Neues Datenschutzrecht

Das Datenschutzrecht wurde vollständig revidiert, um es an die neuen technologischen und gesellschaftlichen Bedingungen sowie an die Anforderungen des internationalen Rechts anzupassen. Es ist am 1. September 2023 in Kraft getreten.

1. Bisherige Etappen

• 1992 – Erstes Datenschutzgesetz (DSG)

  Das erste Bundesgesetz über den Datenschutz (DSG) datiert vom 19. Juni 1992. Angesichts der technologischen und gesellschaftlichen Entwicklungen und der zunehmenden Bedrohungen für den Datenschutz hielt es der Bundesrat für notwendig, die Datenschutzgesetzgebung zu stärken.

  • Bundesgesetz über den Datenschutz vom 19. Juni 1992 (Stand am 1. März 2019)
    (DSG, SR 235.1)
  • Bericht des Bundesrates vom 9. Dezember 2011 über die Evaluation des Bundesgesetzes über den Datenschutz
    (BBl 2012 335)

• 2017 – Botschaft zur Totalrevision des DSG

  Eine Begleitgruppe wird eingesetzt, um einen Vorentwurf für die Revision des DSG auszuarbeiten. Auf dieser Grundlage verabschiedet der Bundesrat am 15. September 2017 den Entwurf für ein neues Bundesgesetz über den Datenschutz und die dazugehörige Botschaft. Ziel dieser Revision ist ein besserer Schutz der Rechte der Bürgerinnen und Bürger, aber auch eine Stärkung der Wirtschaft, indem das Schweizer Recht mit den Schutzstandards der Europäischen Union und des Europarats harmonisiert wird, insbesondere in Bezug auf die grenzüberschreitende Bekanntgabe von Personendaten.

  • Entwurf zur Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz (siehe insbesondere den Anhang, S. 7206)
    (BBl 2017 7193)
  • Botschaft des Bundesrates vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz
    (BBl 2017 6941)

• 2018 – Verabschiedung des SDSG (Schengen)

  Das Parlament greift den Entwurf auf und teilt ihn in zwei Teile. In einem ersten Schritt beschliesst es, nur die Richtlinie (EU) 2016/680 (Weiterentwicklung des Schengen-Besitzstands) zu übernehmen. In diesem Rahmen verabschiedete das Parlament das Bundesgesetz über den Schengen-Datenschutz (SDSG), das am 1. März 2019 in Kraft getreten ist, aber am 1. September 2023 wieder aufgehoben wurde, als die vollständig revidierte Datenschutzgesetzgebung in Kraft getreten ist. Dieses Spezialgesetz galt nicht für private Verantwortliche. Es fand nur auf die Bearbeitung von Personendaten durch Bundesorgane im Straf- und Justizbereich Anwendung.

  • Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates

  Bundesversammlung: Beratungen zu Entwurf 1 (Bundesgesetz über die Umsetzung der Richtlinie (EU) 2016/680) und zu Entwurf 2 (Bundesbeschluss über die Genehmigung des Notenaustauschs zwischen der Schweiz und der Europäischen Union betreffend die Übernahme der Richtlinie (EU) 2016/680)

  • Parlamentarische Beratungen (17.059) zum Entwurf 1 und 2 (Erste Etappe: Datenschutzbestimmungen für die Schengener Zusammenarbeit in Strafsachen und Genehmigung des Notenaustausches zwischen der Schweiz und der EU)
  • Bundesgesetz über den Datenschutz im Rahmen der Anwendung des Schengen-Besitzstands in Strafsachen (Schengen-Datenschutzgesetz)
    (SDSG, AS 2019 639)

• 2020 – Verabschiedung des neuen DSG

  In einem zweiten Schritt nimmt das Parlament die Revision des Bundesgesetzes über den Datenschutz in Angriff. Diese Revision verfolgt nicht nur das Ziel, auf die Herausforderungen der technologischen Entwicklungen zu reagieren, sondern soll auch den Entwicklungen auf internationaler Ebene Rechnung tragen, insbesondere den einschlägigen Reformen des Europarats (Konvention 108+) und der EU (Datenschutzverordnung (EU) 2016/679 (DSGVO), die am 25. Mai 2018 in Kraft getreten ist), obwohl die DSGVO für die Schweiz formell nicht bindend ist. Das Bundesgesetz über den Datenschutz wurde vom Parlament am 25. September 2020 nach intensiven Debatten innerhalb der Kammern und der Durchführung einer Einigungskonferenz, die sich insbesondere mit der Frage des Profiling mit hohem Risiko befasste, verabschiedet. Das Gesetz ist am 1. September 2023 in Kraft getreten.

