Zur Botschaft über die Totalrevision des Datenschutzgesetzes des Bundes vom 15.9.2017

Zielsetzung

Die rasante Entwicklung der Informations- und Telekommunikationstechnologie und die damit verbundene Digitalisierung der Gesellschaft haben eine Weiterentwicklung der Datenschutzgesetzgebungen des Europarates und der Europäischen Union und nun auch die Totalrevision des im Jahr 1993 in Kraft getretenen Datenschutzgesetzes des Bundes erforderlich gemacht. Der vom Bundesrat vorgelegte Gesetzesentwurf hat zum Ziel, den Datenschutz zu stärken, indem die Transparenz der Datenbearbeitung und die Kontrollmöglichkeiten der betroffenen Personen über ihre Daten verbessert werden. Weiter soll mit der Anpassung die Gleichwertigkeit des Datenschutzniveaus zwischen der Schweiz und der EU sichergestellt bleiben. Ein mit den europäischen Staaten vergleichbares Datenschutzniveau ist insbesondere für die Schweizer Wirtschaft von zentraler Bedeutung, zumal die am 25. Mai 2018 in Kraft tretende neue EU-Datenschutzgrundverordnung (EU-DSGV) für viele Schweizer Unternehmen direkte Auswirkungen zeitigen wird.

Gesamtbeurteilung durch den EDÖB

Der EDÖB ist mit den Grundzügen der Revision einverstanden. Es verbleiben jedoch Differenzen, von denen ein Grossteil darauf zurückzuführen ist, dass der vorgelegte Entwurf sowohl in terminologischer wie auch inhaltlicher Hinsicht Abweichungen von der EU-DSGV und dem revidierten Übereinkommen SEV 108 des Europarates vorsieht. Viele dieser Abweichungen sind nach Auffassung des EDÖB nicht zielführend, zumal sie u.a. zu einer unnötigen Komplizierung der Rechtslage für jene Teile der Schweizer Wirtschaft und Teile der Verwaltung führen würden, welche die EU-DSGV direkt anwenden müssen.

Positive Punkte

Positiv bewertet der EDÖB namentlich, dass die Transparenz der Datenbearbeitung erhöht wird, indem die Informationspflicht bei der Beschaffung der Daten generell für alle Bearbeitungen durch Private gilt, unabhängig von der Sensibilität der Daten. Weiter begrüsst er die Einführung der Datenschutz-Folgenabschätzung für Projekte privater Unternehmen oder von Behörden, die ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen. Auch die Informationspflicht zum Auskunftsrecht wird zu Gunsten der Betroffenen erweitert. Eine weitere Verbesserung sieht der EDÖB in der Förderung der Selbstregulierung. Diese erfolgt über Verhaltenskodizes, welche die Tätigkeit der Verantwortlichen erleichtern und die Einhaltung des Gesetzes verbessern sollen. Positiv zu vermerken ist auch die ausdrückliche Verankerung der Bearbeitungsgrundsätze von „privacy by design“ und „privacy by default“. Weiter werden die Unabhängigkeit und die Position des Beauftragten gestärkt. In der Revision ist vorgesehen, dass dieser, analog zu seinen europäischen Amtskollegen, von Amtes wegen oder auf Anzeige hin eine Untersuchung gegenüber den Verantwortlichen und Auftragsbearbeitern eröffnen und bei deren Abschluss eine Verfügung erlassen kann. Der EDÖB nimmt zur Kenntnis, dass ihm der Bundesrat für den Vollzug des neuen Gesetzes zusätzliche Mittel in Aussicht stellt.

Verbleibende Differenzen

Die verbleibenden Differenzen betreffen das fehlende Recht auf Datenportabilität, das die Kontrolle der Nutzer über ihre persönlichen Daten fördern würde. Auch die Umkehr der Beweislast zu Gunsten der Betroffenen in Zivilverfahren fand keine Aufnahme. Der EDÖB hätte es zudem begrüsst, wenn das neue DSG – analog zur Datenschutzgrundverordnung der EU – ausdrücklich erwähnen würde, dass es auch für Datenbearbeiter gelten wird, die zwar keinen Sitz in der Schweiz haben, deren Datenbearbeitungen aber hier ihre Wirkung entfalten und hier niedergelassene Personen betreffen. Solche Unternehmen sollten zudem verpflichtet werden, einen Ansprechpartner in der Schweiz zu haben, um den betroffenen Personen die Wahrnehmung ihrer Rechte zu erleichtern.
Die Einsetzung von betrieblichen Datenschützern sollte das neue Schweizer Recht jenen Unternehmen, die ohnehin der EU-DSGV unterworfen sind, unter den gleichen Voraussetzungen vorschreiben wie die EU-DSGV. Das gleiche gilt für die Verhaltenskodizes. Diese sollten die Schweizer Verbände und Branchen dem EDÖB unter den gleichen Voraussetzungen vorlegen müssen, wie sie dies nach der EU-DSGV gegenüber den zuständigen Datenschutzbehörden in der EU tun müssen. Weiter wäre es notwendig, auch Unternehmen zur Erstellung von Risikofolgenabschätzungen zu verpflichten, die einen Datenschutzberater ernannt haben, sowie für besonders risikoreiche Datenbearbeitungen eine Zertifizierungspflicht vorzusehen.
Die vorgeschlagenen Sanktionen (Bussenobergrenze von 250‘000 Franken) erscheinen dem EDÖB im Vergleich zur EU-DSGV (20 Millionen Euro oder 4 Prozent des Jahresumsatzes) als wenig abschreckend. Er befürchtet zudem, dass sie in der Praxis v.a. das subalterne Personal der fehlbaren Betriebe statt die Unternehmen selbst treffen würden. Er vermisst zudem das Fehlen von verwaltungsstrafrechtlichen Sanktionen.
Schliesslich sollte nicht der Bundesrat, sondern das Parlament das Budget des EDÖB genehmigen, wie es dies auch gegenüber anderen unabhängigen Aufsichtsbehörden wie der Eidgenössischen Finanzkontrolle oder der Aufsichtsbehörde über den Nachrichtendienst des Bundes tut.

EDÖB, 15. September 2017

Weitere Informationen und Dokumentation
 

Letzte Änderung 01.11.2017

Zum Seitenanfang

https://www.edoeb.admin.ch/content/edoeb/de/home/aktuell/aktuell_news/zur-botschaft-ueber-die-totalrevision-des-datenschutzgesetzes-de.html