Ab dem 18. Dezember 2019 behandelt der Ständerat die Revision des Schweizer Datenschutzgesetzes (DSG-Revision). Geht es nach der vorberatenden Staatspolitischen Kommission des Ständerats (SPK-SR) soll künftig für jede Weitergabe von Daten stets eine Einwilligung erforderlich sein. Damit schiesst die Kommission komplett über das Ziel hinaus. Eine derart strenge Vorgabe ist zur Angleichung an das Niveau des EU-Datenschutzrechts nicht erforderlich und auch sonst nicht erklärbar. Es scheint, als wolle die Kommission damit einen Kompromiss befördern, um zugleich ein datenschutzrechtliches Konzernprivileg einzuführen. Unabhängig davon, dass die Regelung unklar ist, und somit – je nach Interpretation – auch für konzerninterne Datenweitergaben stets eine Einwilligung erforderlich sein könnte, ist das vorgeschlagene „Paket“ systemwidrig und gesamtwirtschaftlich schädlich.

Bisherige Etappen der DSG-Revision

Mit dem Hauptziel der Angleichung des Schweizer Datenschutzrechts an das Niveau der EU und der Anpassung an die Datenschutzkonvention des Europarates (SEV 108) eröffnete der Bundesrat Ende Dezember 2016 die Vernehmlassung zum Vorentwurf für eine Totalrevision des Schweizer Datenschutzgesetzes (DSG; MLL-News vom 6.1.2017 und MLL-News vom 14.2.2017). Im September 2017 verabschiedete der Bundesrat den Gesetzesentwurf sowie die dazugehörige Botschaft (MLL-News vom 21.9.2017). Einer der bemerkenswertesten Punkte ist dabei der Vorschlag zur Einführung von Strafsanktionen zulasten der natürlichen Personen im Höchstbetrag von CHF 250’000.-, anstelle von Verwaltungssanktionen zulasten der juristischen Personen wie im EU-Recht. Im Übrigen wurden zahlreiche Vorgaben aus der EU-Datenschutzgrundverordnung (DSGVO) übernommen, so bspw. die erweiterten Informationspflichten, die Pflichten zur Führung eines Verzeichnisses der Datenverarbeitungen und zur Durchführung von Datenschutz-Folgenabschätzungen.

Diese Punkte blieben in den bisherigen parlamentarischen Debatten – mit Ausnahme der Informationspflicht – unangetastet. Im August 2019 beschloss die Staatspolitische Kommission des Nationalrats (SPK-NR) gleichwohl zahlreiche Abweichungen vom Entwurf des Bundesrats (MLL-News vom 17.9.2019). Namentlich soll danach auch in der Schweiz ein Recht auf Datenportabilität eingeführt und auf eine Regelung von Daten verstorbener Personen verzichtet werden. Ferner soll keine Informationspflicht bestehen, wenn die Information einen unverhältnismässigen Aufwand erfordern würde. Weitere Abweichungen betrafen namentlich die Liste und Definition der besonders schützenswerten Daten sowie die Regelung des Profiling. Diesen Standpunkten schloss sich Ende September 2019 im Wesentlichen auch der Nationalrat an (MLL-News vom 27.11.2019).

Beschluss der SPK-SR – Datenweitergabe nur mit Einwilligung – ausser im Konzern?

Im November 2019 folgte die Vorberatung durch die Staatspolitische Kommission des Ständerats (SPK-SR). Daraus geht nun ein (Mehrheits-)Vorschlag mit besonderer Sprengkraft hervor. So soll künftig jede Weitergabe von Personendaten stets nur mit Einwilligung erfolgen dürfen. Dabei wird nicht unterschieden, ob es sich um besonders schützenswerte Daten handelt oder zu welchen Zwecken die Weitergabe erfolgt. Nach der systematischen Stellung und des Wortlauts der vorgeschlagenen Regelung (Art. 27 Abs. 3 E-DSG) soll dies vielmehr pauschal für jegliche Datenbekanntgaben an Dritte gelten. Mit anderen Worten dürften also bspw. auch Bonitätsauskünfte nur mit Einwilligung der betroffenen Personen erteilt werden oder wäre jegliche Veröffentlichung von Personendaten im Internet, z.B. durch Medien, nur mit Einwilligung erlaubt.

