Revision des Bundesgesetzes über den Datenschutz

Am 21. Dezember 2016 hat der Bundesrat den Vorentwurf für die Revision des Bundesgesetzes über den Datenschutz in die Vernehmlassung geschickt. Ziel dieser Revision sind die Anpassung unserer Gesetzgebung an die neuen Technologien und an die heutige Gesellschaft, die Verstärkung des Datenschutzes und der Wettbewerbsfähigkeit der Schweiz und ihrer Attraktivität für das digitale Zeitalter.

Die Revision soll es ermöglichen, das überarbeitete Übereinkommen 108 zu ratifizieren, die Richtlinie der Europäischen Union zum Schutz personenbezogener Daten bei der Verarbeitung zum Zwecke der Strafverfolgung und der Rechtshilfe in Strafsachen umzusetzen, sich dem Datenschutzniveau der europäischen Verordnung anzunähern und die Anerkennung eines angemessenen Datenschutzniveaus beizubehalten. Für den Beauftragten ist es wichtig, diese Revision rasch zum Abschluss zu bringen.

Das Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG) gehört zu den Datenschutzgesetzen der ersten Generation. Es stammt aus der Zeit vor dem Internet, den Smartphones und dem Internet der Dinge. Eine Revision ist unumgänglich, um den neuen Herausforderungen der digitalen Gesellschaft gerecht zu werden und die Achtung der Rechte und Grundfreiheiten der Menschen bei der Bearbeitung sie betreffender Personendaten besser zu gewährleisten. Mit der Revision soll auch der Reform des europäischen Rechtsrahmens und insbesondere der Modernisierung des Übereinkommens des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen 108) Rechnung getragen werden. Im Auftrag des Bundesrates hat das Bundesamt für Justiz einen Entwurf zur Totalrevision des DSG ausgearbeitet. Diesen Entwurf hat der Bundesrat am 21. Dezember 2016 in die Vernehmlassung gegeben. Der EDÖB hat an den Revisionsarbeiten mitgewirkt und seinen Standpunkt in der Arbeitsgruppe und im Ämterkonsultationsverfahren eingebracht. Der Entwurf entspricht den Erwartungen des Beauftragten weitgehend. Einige Punkte müssen indes erneut geprüft werden, damit unsere Gesetzgebung im Einklang mit dem revidierten Übereinkommen 108 steht und sich dem europäischen Rechtsrahmen stärker annähert. Eine solche Annäherung würde eine grössere Rechtssicherheit bieten, was nicht nur den betroffenen Personen, sondern auch den Datenbearbeitern und dem Wirtschaftsstandort Schweiz zum Vorteil gereicht.     

