Ihre Kontakte
Mit Beschluss vom 25. September 2019 hat der Nationalrat seinen Standpunkt zur Revision des Datenschutzgesetzes (DSG) dargelegt. Er folgt damit im Wesentlichen seiner Kommission (SPK-NR), weicht jedoch in diversen Punkten vom Entwurf des Bundesrates ab. Die Abweichungen des Nationalrats betreffen unter anderem den räumlichen Geltungsbereich, die Definition von besonders schützenswerten Personendaten, Daten von verstorbenen Personen sowie die Angleichung der Definition des Profilings an jene der EU-Datenschutzgrundverordnung (DSGVO). Da insbesondere das vom Bundesrat vorgeschlagene Sanktionssystem unangetastet blieb, ist nach wie vor fraglich, ob die Anforderungen der EU für einen äquivalenten Datenschutz erfüllt werden können.
Abweichungen zum Bundesratsentwurf
Der Nationalrat hat in der Herbstsession das revidierte Schweizer Datenschutzgesetz (DSG) behandelt. Mit seinem Beschluss vom 25. September 2019 folgte er im Wesentlichen den Anträgen seiner Staatspolitischen Kommission (SPK-NR) (siehe dazu MLL-News vom 17.9.2019). Dass die Vorlage umstritten ist, zeigte sich im Resultat der Gesamtabstimmung mit 98 Ja-Stimmen gegen 68 Nein-Stimmen bei 27 Enthaltungen. Der Beschluss des Nationalrates weicht unter anderem in folgenden Punkten vom Entwurf des Bundesrates (September 2017; vgl. MLL-News vom 21.9.2017) ab:
- Der räumliche Geltungsbereich soll durch einen neuen Artikel 2a definiert werden. Damit soll das DSG explizit auch auf Sachverhalte anwendbar sein, die sich in der Schweiz auswirken, selbst wenn sie im Ausland veranlasst werden. Für die privat- und strafrechtliche Durchsetzung sollen aber die bisherigen Regelungen und Grundsätze weiterhin gelten (vgl. z.B. 139 IPRG). Mit der Neuregelung verbunden ist die in Artikel 12a eingeführte Pflicht für Unternehmen ohne Sitz in der Schweiz, eine Vertretung in der Schweiz zu bezeichnen, wenn diese Personendaten von Personen in der Schweiz bearbeiten. Diese Pflicht wird ausgelöst, wenn die Datenbearbeitung im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen oder der Verhaltensbeobachtung dieser Personen steht. Zudem muss es sich um eine umfangreiche und regelmässige Bearbeitung handeln, die ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt. Schliesslich soll der Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) die explizite Kompetenz erhalten, ausländische Unternehmen zur Bezeichnung eines Vertreters aufzufordern.
- Der Nationalrat weicht auch in Bezug auf die Liste und Definitionen der besonders schützenswerten Daten vom Entwurf des Bundesrats ab. So sollen «gewerkschaftliche Ansichten und Tätigkeiten» nicht mehr darunter fallen, obwohl nach der DSGVO Daten, aus denen «die Gewerkschaftszugehörigkeit hervorgeht», zu diesen besonderen Datenkategorien zählen. Gleichermassen wurden Daten über «Massnahmen der sozialen Hilfe» aus der Liste entfernt. Des Weiteren präzisierte der Nationalrat, dass genetische Daten nur dann besonders schützenswert sind, wenn sie eine natürliche Person eindeutig identifizieren. Damit wird zwar die bislang sehr weitgehende Definition eingeschränkt, aber immer noch keine Übereinstimmung mit der Umschreibung in der DSGVO erzielt.
- Demgegenüber sprach sich der Nationalrat beim Profiling für eine Übernahme der Definition der DSGVO aus. Darunter soll demnach künftig Folgendes verstanden werden: «jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen«. Darüber hinaus soll die gegebenenfalls erforderliche Einwilligung für das Profiling – anders als für die Bearbeitung von besonders schützenswerten Daten und (bisher) Persönlichkeitsprofilen – nach Ansicht der Mehrheit des Nationalrats nicht ausdrücklich sein müssen.
- Ersatzlos gestrichen wurde sodann die Regelung zu Daten von verstorbenen Personen. Die vom Bundesrat vorgeschlagene Regelung wies zahlreiche Mängel auf und wurde daher von verschiedenen Seiten kritisiert (vgl. z.B. MLL-News vom 25.7.2017).
- Eine weitere Abweichung vom Entwurf des Bundesrats betrifft die Informationspflicht: Der Nationalrat hat die Liste der Fälle, in welchen die Pflicht nicht greift, um eine weitere Ausnahme ergänzt. Danach entfällt die Informationspflicht, wenn die Information einen «unverhältnismässigen Aufwand» erfordern würde.
