Das geltende Datenschutzgesetz trat 1992 in Kraft. Entsprechend ist eine Modernisierung nötig. Bereits anfangs Jahr hat sich die Digitale Gesellschaft detailliert zu den Plänen geäussert. Nun stehen die Debatten im Parlament an. Die wichtigsten Punkte haben wir hierzu nochmals aufgearbeitet.
Die Digitale Gesellschaft begrüsst die Revision des Datenschutzgesetzes und ist mit der Stossrichtung einverstanden. Wir sehen allerdings noch Schwächen, insbesondere beim Auskunftsrecht, im Bereich der Durchsetzbarkeit und mit Blick auf die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU).
In diesem Zusammenhang ist es nicht sinnvoll, in einzelnen Punkten, wie beispielsweise beim Profiling, über den Rahmen der DSGVO hinauszugehen, nachdem diese – auch für Unternehmen in der Schweiz – der neue Datenschutzstandard bleiben wird. Eine möglichst nahe Umsetzung verhindert zusätzliche Aufwände für die Verantwortlichen und garantiert zudem einen angemessenen Datenschutz für die Betroffenen.
(PDF, französisch, Gesetzesänderungen).
Durchsetzbarkeit
Datenschutzfolgeabschätzungen, Verhaltenskodizes und Zertifizierungen sind wichtige Mittel, um sich als Verantwortlicher über das Risiko einer Datenbearbeitung Klarheit zu verschaffen. So können bereits in einer Projektphase Massnahmen zum Schutz der Daten der betroffenen Personen vorgesehen werden. Aus Sicht der Digitalen Gesellschaft und unter Berücksichtigung eines risikobasierten Ansatzes können diese Schutzmassnahmen in der Ausgestaltung weitgehend der Wirtschaft überlassen werden. Voraussetzung ist aber, dass das revidierte Datenschutzgesetz bei Verstössen wirksam durchgesetzt werden kann (und dies entsprechend den Wert der Datenbearbeitung relativiert).
Die bereits bestehenden Strafbestimmungen im heutigen Datenschutzgesetz haben sich nicht bewährt. Die entsprechende Rechtsprechung findet, sofern überhaupt vorhanden, ausserhalb der Justizöffentlichkeit statt und entfaltet keinerlei Wirkung.
Der Entwurf für das revidierte Datenschutzgesetz sieht vor, auf die in der DSGVO verankerten Verwaltungssanktionen zu verzichten. Stattdessen sollen die Strafbarkeitsbestimmungen ausgebaut und insbesondere der Strafrahmen ausgedehnt werden. Die Abschreckung und Wirksamkeit strafrechtlicher Sanktionen vermag jedoch nicht an jene von Verwaltungssanktionen heranzureichen.
Verwaltungssanktionen
Strafrechtliche Sanktionen können nur greifen, soweit der Rechtsverstoss einer Person individuell zugeordnet werden kann. Insbesondere bei gravierenden Verstössen gegen das Datenschutzrecht ist in der Regel von einem Organisationsverschulden auszugehen, bei dem unterschiedliche Akteure in vielfältigen Funktionen und verteilt über verschiedene Gremien und Hierarchien beteiligt sind. Untersuchungen, die darauf ausgerichtet sind, die Schuld und den Vorsatz von einzelnen Mitarbeiterinnen und Mitarbeitern eines Unternehmens festzustellen, sind deshalb nicht sinnvoll. Die Sicht auf das Ganze droht verloren zu gehen.
Wir fordern deshalb, verwaltungsrechtliche Sanktionen vorzusehen, wie dies auch Wirtschaftskreise vorgeschlagen haben und es unter anderem von den Kantonen befürwortet wird.Verwaltungssanktionen sind in der Schweiz nicht neu und bereits im neuen Geldspielgesetz sowie im Kartellgesetz (KG) und im Postgesetz vorgesehen. Das KG im Besonderen sollte in dieser Hinsicht als Vorbild dienen.
Auch gegenüber grossen Unternehmen, die unter Umständen mehrere Milliarden Dollar, Euro oder Franken Gewinn pro Quartal erzielen, müssen Sanktionen abschreckend sein. Die in der EU drohenden Strafen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes (was entsprechend höher ist) scheinen angemessen. Mit den im Entwurf vorgesehenen Bussen ist eine vergleichbare Wirksamkeit und Abschreckung gegenüber grossen Unternehmen nicht zu erzielen. Die Schweiz muss sich an den Verwaltungssanktionen gemäss DSGVO orientieren, damit ihr Datenschutzrecht auch gegenüber Unternehmen wie Facebook oder Google durchsetzbar und glaubwürdig bleibt.
Art. 45bis E-DSG (neu):
Abs. 1 Ein Verantwortlicher oder Auftragsbearbeiter, der gegen dieses Gesetz oder die Ausführungsbestimmungen dieses Gesetzes verstösst, wird mit einem Betrag von bis zu 2 % des in den letzten drei Geschäftsjahren in der Schweiz erzielten Umsatzes belastet.