Eine solche Regelung kann nicht ernsthaft gewollt sein. Wenn dies aber nicht dem Willen der Kommission entspricht und andere Rechtfertigungsgründe als die Einwilligung gleichwohl greifen können, dann ist völlig unklar, in welchen Fällen das pauschal formulierte Einwilligungserfordernis überhaupt noch gelten soll. Hier zeigt sich das Grundproblem und die Systemwidrigkeit der vorgeschlagenen Regelung. Denn anders als im geltenden Recht soll nicht nur für die Weitergabe von besonders schützenswerten Daten, sondern jeglicher Personendaten ein Rechtfertigungsgrund erforderlich sein. Denn die Datenbekanntgabe soll stets eine Persönlichkeitsverletzung darstellen (Art. 26 Abs. 2 lit. c E-DSG), die einer Rechtfertigung (wie z.B. Einwilligung oder überwiegendes Interesse) bedarf. Nach geltendem Schweizer Recht ist demgegenüber für die Bekanntgabe „gewöhnlicher“ Personendaten grundsätzlich keine Rechtfertigung erforderlich, solange die Datenbearbeitungsgrundsätze in Art. 4, 5 und 7 DSG eingehalten werden (vgl. Art. 12 Abs. 2 lit. a DSG).

Die weiteren Änderungen in diesem Zusammenhang lassen vermuten, dass die Regelung Teil eines Kompromisses sein sollen, um ein datenschutzrechtliches Konzernprivileg einzuführen. In diesem Sinne soll die konzerninterne Weitergabe von Daten künftig ebenfalls als Fall gelten, in dem ein überwiegendes Interesse des Verantwortlichen vorliegen kann (vgl. Art. 27 Abs. 2 lit. b E-DSG). Nach dem Gesagten steht diese Regelung, gleichermassen wie die anderen bisher gesetzlich genannten Fälle (vgl. Art. 13 Abs. 2 DSG), z.B. betr. Bonitätsprüfung, im Widerspruch zum pauschalen Einwilligungserfordernis, das die SPK-SR ebenfalls einführen will (Art. 27 Abs. 3 E-DSG). Soll also (auch) für die konzerninterne Datenweitergabe stets eine Einwilligung erforderlich sein oder aber eben ein überwiegendes Interesse vorliegen können? Da die Kommission die konzerninterne Datenweitergabe von der Informationspflicht und vom Auskunftsrecht ausnehmen will (vgl. Art. 18 Abs. 4 und Art. 24 Abs. 2bis E-DSG), dürfte wohl nach Ansicht der Kommission auch eine Rechtfertigung durch überwiegendes Interesse möglich und nicht stets eine Einwilligung erforderlich sein. Dann stellt sich aber die Frage, wann das pauschale Einwilligungserfordernis überhaupt gelten soll. Der angesprochene Widerspruch lässt sich jedenfalls kaum sinnvoll und ohne erhebliche nachteilige Folgen für sämtliche Verantwortlichen auflösen.

Die beiden Regelungen, wonach die Datenweitergabe stets eine Persönlichkeitsverletzung darstellen soll und hierfür immer eine Einwilligung einzuholen ist, müssen deshalb aus gesamtwirtschaftlicher Sicht unbedingt gestrichen werden. Es bleibt zu hoffen, dass der Ständerat die erforderlichen Korrekturen vornehmen wird.

Weitere Abweichungen vom Standpunkt des Nationalrats im Beschluss der SPK-SR

Die weiteren Abweichungen vom Entwurf des Nationalrats weisen zwar weniger Sprengkraft auf, sind aber gleichwohl bemerkenswert. Sie betreffen namentlich die folgenden Punkte:

  • Liste und Definition besonders schützenswerter Daten (Art. 4 lit. c E-DSG): Nach der SPK-SR sollen (weiterhin) auch „gewerkschaftliche Ansichten und Tätigkeiten“ als besonders schützenswert gelten. Wie vom Bundesrat vorgeschlagen, sollen ferner jegliche genetischen Daten besonders schützenswert sein und nicht nur, wie nach dem Entwurf des Nationalrats, wenn diese eine natürliche Person eindeutig identifizieren.
  • Regelung des Profiling: Nach Ansicht der SPK-SR soll eine gegebenenfalls erforderliche Einwilligung für das Profiling zwar auch nicht stets ausdrücklich sein müssen, wie nach dem Vorschlag des Bundesrats. Aber für ein Profiling „mit hohem Risiko“ soll die Einwilligung, sofern eine solche erforderlich ist, ausdrücklich sein müssen (Art. 5 Abs. 7 E-DSG). Für das hohe Risiko schlägt die SPK-SR eine Definition vor (Art. 4 lit. fbis DSG), die es aber in der Praxis kaum ermöglichen wird, den Anwendungsbereich der strengeren Regelung näher einzuschränken.
  • Informationspflicht: Die den Betroffenen bei der Beschaffung zu erteilenden Informationen sollen nach dem Beschluss der SPK-SR (mindestens) auch eine Liste der Betroffenenrechte sowie die eventuelle Absicht zur Durchführung einer Bonitätsprüfung umfassen (Art. 17 Abs. lit. d und e E-DSG). Die vom Nationalrat eingeführte Ausnahme von der Informationspflicht bei unverhältnismässigem Aufwand soll ferner gestrichen werden (Art. 18 Abs. 1 lit. e E-DSG).
  • Auskunftsrecht: Die Aufzählung der Informationen, über die auf Gesuch der Betroffenen Auskunft zu erteilen ist, soll abweichend vom Nationalrat möglicherweise doch nicht abschliessend sein. Der vorgeschlagene Wortlaut würde jedenfalls beide Interpretationen zulassen (Art. 23 Abs. 2 E-DSG). Anders als der Nationalrat soll die Auskunft „die bearbeiteten Personendaten“ umfassen, ohne aber den Zusatz „…Personendaten als solche„. Dieser Punkt wirft die Frage nach dem konkreten Umfang und der Form der Auskunft auf, ohne sie aber zu beantworten (vgl. zur Diskussion in der EU rund um das „Recht auf Kopie“, MLL-News vom 6.7.2019). Weitere Änderungen betreffen die abgelehnte Einschränkung der Auskunft über automatisierte Einzelentscheidungen (nur „bei erheblicher Beeinträchtigung“) sowie die (explizite) Ausdehnung der Auskunft über die Datenbearbeitung zur Bonitätsprüfung.
  • Rechtfertigungsgründe für Bonitätsprüfung und Medien: Bereits das geltende Recht nennt die Prüfung der Kreditwürdigkeit als einen Fall, in dem ein überwiegendes Interesse des Verantwortlichen vorliegen kann (vgl. 13 Abs. 2 lit. c DSG). Die SPK-SR will dies, wie der Bundesrat, neu von den weiteren Voraussetzungen abhängig machen, dass die Prüfung nur volljährige Personen betrifft und keine Daten einbezogen werden, die älter als fünf Jahre sind (Art. 27 Abs. 2 lit. c E-DSG). Das geltende Recht nennt als möglichen Rechtfertigungsgrund auch die Datenbearbeitung „ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums“ (vgl. 13 Abs. 2 lit. d DSG). Handelt es sich beim Verantwortlichen um ein solches Medium, soll eine Rechtfertigung nach Ansicht der SPK-SR auch unabhängig von der Veröffentlichung möglich sein, sofern die Daten ausschliesslich als persönliches Arbeitsinstrument dienen (Art. 27 Abs. 2 lit. d E-DSG).
  • Verletzung der Datensicherheit als Sanktions-Tatbestand: Anders als der Nationalrat will die SPK-SR, dem Bundesrat folgend, auch vorsätzliche Verletzungen der Datensicherheit mit Busse von bis zu CHF 250’000.- sanktionieren.

Ausblick

Gestützt auf den Beschluss seiner Kommission behandelt der Ständerat ab dem 18. Dezember 2019 die Revision des Schweizer Datenschutzgesetzes. Es zeichnet sich bereits jetzt ab, dass zahlreiche Punkte umstritten bleiben werden. Aus gesamtwirtschaftlicher Sicht bleibt zu hoffen, dass zumindest die von der SPK-SR vorgeschlagenen Änderungen betreffend Datenweitergabe korrigiert werden. Die beiden unklaren und systemwidrigen Regelungen, wonach die Datenweitergabe stets eine Persönlichkeitsverletzung darstellen soll und hierfür immer eine Einwilligung einzuholen ist, müssen gestrichen werden.

Weitere Informationen: