Stellungnahme

Totalrevision der Verordnung zum Bundesgesetz über den Datenschutz (VDSG)

Vor einem Jahr hat das Parlament die Totalrevision des Bundesgesetzes über den Datenschutz (nDSG) verabschiedet. Die Revision verfolgte insbesondere die Ziele, das Gesetz aus dem Jahr 1992 auf den aktuellen Stand zu bringen und den Entwicklungen im europäischen Recht, wie der Einführung der EU-DSGVO, Rechnung zu tragen. In der Folge ist nun auch die Verordnung zum DSG (VDSG) anzupassen, damit das Gesetz in Kraft treten kann. Wir waren eingeladen, uns zum Vorentwurf und Bericht zu äussern. Gestern haben wir unsere Stellungnahme eingereicht.

Vorbemerkungen

Ungeachtet der Revision sollten sich die Unternehmen und andere Verantwortliche in der Schweiz grundsätzlich an der europäischen Datenschutz-Grundverordnung (DSGVO) orientieren, da sie mehr Datenschutz garantiert. Verantwortliche, die sich an der DSGVO orientieren, gehen auf Nummer sicher. Das schweizerische Datenschutzrecht hat auch nach der Revision viel Potential, den Datenschutz der betroffenen Personen zu verbessern.

Die Revision des Datenschutzrechts und damit eine gewisse Angleichung an die DSGVO war gleichwohl notwendig. Die Bedeutung eines angepassten und zeitgemässen Datenschutzes ist immens. Ein zeitgemässer Datenschutz bedeutet für betroffene Personen, über ein umfassendes Bild der Datenbearbeitungen zu verfügen, und für die Gesetzgeber:innen die Schaffung von Transparenz und wirksamen Schutzmassnahmen. Die VE-VDSG als Verordnung soll das nDSG konkretisieren und darf nicht darüber hinausgehen. Entgegen einzelnen Ansichten, die bereits heftig und öffentlich geäussert wurden, hält sich die VE-VDSG an den Rahmen des neuen Datenschutzgesetzes (nDSG) und schränkt diesen in gewissen Aspekten sogar ein. Allgemein beinhaltet das VE-VDSG viele schwammige Formulierungen, die den Verantwortlichen unnötige Ermessensspielräume einräumen. Auf diese Schwammigkeit ist zu achten und grundsätzlich zu vermeiden.

Zu den einzelnen Artikeln

Damit ein wirksamer Datenschutz garantiert wird, müssen wirksame Massnahmen getroffen werden. Dazu gehört deren periodische Überprüfung. Die Prüfung der Massnahmen «in angemessenen Abständen», wie in Artikel 1 Absatz 2 VE-VDSG festgelegt, ist daher sinnvoll, sollte aber in Bezug auf die Periodizität klargestellt werden («in angemessenen, regelmässigen Abständen»). Nur so kann sichergestellt werden, dass Verantwortliche tatsächlich regelmässig eine Überprüfung vornehmen. Daher ist der zeitliche Faktor relevant. Nach vereinzelten Ansichten sind es die Risikofaktoren, die zu prüfen sind. Diese sind verfehlt. Da sich Massnahmen an Risikofaktoren ausrichten müssen, um wirksam zu sein, sind, wie vorgesehen, in erster Linie die getroffenen Massnahmen zu prüfen. Indirekt werden dadurch auch die Risikofaktoren mitgeprüft.

