Da­ten­schutz: Kom­mis­si­on will prak­ti­ka­ble Pro­filing-Lö­sung

Die Wirt­schaft be­grüsst, dass die Kom­mis­si­on ihrem Rat be­an­tragt, beim Pro­filing an sei­ner ur­sprüng­li­chen Lö­sung fest­zu­hal­ten und das neu­ar­ti­ge, vom Stän­de­rat ver­ab­schie­de­te Kon­zept ab­zu­leh­nen, wel­ches zu einem prak­ti­schen Pro­filing-Ver­bot füh­ren könn­te. Die Kom­mis­si­on be­stä­tigt, dass die neu­ar­ti­ge De­fi­ni­ti­on eines «hohen Ri­si­kos» ein Swiss-Fi­nish mit ne­ga­ti­ven Fol­gen dar­stel­len würde. Die Schweiz wäre damit al­lei­ne: Die eu­ro­päi­schen Re­geln ken­nen keine Un­ter­schei­dung zwi­schen «nor­ma­lem» und Pro­filing mit «hohem Ri­si­ko». Die Fol­gen wären er­heb­li­che Rechts­un­si­cher­heit und Wett­be­werbs­nach­tei­le für den Stand­ort Schweiz. 

Das Kon­zept des Stän­de­rats bringt kei­nen Mehr­wert

Ge­mäss Bot­schaft des Bun­des­rats soll­te mit dem Pro­filing das alte Per­sön­lich­keits­pro­fil durch ein Kon­zept aus der EU-Da­ten­schutz­ver­ord­nung (DSGVO) er­setzt wer­den. Die «we­sent­li­chen As­pek­te der Per­sön­lich­keit», wel­che dem Per­sön­lich­keits­pro­fil zu­grun­de lie­gen, sind seit jeher ein un­kla­rer Be­griff, zu dem es keine ein­heit­li­che Recht­spre­chung gibt und auch keine Aus­le­gungs­hil­fe in der DSGVO. In der Erst­be­ra­tung des Na­tio­nal­rats wurde die De­fi­ni­ti­on des Pro­filings an die eu­ro­päi­schen An­ga­ben an­ge­passt, was zu einer wün­schens­wer­ten An­glei­chung ge­führt hat. Das Kon­zept des Stän­de­rats bringt dem­ge­gen­über kei­nen Mehr­wert. 

Die Fas­sung des Na­tio­nal­rats wahrt das gel­ten­de Schutz­ni­veau 

Der er­höh­te Schutz des Per­sön­lich­keits­pro­fils be­ruh­te vor allem auf dem Ge­dan­ken, eine In­for­ma­ti­ons-Asym­me­trie im be­ste­hen­den Recht zu ver­mei­den. Dies ins­be­son­de­re für den Fall, dass eine Zu­sam­men­stel­lung von an sich nicht be­son­ders schüt­zens­wer­ten Daten zu einem sen­si­ti­ven Pro­fil einer Per­son führt, von dem diese nichts weiss. Diese Pro­ble­ma­tik wird mit der DSG-Re­vi­si­on aber mass­geb­lich ent­schärft: Die gel­ten­de In­for­ma­ti­ons­pflicht wird auf die Be­schaf­fung sämt­li­cher Per­so­nen­da­ten aus­ge­wei­tet und nicht nur wie bis­her auf be­son­ders schüt­zens­wer­te Per­sön­lich­keits­pro­fi­le. Das ak­tu­el­le Schutz­ni­veau wird mit der Lö­sung des Na­tio­nal­rats daher klar bei­be­hal­ten. 

Ver­län­ge­rung der Nut­zungs­frist bei der Bo­ni­täts­prü­fung auf zehn Jahre be­grüs­sens­wert 

Be­grüs­sens­wert ist zudem, dass die Kom­mis­si­on in der Frage, wie lange die Daten zur Kre­dit­wür­dig­keits­prü­fung zu­rück­ver­folgt wer­den sol­len, an der Dif­fe­renz zum Stän­de­rat fest­hält. Die Nut­zung die­ser Daten zwecks Kre­dit­wür­dig­keits­prü­fung muss aus prak­ti­schen Grün­den wei­ter­hin zu­läs­sig sein, auch wenn diese älter als fünf Jahre sind. Ver­lust­schei­ne bei­spiels­wei­se ver­jäh­ren erst nach 20 Jah­ren. 

Feh­len­de Prä­zi­sie­rung der De­fi­ni­ti­on der ge­ne­ti­schen Daten ist be­dau­er­lich 

Die feh­len­de Prä­zi­sie­rung bei der De­fi­ni­ti­on der ge­ne­ti­schen Daten führt zu Aus­le­gungs­fra­gen in der Pra­xis. So wäre eine Klar­stel­lung not­wen­dig ge­we­sen, wo­nach ein Schutz­be­dürf­nis an ge­ne­ti­schen Daten nicht un­ein­ge­schränkt be­ste­hen soll, son­dern nur, wenn diese zum Zweck der ein­deu­ti­gen Iden­ti­fi­zie­rung einer Per­son er­ho­ben re­spek­ti­ve be­ar­bei­tet wer­den. Dies umso mehr, als die hier ge­for­der­te Ein­gren­zung bei bio­me­tri­schen Daten be­reits be­steht.