During the summer session, the Council of States has given its position towards the differences between its last proposal and the draft law on data protection proposed by the National Council in March. Particularly, the Council of States addressed the outstanding disagreements regarding profiling and genetic data.

German version below
French version below

In its session of 2 June 2020, the Council of States joined the National Council on several points relating to the revision of the Federal Act on Data Protection, while maintaining certain differences. In particular, it advocated a stricter definition of “high-risk profiling”.

The Council of States followed the National Council’s proposal in the following subjects and thus cleared these differences:

  • Information duty: The duty to inform data subjects about their rights as well as about the fact that their data will be used to assess creditworthiness will not be included in the list of minimal information elements in context of data processing.
  • Access right: In case of an access request, the data controller has to provide the data subject with the personal data as such, and information regarding the use of data to assess creditworthiness does not have to be included per se.

Remaining differences and further actions

The following differences remain:

  • Profiling with high risk: The Council of States revised the definition of high-risk profiling originally proposed by the National Council aiming to provide more clarification. The revised formulation is based on the definition of personality profiles. According to the Political Institutions Committee of the Council of States, this revised definition of high-risk profiling aims to provide the same level of protection as the current law.

    A minority in the Council of States, however, voted for the National Council’s version to be followed, fearing that the definition chosen by the Committee would lead to a de facto ban on profiling.
  • Definition of sensitive personal data: The National Council wanted to protect only genetic data that uniquely identifies a person in the category of sensitive personal data. According to the Council of States, genetic data are per se particularly sensitive data and deserve protection as such. The difference between the two councils remains.
  • Preconditions for an overriding interest in credit assessments: Regarding data processed to assess a person’s creditworthiness, a minority proposed to follow the National Council’s proposal of a 10 year-period and explicitly wanted to include that data from public registers should not be subject to any time limit. However, the Council of States did not follow this minority proposal and maintained that such data should not be older than five years.

During the debate, Federal Councilor Karin Keller-Suter pointed out that the timely entry into force of the revised data protection law is particularly important for the Swiss economy. However, the Political Institutions Committee of the National Council has announced that it will discuss the remaining differences in their meeting in July only. It is therefore expected that the National Council will further debate the differences in the next autumn session, which is scheduled for 7 to 19 September 2020.

In addition to the discussion of the revised Federal Act on Data Protection, theCouncil of States also discussed the amendment to the Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (Convention 108) and decided to integrate it into the revised data protection law. With this, the Council of States followed the National Council’s proposal. In this context, Federal Councilor Karin Keller-Suter stressed the importance of the Convention 108 and the recognition of an adequate level of data protection in Switzerland by the European Commission. The European Commission’s decision on the adequacy of Swiss data protection law is expected by mid-June 2020.

We will keep you informed about the coming developments in the revision procedure. Our team is looking forward to advising your company on the new law’s possible impacts.

German version

Revision Datenschutzgesetz: Ständerat geht verbleibende Differenzen an

In der Sommersession hat der Ständerat zu den verbleibenden Differenzen zwischen seinem letzten Vorschlag und dem Gesetzesentwurf des Nationalrats vom März Stellung genommen. Er ist dabei insbesondere auf die bestehenden Uneinigkeiten beim Profiling und bei den genetischen Daten eingegangen.

In seiner Session vom 2. Juni 2020 hat sich der Ständerat bezüglich der Revision des Datenschutzgesetzes zwar in einigen Punkten dem Nationalrat angeschlossen, es verbleiben jedoch weiterhin diverse Differenzen. Insbesondere hat der Ständerat für eine striktere Definition von «Profiling mit hohem Risiko» plädiert.

Der Ständerat ist dem Vorschlag des Nationalrats bei den folgenden Themen gefolgt und hat diese Differenzen somit bereinigt:

  • Informationspflicht: Die Pflicht, die betroffenen Personen über ihre Rechte und über die Tatsache, dass ihre Daten zur Prüfung der Kreditwürdigkeit verwendet werden, zu informieren, wird nicht in den Mindestinhalt der Informationspflicht aufgenommen.
  • Auskunftsrecht: Im Falle eines Auskunftsbegehrens muss der Verantwortliche die Personendaten als solche für die betroffene Person bereitstellen. Zudem muss die Information über die Verwendung der Daten zur Prüfung der Kreditwürdigkeit nicht per se in die Datenschutzinformation aufgenommen werden.