  • Convention 108+ (français) / Convention 108+ (English)
    Modernisierte Datenschutzkonvention 108 des Europarates vom 10. Oktober 2018 (Konvention 108+)
    (Dieses Dokument steht auf Deutsch nicht zur Verfügung)
  • Parlamentarische Beratungen (17.059) zum Entwurf 3 (Zweite Etappe: Totalrevision des DSG)
  • Bundesgesetz über den Datenschutz vom 25. September 2020
    (DSG, SR 235.1)

• 2022 – Verabschiedung der neuen Verordnungen (DSV und VDSZ)

  Am 31. August 2022 hat der Bundesrat die Datenschutzverordnung sowie die Verordnung über Datenschutzzertifizierungen verabschiedet. Sie ergänzen das Gesetz und sind am 1. September 2023 in Kraft getreten.

  • Verordnung über den Datenschutz vom 31. August 2022
    (DSV, SR 235.11)

  • Verordnung über den Datenschutz (Datenschutzverordnung, DSV). Erläuternder Bericht

    PDF1.09 MB31. August 2022

  • Verordnung über Datenschutzzertifizierungen vom 31. August 2022
    (VDSZ, SR 235.13)

  • Verordnung über Datenschutzzertifizierungen (VDSZ). Erläuternder Bericht

    PDF191.81 kB31. August 2022

  • Richtlinien des EDÖB über die Zertifizierung von Managementsystemen vom 31. August 2023
    (BBl 2023 1999)
  • Richtlinien des EDÖB über die weiteren datenschutzrechtlichen Kriterien für die Prüfung zu den Anforderungen an die Zertifizierung von Produkten, Dienstleistungen und Prozessen vom 31. August 2023
    (BBl 2023 2000)

• 2023 – Inkrafttreten des neuen DSG und der Verordnungen

  Der Bundesrat hat das Inkrafttreten des Datenschutzgesetzes und der dazugehörigen Verordnungen (DSV und VDSZ) auf den 1. September 2023 festgelegt.

  • Neues Datenschutzrecht ab 1. September 2023
    Medienmitteilung des Bundesrates vom 31. August 2022 mit der Ankündigung des Inkrafttretens des neuen Datenschutzrechts

2. Internationaler Rahmen

Wie das Schweizer Recht muss auch das internationale Recht den technologischen Entwicklungen Rechnung tragen.

Der Europarat hatte am 28. Januar 1981 in Strassburg ein erstes Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten abgeschlossen. Der Bundesrat ratifizierte das Übereinkommen im Jahr 1997 und es trat für die Schweiz am 1. Februar 1998 in Kraft .

• Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28. Januar 1981
  (SR 0.235.1)

Im Jahr 2018 wurde ein Änderungsprotokoll verabschiedet, um auf die Herausforderungen der neuen Informations- und Kommunikationstechnologien zu reagieren und eine wirksame Umsetzung des Übereinkommens zu gewährleisten. Das Änderungsprotokoll wurde von der Schweiz am 21. November 2019 unterzeichnet und am 7. September 2023 ratifiziert.

• Protokoll zur Änderung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 10. Oktober 2018

Die modernisierte Konvention 108, auch Konvention 108+ genannt, wird in Kraft treten können, sobald 38 Vertragsstaaten das Änderungsprotokoll ratifiziert haben. Bisher ist die Konvention 108+ noch nicht in Kraft getreten.

• Convention 108+ (français) / Convention 108+ (English)
  (Dieses Dokument steht auf Deutsch nicht zur Verfügung)

Auf Seiten der Europäischen Union war 1995 eine erste Richtlinie zum Datenschutz verabschiedet worden. Die Schweiz ist jedoch nicht durch dieses Instrument gebunden.

• Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr

Mit dem Ziel, das Recht der betroffenen Personen auf Privatsphäre zu stärken und der digitalen Wirtschaft Rechnung zu tragen schlägt die Europäische Kommission im Jahr 2012 eine umfassende Reform des 1995 verabschiedeten Datenschutzrechts vor. Am 27. April 2016 werden die Datenschutz-Grundverordnung (DSGVO) sowie die Richtlinie (EU) 2016/680 verabschiedet. Soweit sie Teil der Weiterentwicklung des Schengen-Besitzstands ist, ist die Richtlinie (EU) 2016/680 für die Schweiz bindend. Die DSGVO ist für die Schweiz hingegen nicht bindend.

• Richtlinie (EU) 2016/680 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates
• Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR)

Weitere Infos

• Links

  • Rechtsetzungsprojekt «Stärkung des Datenschutzes»
  • Berichte und Rechtsgutachten zur Totalrevision des Datenschutzgesetzes