Das Parlament hat heute nach einer dreijährigen Debatte das neue Bundesgesetz über den Datenschutz (DSG) verabschiedet. Nachdem das Gesetzesvorhaben zeitweise zu scheitern drohte, hat sich die Minderheit im Nationalrat und der Ständerat schlussendlich weitgehend durchgesetzt. Dieser Kompromiss wurde heute in der Schlussabstimmung im Ständerat einstimmig angenommen. Im Nationalrat hat nur die SVP – mit Ausnahme von Franz Grüter – gegen das Gesetz gestimmt. Prisca Birrer-Heimo von der SP hat sich der Stimme enthalten.
Einige unserer ursprünglichen Forderungen haben es in das Gesetz geschafft. Positiv festzuhalten ist, dass das Strafmass nun deutlich erhöht wird. So sind im neuen DSG Bussen bis 250’000 Franken vorgesehen. Der räumliche Geltungsbereich wird auf das Ausland ausgedehnt. Es gilt neu also ein Marktortprinzip, ähnlich wie es die europäische Datenschutz-Grundverordnung (DSGVO) kennt.
Für die Datenbearbeitung wird nun explizit das Prinzip Privacy-by-Design (Datenschutz durch Technik) und Privacy-by-Default (datenschutzfreundliche Voreinstellungen) festgeschrieben. Zudem wurde ein Recht auf Datenherausgabe oder -übertragung (Datenportabilität) geschaffen.
Viele aus unserer Sicht notwendige Verbesserungen blieben auf der Strecke. So sind im totalrevidierten DSG keine Verwaltungssanktionen vorgesehen. Anders als bei der strafrechtlichen Verfolgung würde dabei jede in einer Organisation feststellbare Pflichtverletzung ins Gewicht fallen. Ihre Auswirkungen könnten umfassend berücksichtigt werden, ebenso die wirtschaftliche Potenz der betroffenen Organisation und die von ihr – allenfalls unter Inkaufnahme von datenschutzrechtlichen Pflichten – erzielten Gewinne. Nach der DSGVO drohen entsprechend Strafen von bis zu 20 Mio. Euro oder 4% des Umsatzes.
Auch sind keine Verbands- und Sammelklagen vorgesehen, was die Rechtsdurchsetzung deutlich vereinfachen würde. Als einzelner Kunde oder als Arbeitnehmerin in einem Abhängigkeitsverhältnis ist es schwierig gegen (mögliche) Datenschutzverstösse vorzugehen. Ein wirkungsvolles Mittel wäre eine entsprechende Regelung zur kollektiven Rechtsdurchsetzung.
Da der Nationalrat in der Debatte mehrfach den Kompromissvorschlag zum Profiling abgelehnt hatte, haben wir uns in den letzten Monaten verstärkt für ein Widerspruchsrecht eingesetzt, damit das Datenschutzgesetz auch zukünftig als gleichwertig zur DSGVO gelten kann: Für die betroffenen Personen muss also als Ausgleich mindestens überall dort, wo keine Einwilligung für ein Profiling mehr erforderlich ist, eine einfache «Opt-out»-Möglichkeit geschaffen werden.
Das verabschiedete Gesetz folgt nun dem ursprünglich von Balthasar Glättli eingebrachten und später vom Ständerat aufgenommenen und präzisierten risiko-basierten Ansatz, der eine ausdrückliche Einwilligung zum Profiling mit hohem Risiko vorsieht (falls eine Einwilligung erforderlich ist). Die Bestimmung folgt damit dem Wortlaut aus dem geltenden Datenschutzgesetz. Ein Widerspruchsrecht im Sinne einer einfach wahrzunehmenden «Opt-out»-Möglichkeit wurde jedoch nicht geschaffen.
Alles in allem eine durchzogene Bilanz – die jedoch ohne Druck durch die DSGVO, die für viele Unternehmen in der Schweiz bereits Gültigkeit hat, und den ausstehenden Angemessenheitsbeschluss durch die EU-Kommission nicht zu erreichen gewesen wäre.