensiven parlamentarischen Beratung und technisch anspruchsvollen Diskussionen geprägt war, dem Ende zu.

Das Parlament hatte im Herbst 2022 nach über drei Jahren Debatten das neue Datenschutzgesetz verabschiedet. Eine Modernisierung des Gesetzes war angesichts der internationalen Entwicklungen notwendig geworden, damit der Datenaustausch mit unseren wichtigsten Handelspartnern weiterhin gewährleistet ist und die Schweizer Unternehmen keinen Wettbewerbsnachteil erhalten. Somit war seit Beginn der Revision die Gleichwertigkeit einer der grossen Treiber. Ein Entscheid der EU zur Bestätigung der Äquivalenz der Schweizer Datenschutzregelung steht indes nach wie vor aus, dies obwohl die Vorlage technisch eindeutig gleichwertig mit der Regelung in der EU ist.

Wirtschaft forderte Nachbesserungen

Während die Wirtschaft das vom Parlament beschlossene Datenschutzgesetz als Kompromiss, der die unterschiedlichen Positionen und Interessen im Land berücksichtigt, akzeptieren konnte, hatte der erste Entwurf der Verordnung Anlass für massive Kritik geboten. Der Entwurf hatte die politische Diskussion und das Gesetz an wesentlichen Stellen völlig ignoriert und wirkte so wie ein unabhängig entstandenes Regelwerk. Gerade auch im Verhältnis zur EU-Regulierung hätten zahlreiche überschiessende Swiss Finishes zu faktisch zwei Standards für die Unternehmen geführt. economiesuisse hatte sich in der Vernehmlassung daher nochmals mit Nachdruck für eine starke Überarbeitung und Verbesserung der Vorlage ausgesprochen.

Unnötige Pflichten bleiben leider erhalten

Zwar wurden in wichtigen Punkten Anpassungen beschlossen. Leider aber nicht bei allen. So wurde ohne Notwendigkeit an bürokratischen Pflichten wie der Protokollierung und dem Bearbeitungsreglement festgehalten. Dies entspricht nicht dem Sinne des Parlaments, welches sich bewusst für einen risikobasierten Ansatz und gegen eine Protokollierungspflicht ausgesprochen hatte. Für die Unternehmen wird diese Pflicht voraussichtlich noch zu Herausforderungen führen.

Bei den Pflichten des Datenschutzverantwortlichen hat der Bundesrat begrüssenswerterweise viel nachgebessert. So hat er sich auf den Gesetzestext zurückbesonnen, der sich nur an den Verantwortlichen und nicht an weitere Personen richtet. Auch der ursprüngliche Artikel 16 (Information über die Berichtigungen, Löschungen und Vernichtung sowie die Einschränkungen der Bearbeitung von Personendaten), der bereits im Rahmen der Vernehmlassung zum Gesetz aus der Vorlage entfernt worden war, wurde nun richtigerweise auch aus der Verordnung gestrichen.

Unternehmen sollten sich nun vorbereiten

economiesuisse hatte aufgrund des grossen Handlungsbedarfs für kleine und grosse Unternehmen gefordert, dass genügend Zeit zwischen der Publikation der endgültigen Texte und das Inkrafttreten ermöglicht würde. Der Bundesrat ist dieser Bitte gefolgt und die Unternehmen haben nun ein Jahr Zeit, die neuen Regelungen umzusetzen.

Diese Zeit sollte nun genutzt werden, der Anpassungsbedarf darf dabei nicht unterschätzt werden.