Da­ten­schutz­re­vi­si­on: an­ge­mes­se­ne Re­ge­lung ohne un­nö­ti­ge Ver­schär­fun­gen

Es ist in der Tat kein ein­fa­ches Un­ter­fan­gen, eine kom­ple­xe Vor­la­ge wie das Da­ten­schutz­ge­setz zu re­vi­die­ren. Ei­ner­seits muss die Schweiz die Ent­wick­lun­gen in der EU nach­voll­zie­hen und dabei in­tel­li­gen­te Lö­sun­gen fin­den, die un­se­ren Be­son­der­hei­ten Rech­nung tra­gen und un­se­re Wirt­schaft nicht un­nö­tig be­las­ten. An­de­rer­seits über­prüft die EU par­al­lel dazu die Schwei­zer Da­ten­schutz­ge­setz­ge­bung auf An­ge­mes­sen­heit. Dies bringt zeit­li­chen Druck in die De­bat­te. Der Stän­de­rat soll­te vor die­sem Hin­ter­grund die guten Vor­ar­bei­ten des Na­tio­nal­rats nicht ver­schlech­tern, in ei­ni­gen we­sent­li­chen Punk­ten be­steht zudem noch An­pas­sungs­be­darf.

Ad­mi­nis­tra­tiv trag­ba­res und gleich­zei­tig äqui­va­len­tes Ge­setz mit Be­sei­ti­gung von Swiss Fi­nish

Für die Wirt­schaft ist ein ad­mi­nis­tra­tiv trag­ba­res Ge­setz im Rah­men der in­ter­na­tio­na­len Ent­wick­lun­gen zen­tral. Der Stän­de­rat soll keine Vor­schrif­ten ein­füh­ren, die weder aus An­ge­mes­sen­heits­über­le­gun­gen not­wen­dig sind, noch einen Mehr­wert für die be­trof­fe­ne Per­son brin­gen. Auch von über­schies­sen­den Re­geln im Ver­hält­nis zur EU (sog. Swiss Fi­nish) soll er ab­se­hen. Der Na­tio­nal­rat hatte gute Vor­ar­bei­ten in diese Rich­tung ge­leis­tet.

Ein­schnei­den­de und un­nö­ti­ge Ver­schär­fun­gen durch Stän­de­rat

Die vor­be­ra­ten­de Kom­mis­si­on im Stän­de­rat hat nun aber – ohne er­sicht­li­chen Grund – un­nö­ti­ge Ver­schlech­te­run­gen an der Vor­la­ge vor­ge­nom­men. Diese soll­te das Ple­num kor­ri­gie­ren.

We­sent­li­che Punk­te be­tref­fen das Pro­filing. Die stän­de­rät­li­che Kom­mis­si­on hat eine neue Un­ter­schei­dung zwi­schen «Pro­filing» und «Pro­filing mit hohem Ri­si­ko» ein­ge­führt. Die Eu­ro­päi­sche Da­ten­schutz­grund­ver­ord­nung (DSGVO) kennt diese Un­ter­schei­dung nicht, das wäre eine Schwei­zer Be­son­der­heit. Das «Pro­filing mit hohem Ri­si­ko» soll auch vor­lie­gen, wenn eine «sys­te­ma­ti­sche Ver­knüp­fung bzw. Be­ar­bei­tung ver­schie­de­ner Per­so­nen­da­ten» durch­ge­führt wird. Diese Ele­men­te ma­chen das Pro­filing aber in der Pra­xis ty­pi­scher­wei­se aus, wes­halb immer ein «Pro­filing mit hohem Ri­si­ko» vor­lie­gen würde. Hie­si­ge Un­ter­neh­men wür­den im in­ter­na­tio­na­len Ver­gleich da­durch mas­si­ve Nach­tei­le er­lei­den.

Als wei­te­re Neue­rung hat eine Mehr­heit der stän­de­rät­li­chen Kom­mis­si­on vor­ge­schla­gen, dass jede Wei­ter­ga­be von Per­so­nen­da­ten an Drit­te eine Per­sön­lich­keits­ver­let­zung dar­stellt und zudem immer der aus­drück­li­chen Ge­neh­mi­gung durch die be­trof­fe­ne Per­son be­darf. Die­ses Kon­zept hat die Kom­mis­si­on des Stän­de­rats von der DSGVO ab­ge­schaut, es wird dort aber völ­lig an­ders an­ge­wandt. Es führt zu grund­le­gen­den sys­te­mi­schen Pro­ble­men in­ner­halb des Schwei­zer Da­ten­schutz­ge­set­zes und soll­te daher ab­ge­lehnt wer­den.

Aber auch in wei­te­ren Punk­ten hat die stän­de­rät­li­che Kom­mis­si­on pro­ble­ma­ti­sche Ent­schei­de ge­fällt. Bei­spiels­wei­se er­stickt sie jeg­li­chen An­reiz für Un­ter­neh­men, einen in­ter­nen Da­ten­schutz­be­ra­ter ein­zu­set­zen. Sie ver­langt, dass In­for­ma­ti­ons­pflich­ten un­nö­tig aus­ge­wei­tet (z.B. bei einer Ab­sicht zur Kre­dit­prü­fung) und im Falle von Aus­land­da­ten­fluss nach wie vor zu pau­schal for­mu­liert wer­den. Auch wur­den Aus­kunfts­rech­te in Bezug auf Ent­schei­de zur Kre­dit­wür­dig­keits­prü­fung aus­ge­wei­tet, um nur ei­ni­ge der Punk­te zu nen­nen. All dies ist nicht nötig, um aus Sicht der EU an­ge­mes­sen re­gu­liert zu sein.

Be­grüs­sens­wer­te Ent­wick­lung: Ra­ti­fi­ka­ti­ons­bot­schaft zur Da­ten­schutz­kon­ven­ti­on des Eu­ro­pa­rats

Aus Sicht einer An­nä­he­rung an die in­ter­na­tio­na­len Ent­wick­lun­gen und einem kla­ren State­ment zu­guns­ten einer an­ge­mes­se­nen Da­ten­schutz­re­ge­lung in der Schweiz be­grüsst es eco­no­mie­su­is­se, dass der Bun­des­rat am 6. De­zem­ber 2019 die Ra­ti­fi­ka­ti­ons­bot­schaft zu SEV 108 ver­ab­schie­det hat. Dies er­mög­licht es, dass die Schweiz auch in Bezug auf Dritt­län­der aus­ser­halb der EU als an­ge­mes­sen re­gu­liert wahr­ge­nom­men wird.