Die Schutzziele gemäss Artikel 2 VE-VDSG müssen nicht nur «angestrebt» werden, wie dies vereinzelt verlangt wird, sondern tatsächlich auch «erreicht» werden, da ansonsten die Schutzschwelle sinkt und gar kein zumindest genügender Datenschutz angestrebt wird. Der Wortlaut ist zutreffend und soll nicht verändert werden. Die Formulierung in Artikel 2 «Soweit angemessen, müssen die Massnahmen … folgende Schutzziele erreichen», ist schwammig. Dies gilt auch für die Ausführungen in den Erläuterungen dazu: «Es ist durchaus vorstellbar, dass nicht jedes Schutzziel in jedem Fall von Relevanz ist. Ist ein Schutzziel in einem Fall nicht von Relevanz, so müssen der Verantwortliche und Auftragsbearbeiter aber in der Lage sein, zu begründen, weshalb dies der Fall ist.». Dadurch erhalten die Verantwortlichen zu grosse Ermessensspielräume, die befürchten lassen, dass Art. 63 nDSG (strafbare Sorgfaltsverletzung) leer läuft, weil kein Vorsatz mehr nachgewiesen werden kann. Die Formulierung «soweit angemessen» ist daher ersatzlos zu streichen.

Entgegen vereinzelten Ansichten basiert Artikel 3 VE-VDSG auf einer genügenden gesetzlichen Grundlage. Ein gewisser Umsetzungsaufwand ist hinzunehmen und der Aufwand richtet sich nach der Stufe der jeweiligen datenschutzrechtlichen Exposition eines Unternehmens oder sonstigen Verantwortlichen (vgl. Erläuterungen). Die Protokollierungspflicht betrifft lediglich Datenbearbeitungen mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person. Ein Unternehmen, das derartige Datenbearbeitungen vorsieht, ist gehalten, für strengere Datensicherheit zu sorgen.

Ein Profiling ist entgegen vereinzelt anderer Ansicht nie harmlos. Es ist gerechtfertigt und entspricht den risikobasierten Grundsätzen des nDSG, dass bei der Bearbeitung von besonders schützenswerten Personendaten, oder insbesondere bei der Durchführung eines Profiling mit hohem Risiko, höhere Anforderungen an den Datenschutz gestellt werden, wie dies auch in Artikel 4 VE-VDSG vorgesehen ist.

Wenn Verantwortliche die Bearbeitung outsourcen, sinkt die Datensicherheit, da mehr Parteien involviert sind, sich die Überprüfungsmöglichkeiten der betroffenen Person verringern und die Transparenz sinkt. Artikel 6 Absatz 1 VE-VDSG ist eine essentielle Bestimmung, die zum Schutze einer betroffenen Person ausschlaggebend ist. Wäre es den Verantwortlichen möglich, dieser Verantwortung zu entkommen, hätte dies fatale Folgen für Betroffene.

Neu übernimmt der Bundesrat gemäss Artikel 16 nDSG die Angemessenheitsbeurteilung ausländischer Datenschutzgesetzgebungen und nicht mehr der EDÖB. Der EDÖB soll zwar nach Artikel 8 Absatz 6 VE-VDSG vor einer Beschlussfindung noch konsultiert werden, die Entscheidungshoheit bleibt aber beim Bundesrat. Damit dieser Entscheid kein politischer wird und fachkundig bleibt, ist sicherzustellen, dass der EDÖB wie in Absatz 6 festgehalten tatsächlich konsultiert wird und dieser Absatz keine leere Klausel bleibt. Auch hier ist der Transparenzgrundsatz entscheidend, der in Artikel 8 VE-VDSG der Vernehmlassungsvorlage fehlt. Bisher hat der EDÖB die aktuelle Entwicklungen und Anpassungen (siehe z.B. Datenübermittlung in die USA gemäss Swiss-US Privacy Shield) regelmässig auf seiner Website veröffentlicht. Der Bundesrat muss seine Entscheidungen in jedem Fall transparent und für die Öffentlichkeit publik machen, weshalb Artikel 8 Absatz 3 VE-VDSG mit folgendem Satz zu ergänzen ist: «Entscheidungen, Änderungen und Anpassungen sind der Öffentlichkeit begründet, unverzüglich und vollständig zugänglich zu machen».