Abs. 2 Ein Verantwortlicher oder Auftragsbearbeiter, der gegen eine rechtskräftige Verfügung gemäss diesem Gesetz verstösst, wird mit einem Betrag von bis zu 4 % des in den letzten drei Geschäftsjahren in der Schweiz erzielten Umsatzes belastet.
Kollektive Rechtsdurchsetzung
Bereits heute kann sich der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) aufgrund knapper Ressourcen nur auf wenige exemplarische Fälle von (möglichen) Datenschutzverletzungen konzentrieren. Als einzelne betroffene Person ist es noch schwieriger gegen Datenschutzverstösse vorzugehen.
Neben der allgemeinen Verbandsklage (Art. 89 ZPO) bestehen besondere Verbandsklagen bereits heute unter anderem im Gleichstellungsgesetz (GlG), im Lauterkeitsgesetz (UWG) oder im Mitwirkungsgesetz. Entsprechend fordern wir, dass Verbandsklagen auch im Datenschutzgesetz (und dabei in Anlehnung an Art. 80 DSGVO) vorgesehen werden.
Art. 28 Abs. 5 E-DSG (neu): Betroffenen Personen als klagende Parteien gleichgestellt sind Organisationen von gesamtschweizerischer oder regionaler Bedeutung, die sich statutengemäss unter anderem dem Datenschutz widmen.
Art. 37 Abs. 1bis E-DSG (neu): Organisationen von gesamtschweizerischer oder regionaler Bedeutung, die sich statutengemäss unter anderem dem Datenschutz widmen, haben ein schutzwürdiges Interesse.
Beweislastumkehr
Eine unrechtmässige Bearbeitung von Daten ist durch die Betroffenen nur schwierig oder in einem langwierigen Verfahren nachzuweisen, wenn die Klärung des Sachverhalts auf die Auskunft der beschuldigten Partei angewiesen ist. Ein glaubwürdiger und wirksamer Datenschutz bedingt deshalb eine Beweislastumkehr (wie sich auch in der DSGVO aus Art. 82 Abs. 3 eine Beweislastumkehr ergibt).
Art. 28 Abs. 2bis E-DSG (neu): Eine Verletzung ist insbesondere widerrechtlich, wenn der Verantwortliche oder der Auftragsbearbeiter nicht beweist, dass er die Datenschutzvorschriften eingehalten hat.
Marktortprinzip
Gemäss Botschaft würde bereits das geltende Recht die Möglichkeit bieten, das Datenschutzgesetz weitgehend auf Situationen mit internationalem Charakter anzuwenden. Sie verweist hierzu auf das Bundesgerichtsurteil zu «Google Street View».
In diesem Urteil ist allerdings ein Anknüpfungspunkt in der Schweiz gegeben, da Google Inc. mit Hilfe der Google Switzerland GmbH die Bilder von Strassenzügen in der Schweiz aufnehmen liess. Diese Situation ist nicht mit Datenbearbeitern und Inhabern von Datensammlungen – nach heutiger Terminologie – vergleichbar, die komplett aus dem Ausland operieren, sich aber an Personen in der Schweiz richten. Ausserdem ist das Vorgehen gegen Verantwortliche und Datenbearbeiter im Ausland aufgrund der Rechtshilfe und mangels Zustelldomizil in der Schweiz äusserst langwierig.
In diesen Fällen kann – im Unterschied zur DSGVO – das revidierte Datenschutzgesetz weiterhin nicht ohne weiteres wirksam angewendet werden. Das Marktortprinzip ermöglicht dies.
Art. 2 Abs. 1 lit. c E-DSG (neu): private Personen im Ausland, die betroffenen Personen in der Schweiz Waren oder Dienstleistungen anbieten oder das Verhalten betroffener Personen in der Schweiz beobachten.
Art. 22bis E-DSG (neu): Vertreter von privaten Personen im Ausland – In den Fällen gemäss Artikel 2 Absatz 1 Buchstabe c benennt der Verantwortliche oder der Auftragsverarbeiter gegenüber dem Beauftragten schriftlich einen Vertreter in der Schweiz.
Auskunftspflicht
Das Recht auf Datenportabilität ist im E-DSG nicht vorgesehen. Dies ist unverständlich, da Schweizer Unternehmen, falls sie sich an Personen in der EU richten, dem Datenschutz gemäss DSGVO unterliegen. Ein Verzicht nützt den Unternehmen nichts, schwächt aber die Rechte der betroffenen Personen in der Schweiz.
Art. 23 Abs. 2bis E-DSG (neu): Die Auskunft hat in der Regel elektronisch und in einem Format zu erfolgen, das sich zur Weiterverarbeitung eignet, es sei denn die Bearbeitung der Daten findet nicht elektronisch statt.
Das Auskunftsrecht muss (soweit möglich) die tatsächlichen Empfängerinnen und Empfänger umfassen. Eine Beschränkung auf die blosse Kategorie würde das Auskunftsrecht im Vergleich zur heutigen Situation merklich schwächen.
Art. 23 Abs. 2 lit. g E-DSG: die verfügbaren Angaben über die Empfängerinnen und Empfänger, denen Personendaten bekanntgegeben wurden, sowie die Informationen nach Artikel 17 Absatz 4.