Der Nationalrat hat in der Frühlingssession einige Differenzen zum Ständerat bereinigen können. Uneinigkeiten verbleiben jedoch insbesondere im Zusammenhang mit dem Profiling und den genetischen Daten.

English version below

Der Nationalrat hat am 5. März 2020 im Rahmen des Differenzbereinigungsverfahrens die noch bestehenden Differenzen zwischen dem national- und dem ständerätlichen Entwurf des neuen Datenschutzgesetzes beraten. Nachfolgend geben wir Ihnen einen Überblick über die bereinigten sowie die weiterhin bestehenden Differenzen.

Bereinigte Differenzen

Der Nationalrat hat insbesondere folgende weitere Änderungen am Gesetzesentwurf vorgenommen und ist damit den entsprechenden Vorschlägen des Ständerats gefolgt:

  • Definition von besonders schützenswerten Personendaten: Die ausdrückliche Nennung von Daten über gewerkschaftlichen Ansichten und Tätigkeiten soll im Entwurf belassen werden.
  • Ausnahme von der Informationspflicht: Die Ausnahme von der Informationspflicht in Fällen von unverhältnismässigem Aufwand soll gestrichen werden, in Übereinstimmung mit der ursprünglichen Fassung des Bundesrates.
  • Umfang des Auskunftsrechts: Die betroffene Person soll stets Auskunft über das Vorliegen einer automatisierten Einzelentscheidung sowie über die Logik, auf welcher die Entscheidung beruht, erhalten.
  • Konzernprivileg: Für die konzerninterne Datenbekanntgabe sollen Erleichterungen bei der Informations- und Auskunftspflicht sowie beim Rechtfertigungsgrund des überwiegenden Interesses an der Bearbeitung von Daten von Konkurrenten eingeführt werden, indem Konzerngesellschaften diesbezüglich nicht als Dritte gelten sollen.
  • Voraussetzungen für ein überwiegendes Interesse an Bonitätsprüfungen: Es soll verlangt werden, dass die von Bonitätsprüfungen betroffenen Personen volljährig sind.
  • Sanktionierbare Verletzung von Sorgfaltspflichten: Die vorsätzliche Nichteinhaltung der Mindestanforderungen an die Datensicherheit soll mit Busse bis zu Fr. 250’000 sanktionierbar sein.

Verbleibende Differenzen und weiteres Vorgehen

Die folgenden Differenzen hat der Nationalrat noch nicht bereinigt:

  • Definition von besonders schützenswerten Personendaten: Genetische Daten sollen gemäss dem Nationalrat nur dann besonders schützenswert sein, wenn sie eine Person eindeutig identifizieren.
  • Profiling mit hohem Risiko: Wie der Ständerat schlägt der Nationalrat zwar eine Unterscheidung zwischen «Profiling» und «Profiling mit hohem Risiko» vor, doch soll letzteres anders definiert werden. Um Profiling mit hohem Risiko, welches an strengere Bedingungen geknüpft ist, soll es sich gemäss dem Nationalrat nur dann handeln, wenn dieses zu besonders schützenswerten Personendaten führt.
  • Umfang der Informationspflicht: Der Mindestinhalt der Informationspflicht soll gemäss Nationalrat nicht um die Liste der Rechte der betroffenen Personen sowie um die Angabe der Absicht der Datenbearbeitung zur Prüfung der Kreditwürdigkeit der betroffenen Person und einer damit zusammenhängenden Datenbekanntgabe an Dritte erweitert werden, wie dies vom Ständerat vorgeschlagen wurde.
  • Umfang des Auskunftsrechts: Analog zum Umfang der Informationspflicht soll die Information über das Vorliegen einer Datenbearbeitung zur Prüfung der Kreditwürdigkeit der betroffenen Person sowie der Logik, auf der die Bearbeitung beruht, nicht als der betroffenen Person mitzuteilende Mindestinformation aufgeführt werden. Ausserdem hält der Nationalrat daran fest, dass lediglich die bearbeiteten Personendaten «als solche» in den Mindestkatalog der mitzuteilenden Informationen aufgenommen werden sollen.
  • Voraussetzungen für ein überwiegendes Interesse an Bonitätsprüfungen: Die im Rahmen von Bonitätsprüfungen bearbeiteten Daten sollen gemäss Nationalrat nicht älter als zehn Jahre sein dürfen, und nicht wie vom Bundes- und Ständerat vorgeschlagen maximal fünf Jahre.

Diese weiterhin bestehenden Differenzen sollen nun in einer Sondersession am 4. Mai 2020 vom Ständerat beraten werden. Der definitive Gesetzesentwurf wird damit wohl frühestens nach der Sommersession im Juni 2020 vorliegen.

Wir werden Sie auch weiterhin über den Verlauf des Revisionsverfahrens informieren. Gerne beraten Sie unsere Spezialisten hinsichtlich der möglichen Auswirkungen des Gesetzesentwurfs auf Ihr Unternehmen.

English version

Revision of the Federal Act on Data Protection:
National Council resolves a number of differences

During the spring session, the National Council was able to resolve a number of differences to the Council of States. However, disagreements remain in particular regarding profiling and genetic data.

On 5 March 2020, the National Council discussed the differences between its first amendments to the draft law of the Federal Council and the amendments thereto made by the Council of States during the procedure for the resolution of differences. In the following, we provide you with an overview of the resolved as well as the remaining differences between the two councils’ amendments to the draft law.

Resolved differences

The National Council adopted in particular the following further amendments to the draft law and, by doing so, followed the corresponding proposals of the Council of States:

  • Definition of sensitive personal data: Data on trade union-related views and activities shall be mentioned explicitly in the definition of sensitive personal data.
  • Exceptions to the obligation to provide information: In accordance with the Federal Council’s original draft, it shall not be possible to use a disproportional effort as justification for not providing the information.
  • Extent of the right of access: The data subject shall always be informed if data is being processed for an automated individual decision-making and about the logic on which the decision is based.
  • Intra group exemption: The intra group data disclosure shall be facilitated, in particular regarding the obligation to provide information, the right of access and the overriding interest as justification for the processing of competitors’ data, by not considering group companies as third parties in this context.
  • Preconditions for an overriding interest in credit assessments: Data subjects whose credit worthiness is being verified shall be of age.
  • Sanctioned breach of duty of care: A willful breach of the minimum standard for data security shall be sanctioned with a fine of up to CHF 250,000.

Remaining differences and further actions

The National Council has not yet resolved the following differences:

  • Definition of sensitive personal data: According to the National Council, genetic data shall only be considered as sensitive personal data if it serves to uniquely identify a person.
  • Profiling with high risk: In accordance with the Council of States, the National Council proposed a differentiation between “profiling” and “profiling with high risk”. However, the latter – for which more stringent requirements must be fulfilled – shall be defined differently, covering only situations where the profiling results in sensitive personal data.
  • Extent of the obligation to provide information: The National Council rejected the proposition of the Council of States to extend the statutory minimum list of information to be provided to the data subject with a list of the data subjects’ rights and with the controller’s intention of processing data in order to verify data subjects’ credit worthiness and a disclosure of this data to third parties.
  • Extent of the right of access: The National Council rejected the suggestion of the Council of States to extend the statutory minimum list of information to be provided to the data subject if access is requested. Hence, the list of information, according to the National Council, shall not include the information if data is being processed for the verification of the data subject’s credit worthiness and about the logic on which this processing is based. Furthermore, the National Council insisted that only the processed personal data “as such” shall be added to the minimum list of information.
  • Preconditions for an overriding interest in credit assessments: According to the National Council, the personal data processed for credit assessments shall not be older than ten years. The Federal Council and the Council of States had proposed a maximum of five years.

The Council of States is expected to debate the remaining differences in the upcoming special session on 4 May 2020. Consequently, the final version of the draft law will presumably be adopted, at the earliest, in the summer session in June 2020.

We will continue to keep you informed about further progress in the revision procedure. Our specialists will be happy to advise you regarding possible impacts the amended draft law might have on your company.