Artikel 13 Absatz 1 VE-VDSG konkretisiert die Modalitäten der Informationspflicht gemäss Artikel 19 Absatz 1 nDSG und sieht vor, dass die betroffene Person «angemessen» informiert werden soll. In der Botschaft nDSG wird in den Ausführungen zur Informationspflicht bei der Beschaffung von Personendaten (Art. 17) auf die Bedeutung der Transparenz bei der Datenbearbeitung hingewiesen, da sie ein zentrales Ziel der Revision ist. Nur anhand genügender Transparenz können die Rechte der Betroffenen entsprechend gestärkt werden. Der Wortlaut von Artikel 13 Absatz 1 VE-VDSG orientiert sich an Artikel 12 der EU-DSGVO, der die Informationsvermittlung in «präziser, transparenter, verständlicher und leicht zugänglicher Form» vorsieht. Artikel 13 Absatz 1 VE-VDSG beinhaltet das Wort «transparent» entgegen den Ausführungen im Gesetz nicht. Dies kann nur ein Versehen sein. Artikel 13 Absatz 1 VE-VDSG sollte (korrekterweise) analog zur DSGVO ergänzt werden.

Artikel 16 VE-VDSG betrifft die Informationspflicht der Verantwortlichen gegenüber den Empfänger:innen über Berichtigung, Löschung oder Vernichtung sowie die Einschränkungen der Bearbeitung. Dies führt zu Einheitlichkeit bezüglich Datenbearbeitungen, dabei wird aber nicht genügend Transparenz für die betroffene Person geschaffen. Dies entbindet daher die Verantwortlichen nicht von ihrer Informationspflicht gegenüber den betroffenen Personen. Daher muss Artikel 16 VE-VDSGE diesbezüglich und der Klarheit halber mit dem Zusatz «Dies entbindet die Verantwortlichen nicht von ihrer Informationspflicht gegenüber den betroffenen Personen.» ergänzt werden. 

Damit sich der EDÖB ein umfassendes Bild im Falle einer Verletzung der Datensicherheit machen kann, sind die in Artikel 19 Absatz 1 Buchstaben a–g VE-VDSG vorgesehenen Angaben notwendig. Dies wird auch so in den Erläuterungen zur Vernehmlassungsvorlage betont. Entgegen einzelnen Ansichten geht die Angabe über Zeitpunkt und Dauer nicht über den Rahmen des Gesetzes hinaus, da diese erstens nur gemeldet werden müssen, soweit möglich diese überhaupt vorhanden sind, und zweitens diese Informationen von grundsätzlicher Bedeutung sind, damit das Ausmass der Verletzung abgeschätzt werden kann. Es ist ausserdem für alle beteiligten Parteien wichtig, dass die Verletzung dokumentiert wird, wie dies in Artikel 19 Absatz 5 VE-VDSG vorgesehen ist. Die Aufbewahrungsdauer von drei Jahren ist vorliegend nicht die einzige dreijährige Frist wie vereinzelt behauptet wird, auch das Auskunftsrecht nach Artikel 20 Absatz 5 VE-VDSG sieht eine dreijährige Aufbewahrungsfrist der Aufzeichnungen im Falle einer Verweigerung, Einschränkung oder Aufschiebung der Auskunft vor. Artikel 19 VE-VDSG beinhaltet die Pflicht eine Verletzung der Datensicherheit und deren Umstände aufzuzeichnen. Artikel 20 VE-VDSG legt fest, dass die Gründe für eine Auskunftsverweigerung, -einschränkung oder -aufschiebung zu dokumentieren sind. Beide Artikel sind wichtig für eine betroffene Person, da sie ihr ermöglichen, sich rechtlich zur Wehr setzen zu können. Daher macht eine Aufbewahrungsfrist von drei Jahren in beiden Fällen Sinn.

