Das neue Datenschutzrecht – die DSGVO wie auch das revDSG – beruhen weiterhin auf dem Autonomieprinzip, obwohl dessen Prämissen fraglich sind. Die Stellung des Betroffenen wird dabei durch flankierende Massnahmen gestärkt. Leider wird das Autonomieprinzip aber oft überdehnt und dadurch im Grunde verletzt. Auch der Umgang mit Risiken ist nicht konsistent, gerade im revDSG. Das revDSG lässt aber Raum für eine prinzipienbasierte Anwendung, etwa dann, wenn die heutige Praxis zum Persönlichkeitsprofil – das vom Bearbeitungskontext abhängig ist – beim Profiling mit hohem Risiko weitergeführt wird und der Begriff des «hohen Risikos» auch sonst über das revDSG hinweg konsistent ausgelegt und konkretisiert wird.

Nach Art. 8 DSG kann eine Person beim Inhaber einer Datensammlung Auskunft darüber verlangen, ob und welche Daten über sie bearbeitet werden. Der Anspruch ist zentral für die Durchsetzung anderer Rechte, die im DSG vorgesehen sind (u.a. Art. 5, 15 und 25 DSG). Im Rahmen der Revision des DSG wird am Grundsatz des Auskunftsrechts festgehalten. Unklar ist die praktische Bedeutung der vom Parlament vorgenommenen Beschränkungen des Auskunftsrechts auf Rechte, die im Zusammenhang mit dem DSG stehen.

In der virtuellen Welt geschieht die Identifizierung in der Regel anhand weniger, meist selbst deklarierter Attribute. In der realen Welt und im E-Government hingegen ist die staatliche (zivile) Identität gefordert. Während Letztere in der realen Welt durch den Staat sichergestellt ist, sollen dies nun in der virtuellen Welt private Identifizierungsdienstanbieter (IdP) im Auftrag des Staats übernehmen. Diesen IdP muss absolut vertraut werden können, da IdP nicht nur von Kunden angewählte Stellen im Internet sehen können, sondern theoretisch auch Identitätsdiebstahl begehen könnten. Die Überprüfung der Sicherheit von IdP umfasst alle Elemente und Verfahren von der Registrierung über die Authentisierung bis hin zu organisatorischen und rechtlichen Fragen wie Verfügbarkeit, Aufsicht, Haftung und Maturität.

Die Bestimmungen der DSGVO sind für schweizerische Unternehmen relevant. Dies gilt insbesondere dann, wenn ein schweizerisches Unternehmen Personendaten im Auftrag eines Datenverantwortlichen in der EU bearbeitet, wenn ein schweizerisches Unternehmen sich mit einem Onlineshop spezifisch an EU-Bürger richtet oder auf einer Webseite die Internetaktivitäten von EU-Bürgern beobachtet. Nicht nur die DSGVO wirkt sich extraterritorial aus. Auch ohne explizite gesetzliche Regelung kann bereits das geltende schweizerische Datenschutzrecht auf internationale Verhältnisse Anwendung finden. Daran wird sich mit der Revision des schweizerischen Datenschutzgesetzes nichts ändern. Die Anwendbarkeit des schweizerischen Datenschutzgesetzes auf ausländische Unternehmen bzw. die Anwendbarkeit der DSGVO auf schweizerische Unternehmen ist das eine. In der Praxis schwieriger ist die Vollstreckung von datenschutzrechtlichen Massnahmen und Sanktionen im internationalen Verhältnis.