Datenschutzrevision: So viel wie nötig, so wenig wie möglich
Die Unternehmen sind auf einen modernen und zweckmässigen Datenschutz angewiesen, da Daten als wirtschaftliches Gut immer bedeutender werden. Ein neues Datenschutzgesetz muss Raum für Innovation und wirtschaftliche Entfaltung lassen und das Vertrauen zwischen Kunden und Anbietern stärken. Gleichzeitig muss die Gleichwertigkeit mit internationalen Vorgaben sichergestellt sein, damit der grenzüberschreitende Datenverkehr nicht unnötig behindert wird. Insgesamt enthält der Vorentwurf zahlreiche überschiessende Bestimmungen, die innovations- und wettbewerbshindernd sind.
Ein moderner und zweckmässiger Datenschutz muss mehreren Zielen gerecht werden: Er muss einerseits Raum für Innovation bewahren und andererseits das Vertrauen zwischen Kunden und Anbietern stärken. Praxistauglichkeit muss dabei im Zentrum stehen. Sodann ist die Gleichwertigkeit mit internationalen Vorgaben zentral, damit der grenzüberschreitende Datenverkehr nicht behindert wird.
Die Vorlage schiesst über das Ziel hinaus
Die Vorlage des Bundesrats orientiert sich zu stark an den Revisionen auf europäischer Ebene und geht in weiten Teilen sogar deutlich über die internationalen Vorgaben hinaus: Unklare Definitionen und unbestimmte Anwendungsbereiche führen zu übertriebenen und nicht praktikablen Pflichten der Datenbearbeiter. Die praxisnahe und flexible Selbstregulierung wurde zu wenig ausgebaut, hingegen werden dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu weitreichende Kompetenzen eingeräumt. Schliesslich ist auch das vorgeschlagene Sanktionssystem mit strafrechtlicher Verfolgung der Mitarbeitenden unverhältnismässig, nicht zielführend und steht im Widerspruch mit mehreren strafrechtlichen Grundsätzen.
Kernanliegen der Wirtschaft
Konkreter Anpassungsbedarf besteht in folgenden Punkten:
- «Profiling» muss mit Einwilligung der Betroffenen möglich sein. Zudem ist der Begriff einzuschränken.
- Das bewährte System der Selbstregulierung durch (Branchen-)Verbände ist zu fördern. Gleichzeitig soll weiterhin auf freiwilliger Basis der Einsatz eines betrieblichen Datenschutzbeauftragten möglich bleiben, dies verbunden mit entsprechenden Erleichterungen für die Unternehmen.
- Zahlreiche Informations- und Meldepflichten sind substanziell zu reduzieren. Dies betrifft insbesondere automatisierte Einzelfallentscheide, Datenschutz-Folgenabschätzungen und Meldungen von Datenschutzverstössen. In diesem Zusammenhang ist dem Missbrauchspotenzial beim Auskunftsrecht mit einer Relativierung der Kostenlosigkeit sowie weiteren griffigen Massnahmen entgegenzuwirken.
- Schliesslich ist ein tragbares, mit den rechtsstaatlichen Grundsätzen vereinbares Sanktionssystem zu implementieren und eine zu grosse Machtfülle des EDÖB zu verhindern. Die Wirtschaft skizziert ein eigenes Sanktionsmodell als Grundlage für die Entwicklung eines alternativen Lösungsansatzes.
Umfassende Datenpolitik
Der Bereich des Datenschutzes ist sehr dynamisch. Die Anforderungen verändern sich zusammen mit der technologischen Entwicklung. Die Diskussion darüber, was ein guter Datenschutz ist, steht erst am Anfang. Die Digitale Wirtschaft und die damit verbundenen neuen Möglichkeiten machen eine breitere Debatte über Daten und Datennutzung notwendig. Im Fokus einer solchen Datenpolitik muss die Entfaltungsmöglichkeit der Unternehmen sowie das Vertrauen der Nutzer in den Umgang mit personenbezogenen Daten stehen. Eine alleinige Orientierung an potenziellen Risiken ist einseitig und verfehlt.