Der Datenschutz muss für die Menschen in der Schweiz dringend gestärkt werden. Eine neue Regelung muss zudem kompatibel zur EU-Gesetzgebung sein, damit eine Anerkennung der Gleichwertigkeit, die für die freie Datenübermittlung benötigt wird, bestehen bleibt. Leider sieht dies die Nationalratskommission anders. In der kommenden Woche kommt das wichtige Geschäft in den Rat.
Am 24. und 25. September berät der Nationalrat über die Totalrevision des Datenschutzgesetzes (DSG). Zur laufenden Revision hatten wir uns bereits vor über zwei Jahren ausführlich im Vernehmlassungsverfahren geäussert. Im November 2017 waren wir dann in die zuständige Kommission eingeladen, unsere Position darzulegen.
Die Digitale Gesellschaft hat die Revision des Datenschutzgesetzes begrüsst und ist mit der Stossrichtung des Entwurfs vom Bundesrat einverstanden. Einige Verbesserungen, insbesondere beim Auskunftsrecht, im Bereich der Durchsetzbarkeit und mit Blick auf die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) hätten noch vorgenommen werden können.
Nun hat sich die Mehrheit der Staatspolitischen Kommission des Nationalrats nach zwei Jahren Debatte darauf verständigt, deutlich hinter den Vorschlägen des Bundesrats, unter den Anforderungen der EU-Datenschutzgrundverordnung – und selbst unterhalb des Niveaus des geltenden Gesetzes von 1992 zu bleiben. Dies ist inakzeptabel.
Die Revision hat(te) zum Ziel, «den Datenschutz an das Internet-Zeitalter anzupassen und die Stellung der Bürgerinnen und Bürger zu stärken. Gleichzeitig soll das Schweizer Recht an die Entwicklung in der EU und im Europarat angepasst werden, damit die freie Datenübermittlung zwischen Schweizer Unternehmen und solchen in der EU weiterhin möglich bleibt». Mit dem vorliegenden Beschluss werden die gesteckten Ziele verfehlt.
Wir fordern vom Nationalrat, dass
- der Datenschutz für die Menschen in der Schweiz gestärkt wird,
- das Schutzniveau im Vergleich zum heute gültigen Gesetz nicht gesenkt wird,
- der Datenschutz äquivalent zur EU-Datenschutzgrundverordnung gestaltet wird,
- sowie die Unterzeichnung der revidierten Datenschutzkonvention des Europarats.
Dies kann erreicht werden, wenn der Kommissionsminderheit (II) gefolgt wird.
Neben dieser grundsätzlichen Betrachtung sind uns nachfolgende Anmerkungen wichtig.
Profiling
Ein Profiling liegt vor, wenn vollständig automatisiert (z. B. durch einen Algorithmus) personenbezogene Daten ausgewertet werden, um bestimmte Verhaltensweisen einer Person zu analysieren oder vorherzusagen. Der Gesetzesentwurf nennt beispielhaft die Arbeitsleistung, die Gesundheit, das Verhalten, die Vorlieben oder den Aufenthaltsort einer Person. Durch Profiling werden automatisiert Persönlichkeitsprofile erstellt.
Bereits im aktuellen Datenschutzgesetz (Art. 4 Abs. 5) gilt: «Ist die Einwilligung der betroffenen Person in die Bearbeitung von besonders schützenswerten Daten oder Persönlichkeitsprofilen erforderlich, so ist diese Einwilligung erst gültig, wenn sie nach angemessener Information freiwillig und ausdrücklich erfolgt.»
Dies muss auch weiterhin so bleiben. Auch wenn im neuen Gesetz der Begriff «Persönlichkeitsprofil» durch «Profiling» ersetzt wird, darf die Aufhebung der Anforderung der ausdrücklichen Einwilligung beim Profiling (Art. 5 Abs. 6 sowie Art. 27 Abs. 2 Bst. c Ziff. 1) nicht gestrichen werden.
Für eine anonymisierte Auswertung der Daten zur Forschung, Planung oder Statistik soll keine solche ausdrückliche Einwilligung erforderlich sein. Das Überwachen des Online-Verhaltens und die Voraussage der Vorlieben einer Person, eine Bewertung der Gesundheit oder der Arbeitsleistung benötigt aber eine informierte Zustimmung der betroffenen Person. Nur so kann sichergestellt werden, dass solche Einwilligungen nicht mit der blossen Zustimmung zu den Allgemeinen Geschäftsbedingungen oder der Datenschutzerklärung eingeholt werden können.
Anonymisierung
Es ist nicht nachvollziehbar, wieso gemäss Kommission zur Forschung, Planung oder Statistik und zur Weitergabe der Daten auf die Anonymisierung verzichtet werden soll «wenn eine Anonymisierung unmöglich ist oder einen unverhältnismässigen Aufwand erfordert» (Art. 27 Abs. 2 lit. e). Verfahren, wie Differential Privacy, ermöglichen genau dies.
Marktortprinzip
Wir begrüssen die geplante Übernahme des sogenannten Marktortprinzips, wonach «das Gesetz auf Sachverhalte anwendbar ist, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden» (Art. 2a Abs. 1). Im Vorschlag wird auf das Bundesgesetz über das Internationale Privatrecht (IPRG) verwiesen. Eine Ratsdebatte zur Wirkweise wäre wünschenswert.
Verbandsklage
Bereits heute kann sich der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) aufgrund knapper Ressourcen nur auf wenige exemplarische Fälle von (möglichen) Datenschutzverletzungen konzentrieren. Als einzelne betroffene Person ist es noch schwieriger, gegen Datenschutzverstösse vorzugehen.
Neben der allgemeinen Verbandsklage (Art. 89 ZPO) bestehen besondere Verbandsklagen bereits heute unter anderem im Gleichstellungsgesetz (GlG), im Lauterkeitsgesetz (UWG) oder im Mitwirkungsgesetz. Entsprechend fordern wir, dass Verbandsklagen auch im Datenschutzgesetz (und dabei in Anlehnung an Art. 80 DSGVO) vorgesehen werden.
Art. 28 Abs. 5 E-DSG (neu): Betroffenen Personen als klagende Parteien gleichgestellt sind Organisationen von gesamtschweizerischer oder regionaler Bedeutung, die sich statutengemäss unter anderem dem Datenschutz widmen.
Art. 37 Abs. 1bis E-DSG (neu): Organisationen von gesamtschweizerischer oder regionaler Bedeutung, die sich statutengemäss unter anderem dem Datenschutz widmen, haben ein schutzwürdiges Interesse.
(Vrgl. auch Regina Meier: Kollektive Rechtsdurchsetzung im Datenschutzrecht?)
Verwaltungssanktionen
Strafrechtliche Sanktionen können nur greifen, soweit der Rechtsverstoss einer Person individuell zugeordnet werden kann. Insbesondere bei gravierenden Verstössen gegen das Datenschutzrecht ist in der Regel von einem Organisationsverschulden auszugehen, bei dem unterschiedliche Akteure in vielfältigen Funktionen und verteilt über verschiedene Gremien und Hierarchien beteiligt sind. Untersuchungen, die darauf ausgerichtet sind, die Schuld und den Vorsatz von einzelnen Mitarbeiterinnen und Mitarbeitern eines Unternehmens festzustellen, sind deshalb nicht sinnvoll.
Wir fordern deshalb, verwaltungsrechtliche Sanktionen vorzusehen und befürworten entsprechend eine allgemeine Einführung von pekuniären Verwaltungssanktionen, wie sie mit Postulat 18.4100 geprüft werden.
Beweislastumkehr
Eine unrechtmässige Bearbeitung von Daten ist durch die Betroffenen nur schwierig oder in einem langwierigen Verfahren nachzuweisen, wenn die Klärung des Sachverhalts auf die Auskunft der beschuldigten Partei angewiesen ist. Ein glaubwürdiger und wirksamer Datenschutz bedingt deshalb eine explizite Beweislastumkehr (wie sich auch in der DSGVO aus Art. 82 Abs. 3 eine Beweislastumkehr ergibt).
Art. 28 Abs. 3bis E-DSG (neu): Eine Verletzung ist insbesondere widerrechtlich, wenn der Verantwortliche oder der Auftragsbearbeiter nicht beweist, dass er die Datenschutzvorschriften eingehalten hat.
Auskunftsrecht
Das Auskunftsrecht soll weiterhin neben dem Bearbeitungszweck auch explizit die Rechtsgrundlage beinhalten (Art. 23 Abs. 2 lit. c). Dies ist insbesondere dann von Interesse, wenn sich der Zweck aus einem Zwang durch ein Gesetz (wie zur Vorratsdatenspeicherung) ergibt.
Das Auskunftsrecht muss zudem (soweit möglich) die tatsächlichen Empfängerinnen und Empfänger umfassen. Eine Beschränkung auf die blosse Kategorie würde das Auskunftsrecht im Vergleich zu heute deutlich schwächen.