Die Revision soll das Recht auf Datenschutz verstärken, damit jedermann wieder eine bessere Kontrolle über die ihn betreffenden Informationen erlangt. Dies erfordert eine grössere Transparenz der Bearbeitungen und die Gewährung neuer Rechte, etwa das Recht, seinen Standpunkt vor einer automatischen Entscheidung geltend machen zu können oder das Recht zu erfahren, auf welche Weise solche Entscheidungen getroffen werden. Die Revision zielt auch auf eine Verstärkung und Konkretisierung der Verpflichtungen der Verantwortlichen für die Bearbeitung ab. Sie sieht namentlich die Pflicht vor, Datenschutzverletzungen zu melden, Datenschutz-Verträglichkeitsprüfungen durchzuführen und die Bearbeitungen zu dokumentieren. Sie führt auch den Grundsatz des Datenschutzes bereits bei der Planung und des Datenschutzes als Standard ein. Mit der Revision sollen zudem die Kompetenzen des EDÖB erweitert werden, indem er eine Entscheidungsbefugnis erhält. Der Beauftragte sollte künftig auch Empfehlungen für bewährte Praktiken abgeben können, die in Zusammenarbeit mit den betroffenen Kreisen ausgearbeitet werden; ausserdem wird er zwingende Vorschriften für Unternehmen im Rahmen eines Datentransfers ins Ausland genehmigen oder anerkennen können. Er wird befähigt, Standardvertragsklauseln zu erlassen, anzuerkennen oder zu genehmigen. Dagegen und zu Recht wird es Aufgabe des Bundesrates sein, in Zukunft Beschlüsse betreffend das angemessene Schutzniveau eines Drittstaates zu fassen. Die Möglichkeiten der Zusammenarbeit mit anderen Datenschutzbehörden in der Schweiz und im Ausland und der Amtshilfe werden verbessert. Um seine derzeitigen und künftigen Aufgaben glaubwürdig und effektiv wahrnehmen zu können, wird er indessen zusätzliche Ressourcen und Mittel benötigen, wie der erläuternde Bericht zum Vorentwurf betont Er sollte über ein eigens dafür vorgesehenes Budget verfügen, ähnlich dem für die eidgenössische Finanzkontrolle gewählten Modell. Ausserdem strebt die Revision eine bedeutende Verstärkung der strafrechtlichen Sanktionen an, wenngleich die Höhe der Sanktionen gegenüber der europäischen Verordnung geringer ausfällt. Schliesslich wird die Pflicht zur Anmeldung von Datensammlungen oder -bearbeitungen im Privatsektor abgeschafft. Das Register der Datensammlungen wird künftig nur noch die Bearbeitungen durch Bundesorgane erfassen.

Wir anerkennen die Qualität der Revisionsvorlage, sind aber doch der Ansicht, dass sie ergänzt werden müsste. So haben wir im Ämterkonsultationsverfahren unter anderem vorgeschlagen, die Stellung der betroffenen Personen zu stärken, namentlich mit einem Widerspruchsrecht gegen die Bearbeitung, einem Recht auf Datenübertragbarkeit sowie einem Auslistungsrecht als Ergänzung zum Recht auf Löschung. Die für die Bearbeitung Verantwortlichen, deren Bearbeitungen ein besonderes Risiko einer Verletzung der Privatsphäre darstellen, sollten zur Ernennung eines Datenschutzberaters verpflichtet werden. Diese Aufgabe wird in zahlreichen Unternehmen bereits umfassend wahrgenommen, ist Gegenstand von Ad-hoc-Lehrgängen und bildet ein wirksames Instrument zur Umsetzung des Datenschutzes in Unternehmen oder in der Verwaltung. Schliesslich sollte das DSG auch für Datenbearbeiter gelten, die keinen Sitz in der Schweiz haben, deren Bearbeitungen aber ihre Wirkung in der Schweiz entfalten und in der Schweiz niedergelassene Personen betreffen. Diese Unternehmen sollten verpflichtet werden, einen Ansprechpartner in der Schweiz zu haben, insbesondere um die Wahrnehmung der Rechte der betroffenen Personen zu erleichtern. Das Verhältnis zwischen unserer Gesetzgebung und der europäischen Verordnung, namentlich ihre Auswirkungen in der Schweiz oder für schweizerische Bearbeitungsverantwortliche mit Bearbeitungstätigkeiten in Europa, wirft in der Schweiz und in Europa zahlreiche legitime Fragen auf. In diesem Sinne begrüsst der EDÖB die Motion 16.3752 der FDP-liberalen Fraktion „Gegen Doppelspurigkeiten im Datenschutz“, in welcher der Bundesrat beauftragt wird, mit der Europäischen Union eine Vereinbarung zur Koordinierung der Anwendung des jeweils geltenden Datenschutzrechts anzustreben.

Der EDÖB wird die Entwicklung der Revisionsvorlage auch im Anschluss an das externe Vernehmlassungsverfahren aktiv verfolgen.

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/24--taetigkeitsbericht-2016-2017/revision-des-bundesgesetzes-ueber-den-datenschutz.html