Artikel 20 Absatz 1 VE-VDSG: Artikel 25 nDSG nennt ausdrücklich nur «Auskunft», es steht nicht, ob die Auskunft mündlich oder schriftlich gestellt werden muss. Dass die Auskunft mündlich gestellt werden kann, ist selbstverständlich. Die Form des Begehrens kann aber nicht vom Willen der Verantwortlichen abhängig gemacht werden, dabei würde die Tür zur Willkür geöffnet. Demnach geht Artikel 20 Absatz 1 VE-VDSG zu weit, wenn die Zulässigkeit des mündlichen Begehrens von den Verantwortlichen abhängig gemacht wird. Das Auskunftsrecht ist ein wesentlicher Grundsatz des Datenschutzes. In den Erläuterungen wird zur Begründung auf den  Kommentar des Bundesamtes für Justiz zur Vollzugsverordnung vom 14. Juni 1993 (Stand am 1. Januar 2008) zum Bundesgesetz über den Datenschutz (VDSG, RS 235.11) verwiesen. Diese Ausführungen sind nicht aktuell und orientieren sich noch an anderen Zeiten. Um die Rechte der betroffenen Personen zu stärken, ist es daher wichtig, sich an aktuellen Gegebenheiten zu orientieren. Daher sind mündliche Auskunftsbegehren nicht vom Willen der Verantwortlichen abhängig zu machen.

Die Dokumentation der Auskunftsverweigerung ist Ausfluss des Transparenzprinzips und stärkt die Rechte der betroffenen Personen. Diese ist daher unbedingt beizubehalten. Es ist gemäss Artikel 8 Absatz 3 nDSG Aufgabe des Bundesrates, Bestimmungen über die Mindestanforderungen an die Datensicherheit zu erlassen. Artikel 20 VE-VDSG geht in diesem Sinne, entgegen vereinzelter Ansicht, nicht weiter als das Gesetz und verfügt über eine gesetzliche Grundlage.

Artikel 22 Absatz 1 VE-VDSG trägt ebenfalls zur Stärkung der Rechte der betroffenen Personen bei. Die Frist von 30 Tagen ist klar. Entgegen einzelner Ansichten ist die Frist nicht von einer Bedingung abhängig zu machen, denn dies würde den Verantwortlichen einen zu grossen Ermessensspielraum einräumen, der die Rechte der betroffenen Personen erheblich einschränken würde. Artikel 22 Absatz 2 VE-VDSG relativiert Absatz 1 und birgt die Gefahr, dass ein Auskunftsbegehren unbegrenzt in die Länge aufgeschoben werden könnte. Dies gefährdet die Rechte der betroffenen Personen. Die Frist ist auf eine maximale Dauer zu begrenzen.

Artikel 23 VE-VDSG regelt die Ausnahmen von der Kostenlosigkeit und konkretisiert Artikel 25 Absatz 6 nDSG. Eine Ausnahmeregelung zur Kostenlosigkeit besteht bereits heute und wird in der Praxis oft missbraucht, um den Spielraum der Abwehrmöglichkeiten von Datenauskunftsbegehren auszuweiten. Diesen Spielraum darf zum Schutz der betroffenen Personen nicht bestehen bleiben (oder durch eine Erhöhung des Betrags sogar ausgeweitet werden). Das Auskunftsrecht darf nicht durch diese Abschreckungswirkung ausgehöhlt werden. Zu betonen ist: Gemäss dem Grundsatz «Privacy by Design» sind die Verantwortlichen verpflichtet, ein System zu führen, das einen einfachen Zugang zu den bearbeiteten Daten ermöglicht. Falls die Verantwortlichen aufgrund eigenem Unvermögen einem «unverhältnismässigen» Aufwand aufgrund eines Auskunftsgesuches gegenüberstehen (was bei vielen Verantwortlichen zu befürchten ist), ist dies in keinerlei Weise Grund zur Auferlegung von Kosten auf betroffene Personen. Deshalb ist Artikel 23 VE-VDSG dahingehend zu ändern, dass die Auskunftserteilung immer kostenlos ist, unabhängig des Aufwands und im seltenen Falle eines klar rechtsmissbräuchlichen Auskunftsbegehrens, dieses abgewiesen würde. Verantwortliche, die häufig oder komplex Auskunft erteilen müssen, erhalten einen Anreiz, die Auskunftserteilung zu automatisieren.