Mehr Transparenz bei der Bearbeitung von Personendaten; Bundesrat setzt revidiertes Datenschutzrecht auf den 1. Januar 2008 in Kraft
Bern, 28.09.2007 - Personen, deren Daten gesammelt und bearbeitet werden, müssen in Zukunft besser informiert werden und bei grenzüberschreitenden Bekanntgaben sind strengere Vorgaben als bisher zu beachten. Als weitere Neuerung sieht das revidierte Datenschutzgesetz (DSG) eine Stärkung der Selbstregulierung vor. Der Bundesrat hat am Freitag das revidierte DSG und die Ausführungsbestimmungen auf den 1. Januar 2008 in Kraft gesetzt.
Das revidierte DSG verpflichtet private Datenbearbeiter und Bundesorgane, die betroffene Person aktiv zu informieren, wenn sie besonders schützenswerte Daten (z. B. Daten betreffend Gesundheit oder religiöse Ansichten) und Persönlichkeitsprofile sammeln oder bearbeiten. Die betroffene Person muss mindestens über die Identität des Inhabers der Datensammlung, über den Zweck der Datenbearbeitung und über die allfälligen Datenempfänger informiert werden. Bei nicht besonders schützenswerten Daten muss für die betroffene Person zumindest erkennbar sein, dass Daten über sie beschafft werden.
Bei grenzüberschreitenden Bekanntgaben sind strengere Vorgaben als bisher zu beachten: Das Gesetz listet künftig abschliessend auf, unter welchen Voraussetzungen Personendaten in ausländische Staaten bekanntgegeben werden dürfen, wenn diese keine Datenschutzgesetzgebung kennen, die einen angemessenen Schutz gewährleistet.
Selbstregulierung stärken
Zudem werden Selbstregulierungsmechanismen im Bereich des Datenschutzes gestärkt: Das Gesetz fördert den Einsatz von unabhängigen betrieblichen Datenschutzverantwortlichen und von Datenschutzzertifizierungen, indem Datenbearbeitern, die solche Instrumente verwenden im Gegenzug gewisse Erleichterungen gewährt werden.
Das neue Recht garantiert zudem einen Mindeststandard für den Datenschutz in der ganzen Schweiz. Es legt die Anforderungen fest, die kantonale und kommunale Behörden bei der Bearbeitung von eidgenössischen Daten beachten müssen.
Der Bundesrat hat ferner entschieden, das Zusatzprotokoll zum Europäischen Übereinkommen zum Schutz der Menschen bei der automatischen Verarbeitung personenbezogener Daten auf Ende Jahr zu ratifizieren, damit es auf den 1. April 2008 in Kraft treten kann. Das revidierte DSG legt die Kriterien für eine rechtmässige grenzüberschreitende Datenübermittlung fest und gewährt dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ein Beschwerderecht im Rahmen seiner Aufsicht über die Bundesorgane.
Eine neue Bestimmung ermöglicht es schliesslich den Bundesbehörden, in einem zeitlich beschränkten Pilotversuch neue Datenbanken mit besonders schützenswerten Personendaten vor der Schaffung der erforderlichen formellgesetzlichen Grundlage zu testen. Diese Bestimmung ist indessen bereits früher in Kraft getreten.
Technische Anpassungen auf Verordnungsebene
Die Änderungen der Verordnung zum DSG regeln im Detail die Pflicht, Datensammlungen beim EDÖB anzumelden. Sie betreffen zudem die Pflicht, den EDÖB über Garantien oder konzerninterne Datenschutzregeln zu informieren, wenn Personendaten in Staaten bekannt gegeben werden, deren Datenschutzgesetzgebung keinen genügenden Schutz gewährleistet.
Die im revidierten DSG vorgesehenen Zertifizierungen, die der Verbesserung des Datenschutzes und der Datensicherheit dienen, erfordern ebenfalls Umsetzungsbestimmungen. Da es sich um eine vollständig neue Materie handelt, wird eine eigene Verordnung erlassen. Diese Verordnung regelt namentlich die Akkreditierung von Zertifizierungsstellen sowie gewisse Minimalanforderungen, denen die Datenschutzzertifizierung von Organisation und Verfahren bzw. von Produkten und Systemen genügen müssen. Die Durchführung von Zertifizierungen bleibt vollumfänglich privaten Zertifizierungsstellen überlassen.
Adresse für Rückfragen
Bundesamt für Justiz, T +41 58 462 48 48
Herausgeber
Eidgenössisches Justiz- und Polizeidepartement
http://www.ejpd.admin.ch
Bundesamt für Justiz
http://www.bj.admin.ch
Letzte Änderung 26.06.2024