Der Datenschutz muss für die Menschen in der Schweiz dringend gestärkt werden. Eine neue Regelung muss zudem kompatibel zur europäischen Datenschutz-Grundverordnung (DSGVO) und zur Europarats-Konvention 108 sein, damit die Schweiz weiterhin zum europäischen Datenraum zählt und die Daten-Freizügigkeit nicht gefährdet ist. Auch darf das Schutzniveau im Vergleich zum heutigen DSG nicht gesenkt werden.
Am 18. und 19. November 2019 steht in der Staatspolitischen Kommission im Ständerat die ausserordentlich wichtige Debatte zur Totalrevision des Datenschutzgesetzes an. Eine Senkung des Schutzniveaus droht insbesondere beim Profiling.
Ein Profiling liegt vor, wenn vollständig automatisiert – insbesondere durch einen Algorithmus – personenbezogene Daten ausgewertet werden, um daraus Persönlichkeitsmerkmale, Lebensumstände und Verhaltensweisen einer Person abzuleiten oder vorherzusagen. Der Gesetzesentwurf nennt beispielhaft die Arbeitsleistung, die Gesundheit, das Verhalten, die Vorlieben oder den Aufenthaltsort einer Person. Durch Profiling werden automatisiert Persönlichkeitsprofile erstellt.
Beispielsweise hat Cambridge Analytica psychologische Profile von 87 Millionen Personen mit Hilfe einer Facebook-App erstellt (und diese im US-Wahlkampf für sogenanntes Microtargeting eingesetzt). In der Schweiz wollen die Verlage das Geschäftsmodell von Google, Facebook & Co. kopieren – und die Persönlichkeitseigenschaften ihrer Leserinnen und Leser zu Geld machen. Eine Gefahr droht aber auch, wenn Personendaten abhanden kommen: Bei der Kreditauskunft Equifax waren 2017 bei einem Datendiebstahl 143 Millionen Person betroffen; bei der Swisscom 2017 800’000 Kundinnen und Kunden.
Die Beispiele zeigen, wieso eine Einwilligung – falls eine solche mangels anderer Rechtfertigungsgründe erforderlich ist – nach angemessener Information weiterhin freiwillig und ausdrücklich erfolgen muss. Auch wenn im neuen Gesetz der Begriff «Persönlichkeitsprofil» durch «Profiling» ersetzt wird, darf die Anforderung, dass eine erforderliche Einwilligung ausdrücklich erfolgen muss, beim Profiling nicht gestrichen werden.
Sollte das Parlament bei der Zustimmung zum Profiling einen risikobasierten Ansatz wählen, wie ihn auch das Bundesamt für Justiz vorschlägt, muss analog zur DSGVO ein Widerspruchsrecht geschaffen werden. Das Gesetz muss als Ausgleich überall dort, wo keine ausdrückliche Einwilligung für ein Profiling vorgesehen ist, eine einfache «Opt-out»-Möglichkeit für die betroffenen Personen verankern.
Zusätzlich zur ausdrücklichen Einwilligung für das Profiling fordern wir folgendes:
- Anonymisierung der Daten zu Forschung, Planung, Statistik und zur Weitergabe
- Übernahme des sogenannten Marktortprinzips
- Einführung eines Verbandsklagerechts und von Verwaltungssanktionen
- Festschreibung einer ausdrücklichen Beweislastumkehr
- Auskunftsrecht über die Rechtsgrundlage
Für die Debatte im Ständerat haben wir eine Dokumentation zusammengestellt: