Das neue Datenschutzgesetz (nDSG) wurde vom Parlament in der Herbstsession 2020 verabschiedet. Damit es in Kraft treten kann, müssen zahlreiche Bestimmungen auf Verordnungsebene konkretisiert werden. Der Bundesrat hat am 23. Juni 2021 die Vernehmlassung zum Entwurf der neuen VDSG (E-VDSG) eröffnet.
Im E-VDSG werden in den allgemeinen Bestimmungen zunächst die Mindestanforderungen an die Datensicherheit definiert. Der Bundesrat hat dabei am geltenden risikobasierten Ansatz der Datensicherheit angeknüpft und die materiell-rechtlichen Vorgaben im Grundsatz übernommen. Anpassungen wurden vorgenommen, wo dies aufgrund der Digitalisierung und des technischen Fortschritts, der Vorgaben im nDSG oder der für die Schweiz massgeblichen Richtlinie EU 2016/679 angezeigt erschien. Dabei wurde auch Wert gelegt auf die Kompatibilität mit der DSGVO. Neu sollen gemäss E-VDSG private Unternehmen zwingend (mit Strafandrohung!) ein Bearbeitungsreglement für automatisierte Bearbeitungen führen müssen, wenn sie umfangreich besonders schützenswerte Personendaten bearbeiten oder ein Profiling mit hohem Risiko durchführen.
Der Abschnitt zur Bekanntgabe von Personendaten ins Ausland wurde in E-VDSG von Grund auf geändert, da neu der Bundesrat festlegt, welche Staaten oder internationalen Organe einen angemessenen Datenschutz gewährleisten. Der E-VDSG regelt die Kriterien, die der Bundesrat bei seinem Entscheid berücksichtigt. Die Staaten und internationalen Organe, bei denen der Bundesrat einen angemessenen Schutz festgestellt hat, werden als Positiv-Liste in einem Anhang zum E-VDSG geführt.
Wie nach heutigem Recht, müssen Auskunftsbegehren auch gemäss E-VDSG grundsätzlich in schriftlicher Form gestellt werden. Der Verantwortliche kann sich neu aber auch mit Begehren in mündlicher Form einverstanden erklären. Auf das neue Recht der Datenherausgabe und -übertragung des nDSG sollen die Bestimmungen zum Auskunftsrecht des E-VDSG sinngemäss angewendet werden.
Ferner regelt der E-VDSG die Ausnahme von der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten. Unternehmen mit weniger als 250 Mitarbeitenden sind befreit, wenn sie weder umfangreich besonders schützenswerte Personendaten bearbeiten noch ein Profiling mit hohem Risiko durchführen.
Die Vernehmlassung zum E-VDSG läuft bis zum 14. Oktober 2021. Derzeit ist vorgesehen, dass das nDSG und die neue VDSG gleichzeitig in der zweiten Jahreshälfte 2022 in Kraft treten. Das genaue Datum ist aber noch nicht festgelegt.