Verbleibende Differenzen und weiteres Vorgehen

Die folgenden Differenzen bleiben bestehen:

  • Profiling mit hohem Risiko: Der Ständerat hat die vom Nationalrat vorgeschlagene Definition von Profiling mit hohem Risiko überarbeitet, um damit mehr Rechtssicherheit zu schaffen. Die revidierte Formulierung basiert auf der Definition von Persönlichkeitsprofilen. Laut der Staatspolitischen Kommission des Ständerats zielt diese überarbeitete Definition von Profiling mit hohem Risiko darauf ab, das Schutzniveau des geltenden Datenschutzgesetzes aufrechtzuerhalten.

    Eine Minderheit des Ständerats hat dafür gestimmt, der Definition des Nationalrats zu folgen, da sie befürchtete, dass die durch die Kommission vorgeschlagene Definition zu einem de facto Verbot von Profiling führen würde.
  • Definition von besonders schützenswerten Personendaten: Der Nationalrat hatte beantragt, nur genetische Daten, die eindeutig eine Person identifizieren, in die Kategorie besonders schützenswerter Personendaten aufzunehmen. Gemäss Beschluss des Ständerats sind genetische Daten jedoch per se besonders schützenswerte Daten und verdienen Schutz als solche. Die Unstimmigkeit zwischen den beiden Räten bleibt bestehen.
  • Voraussetzungen für ein überwiegendes Interesse an Bonitätsprüfungen: Bezüglich Daten, welche zur Prüfung der Kreditwürdigkeit einer Person bearbeitet werden, hat eine Minderheit des Ständerats vorgeschlagen, dem Vorschlag des Nationalrats zu folgen, wonach die Datengrundsätzlich nicht älter als 10 Jahre sein dürfen. Ausserdem sollten für Daten aus öffentlichen Registern keine zeitlichen Einschränkungen gelten. Der Ständerat ist diesem Minderheitsantrag jedoch nicht gefolgt und hat beschlossen, dass Daten zur Prüfung der Kreditwürdigkeit einer Person nicht älter als fünf Jahre sein dürfen.

Im Verlauf der Debatte hat Bundesrätin Karin Keller-Suter angeführt, dass das zeitnahe Inkrafttreten des revidierten Datenschutzgesetzes besonders wichtig für den Wirtschaftsstandort Schweiz sei. Trotzdem hat die Staatspolitische Kommission des Nationalrats angekündigt, die ausstehenden Differenzen erst an ihrer Kommissionssitzung im Juli zu diskutieren. Demzufolge ist zu erwarten, dass der Nationalrat die verbleibenden Differenzen in der auf den 7. bis 19. September 2020 angesetzten Herbstsession behandeln wird.

Zusätzlich zur Behandlung des revidierten Datenschutzgesetzes hat der Ständerat die Änderung zum Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen SEV-108) behandelt und beschlossen, dieses in das revidierte Datenschutzgesetz zu überführen. Damit ist der Ständerat dem Vorschlag des Nationalrats gefolgt. In diesem Zusammenhang hat Bundesrätin Karin Keller-Suter die Bedeutung des Übereinkommens SEV-108 für die Anerkennung eines angemessenen Datenschutzniveaus in der Schweiz durch die Europäische Kommission betont. Der Entscheid der Europäischen Kommission über die Angemessenheit des schweizerischen Datenschutzrechts wird per Mitte Juni 2020 erwartet.

Wir werden Sie auch weiterhin über den Verlauf des Revisionsverfahrens informieren. Gerne beraten Sie unsere Spezialisten hinsichtlich der möglichen Auswirkungen des Gesetzesentwurfs auf Ihr Unternehmen.

French version

Révision de la loi fédérale sur la protection des données : Le Conseil des Etats aborde les divergences restantes

Au cours de la session d’été, le Conseil des Etats a fait part de sa position sur les divergences entre sa dernière proposition et le projet de loi soumis par le Conseil national en mars. Le Conseil des États a notamment abordé les désaccords subsistants en matière de profilage et les données génétiques.

Lors de sa séance du 2 juin 2020, le Conseil des Etats s’est rallié au Conseil national sur plusieurs points de la révision de la loi sur la protection des données tout en maintenant certaines objections. Il a notamment défendu une définition plus stricte du “profilage à risque élevé”.

Le Conseil des États a suivi la proposition du Conseil national dans les domaines suivants et a ainsi résolu les divergences suivantes :

  • Le devoir d’information : L’obligation d’informer les personnes concernées sur leurs droits ainsi que sur le fait que leurs données seront utilisées pour évaluer leur solvabilité ne sera pas incluse dans la liste des éléments d’information minimaux dans le cadre du traitement des données.
  • Droit d’accès : En cas de demande d’accès, le responsable du traitement doit fournir à la personne concernée les données à caractère personnel et les informations concernant l’utilisation des données pour évaluer la solvabilité ne doivent pas être incluses en tant que telles.

Divergences subsistantes et suite de la procédure

Les divergences suivantes subsistent :

  • Le profilage à haut risque : Le Conseil des Etats a révisé la définition du profilage à risque élevé initialement proposée par le Conseil national afin d’apporter plus de précisions. La formulation révisée est basée sur la définition des profils de personnalité. Selon la Commission des institutions politiques du Conseil des Etats, cette définition révisée du profilage à risque élevé vise à offrir le même niveau de protection que le droit actuel.

    Une minorité au Conseil des Etats a cependant voté en faveur de la version du Conseil national, craignant que la définition choisie par la Commission n’entraîne de facto une interdiction du profilage.
  • Définition des données personnelles sensibles : Le Conseil national a voulu protéger uniquement les données génétiques qui identifient sans équivoque une personne dans la catégorie des données personnelles sensibles. Selon le Conseil des Etats, les données génétiques sont en soi des données particulièrement sensibles et méritent d’être protégées en tant que telles. Les divergences entre les deux chambres demeurent.
  • Conditions préalables à un intérêt primordial pour les évaluations de crédit : En ce qui concerne les données traitées pour évaluer la solvabilité d’une personne, une minorité a proposé de suivre la proposition du Conseil national d’une période de 10 ans et a explicitement voulu inclure que les données des registres publics ne soient soumises à aucune limite de temps. Cependant, le Conseil des Etats n’a pas suivi cette proposition minoritaire et a maintenu que ces données ne devraient pas aller au-delà de cinq ans.

Au cours du débat, la conseillère fédérale Karin Keller-Suter a souligné que l’entrée en vigueur dans les plus brefs délais de la loi révisée sur la protection des données était particulièrement importante pour l’économie suisse. Toutefois, la Commission des institutions politiques du Conseil national a annoncé qu’elle ne discuterait des divergences restantes que lors de sa session du mois de juillet. Il est donc prévu que le Conseil national débatte à nouveau des différences lors de la prochaine session d’automne, qui se tiendra du 7 au 19 septembre 2020.

Outre la loi fédérale révisée sur la protection des données, le Conseil des Etats a également discuté de la modification de la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108) et a décidé de l’intégrer dans la loi révisée sur la protection des données. Le Conseil des Etats a ainsi suivi la proposition du Conseil national. Dans ce contexte, la conseillère fédérale Karin Keller-Suter a souligné l’importance de la Convention 108 et la reconnaissance d’un niveau de protection des données équivalent en Suisse par la Commission européenne. La décision de la Commission européenne sur la conformité du droit suisse en matière de protection des données est attendue pour la mi-juin 2020.

Nous vous tiendrons informés des prochains développements dans la procédure de révision. Notre équipe se fera un plaisir de conseiller votre entreprise sur les effets possibles de la nouvelle loi.