- Auch bei der Regelung des Auskunftsrechts der Betroffenen hat der Nationalrat Änderungen vorgenommen. So sollen die Informationen, die einer betroffenen Person auf Anfrage zu erteilen sind, abschliessend aufgezählt werden. Die ursprüngliche Formulierung der Aufzählung der Daten im Bundesratsentwurf lies Spielraum für weitere möglicherweise mitzuteilende Informationen. Darüber hinaus soll der Bundesrat nach Ansicht des Nationalrats künftig ermächtigt sein, in einer Verordnung Ausnahmen von der Kostenlosigkeit des Auskunftsrechts vorzusehen, «namentlich wenn der Aufwand unverhältnismässig gross ist».
- Geht es nach der Mehrheit des Nationalrats soll im Rahmen der Revision des Datenschutzgesetzes auch ein «Recht auf Datenherausgabe und -übertragung» eingeführt werden (Art. 25a E-DSG; «Recht auf Datenportabilität«). Danach müssen die Verantwortlichen auf Verlangen der betroffenen Personen jene Daten, welche die betroffenen Personen diesen selber bekanntgegeben haben, in einem gängigen elektronischen Format herausgeben oder an einen anderen Verantwortlichen übertragen. Dies setzt nach der Regelung des Nationalrats jedoch voraus, dass der Verantwortliche die Daten automatisiert bearbeitet und die Daten mit der Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit dem Abschluss eines Vertrages bearbeitet. Damit wird im Wesentlichen die Regelung der DSGVO übernommen, wobei weitreichende Ausnahmen gelten sollen, wie z.B. für den Fall, dass der Datenherausgabe oder -übertragung überwiegende Interessen des Verantwortlichen entgegenstehen.
- Eine weitere Abweichung betrifft den Rechtfertigungsgrund für die Bonitätsprüfung. Bereits das geltende Recht nennt die Prüfung der Kreditwürdigkeit als einen Fall, in dem ein überwiegendes Interesse des Verantwortlichen vorliegen kann (vgl. 13 Abs. 2 lit. c DSG). Der Bundesrat wollte dies neu von den weiteren Voraussetzungen abhängig machen, dass die Prüfung nur volljährige Personen betrifft und keine Daten einbezogen werden, die älter als fünf Jahre sind. Die erste Anforderung betreffend Volljährigkeit soll nach dem Nationalrat gestrichen und die zweite Voraussetzung so angepasst werden, dass die einbezogenen Daten verhältnismässig oder weniger als zehn Jahre alt sein müssen. Anders als nach dem Bundesratsentwurf soll die Regelung ferner selbst dann greifen, wenn die Prüfung auf einem Profiling basiert.
- Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) soll nach Ansicht des Nationalrats neu vom Parlament für eine Amtszeit von 4 Jahren gewählt werden. Die Wiederwahl soll zweimal möglich sein. Nach dem Bundesratsentwurf war die Ernennung durch den Bundesrat vorgesehen.
- Schliesslich will der Nationalrat auch die Übergangsfristen weitgehend reduzieren, wie beispielsweise für die neuen Informationspflichten. Diese sollen bereits ab Inkrafttreten des Gesetzes angewendet werden und nicht wie im Entwurf des Bundesrates erst zwei Jahre danach.
Stand der Arbeiten im Parlament und nächste Schritte
Als nächstes wird der Ständerat die Vorlage, gestützt auf die Detailberatung seiner Staatspolitischen Kommission (SPKS), in der Wintersession beraten. Insbesondere die Änderungen bei den besonders schützenswerten Personendaten, die eingeschränkte Informationspflicht der Verantwortlichen bei unverhältnismässigem Aufwand und die Handhabung des Profilings dürften noch intensiv debattiert werden.
Ob die vom Nationalrat ausgearbeitete Gesetzesvorlage aus Sicht der EU den Anforderungen an ein angemessenes Datenschutzniveau entspricht, ist nach wie vor fraglich. Insbesondere hat der Nationalrat das (strafrechtliche) Sanktionssystem des Bundesrats, das auf die Bestrafung von natürlichen Personen und nicht die Unternehmen selbst abzielt, unverändert übernommen.
Es ist zu erwarten, dass der Ständerat andere Standpunkte einnehmen wird. Kann der Zeitplan eingehalten werden, so ist mit der Differenzbereinigung und der Schlussabstimmung im kommenden Frühling zu rechnen. Spätestens im Zeitpunkt, in dem der finale Text des revidierten DSG feststeht, gilt es für die vom Anwendungsbereich des DSG betroffenen Unternehmen zu handeln, ihre Bearbeitungsprozesse zu überprüfen und die nötigen Anpassungen zu ergreifen. Die Erfahrungen im Zusammenhang mit der Einführung der DSGVO machen jedoch deutlich, dass sich eine frühzeitige Auseinandersetzung mit den neuen Regelungen in jedem Fall lohnt.
Weitere Informationen: