Revisionen des Datenschutzrechts im Überblick – wo steht die Schweiz?

Sowohl in der Schweiz als auch in der Europäischen Union und im Europarat sind Bestrebungen im Gange, das Datenschutzrecht an die technologischen und gesellschaftlichen Entwicklungen anzupassen. Laut einer Medienmitteilung des Bundesrates wurde das Eidgenössische Justiz- und Polizeidepartement damit beauftragt, bis spätestens im August 2016 einen Vorentwurf für eine Revision des Datenschutzgesetzes zu unterbreiten. Im Hinblick auf einen reibungslosen grenzüberschreitenden Datenverkehr soll die Revision im Einklang mit den derzeit laufenden Datenschutzreformen in der EU ausgestaltet werden. Von Bedeutung ist vorderhand die vom Europarat vorangetriebene Revision der Konvention 108.

Massnahmen zur Stärkung des Datenschutzes in der Schweiz

Eine Evaluation des Datenschutzgesetzes in der Schweiz in den Jahren 2010 und 2011 hat ergeben, dass von einer Datenbearbeitung betroffene Personen ihre Rechte gegenüber dem Datenbearbeiter selten durchsetzen. Dies soll sich in Zukunft ändern. Namentlich soll durch eine Stärkung verschiedener Rechtsansprüche betroffener Personen und der Verfahren zur Rechtsdurchsetzung sowie einer Ausweitung der Kompetenzen und Befugnisse des Eidgenössischen Datenschutz und Öffentlichkeitsbeauftragen (EDÖB), die Inanspruchnahme der Datenschutzbestimmungen gefördert werden. Betroffen von der geplanten Erweiterung sind insbesondere jene Bereiche, in denen im Vergleich zu den Reformen in Europa noch Lücken bestehen. Neben diesen, im Hauptfokus liegenden Änderungen, soll zusätzlich der Schutz von Minderjährigen, die Datenkontrolle und –herrschaft, sowie die Förderung von Best Practice Regeln Eingang in die Revision finden.

Datenschutzreformen in Europa und beim Europarat

Die Reformierung des europäischen Datenschutzrechtes läuft auf verschieden Ebenen ab. Zum einen beschäftigt sich der Europarat mit der Überarbeitung der „Konvention zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“ (Konvention 108 od. K108), die auch von der Schweiz ratifiziert wurde. Andererseits arbeitet man in der Europäischen Union an einer umfassenden Datenschutzreform. Hierbei soll die Datenschutzrichtlinie von 1995 (95/46/EG) durch eine neue Datenschutzverordnung (DSGVO) abgelöst werden.

Die Konvention 108 gilt als weltweite solide Grundlage für die Weiterentwicklung des Datenschutzrechts. Als völkerrechtlicher Vertrag wurde sie von fast allen (45 von 47) Mitgliedstaaten des Europarates ratifiziert, darunter befinden sich alle 28 EU-Länder. In der Schweiz ist das Übereinkommen am 1. Februar 1998 in Kraft getreten. Der Entwurf zur Erneuerung der Konvention wird voraussichtlich 2015/2016 verabschiedet und den Vertragsstaaten zur Unterzeichnung vorgelegt. Angesichts des vergleichsweise hohen Datenschutzniveaus in der Schweiz wird die Revision der Konvention 108 zumindest im Bereich des materiellen Datenschutzrechtes keine tiefgehenden Änderungen mit sich bringen.

Revision der Konvention 108 – Verhältnis zum schweizerischen DSG

Laut Vorschlägen für den Entwurf der neuen Konvention 108 bedeuten die Änderungen des Übereinkommens für die Schweiz keine bedeutsame Neuregelung des Datenschutzrechtes. Das Bundesgesetz über den Datenschutz verfügt insbesondere in folgenden Bereichen, welche von der K108-Revision betroffen sind, bereits über eine ausreichende oder weitergehende gesetzliche Umsetzung der Konvention:

  • Geltungsbereich (bspw. sind juristische Personen nicht von der K108 erfasst)
  • Besonders schützenswerte Personendaten
  • Regelungskonzept (Rechtfertigung einer Verletzung der Bearbeitungsrundsätze weiterhin möglich)
  • Einwilligung / Zustimmung
  • Recht auf Vergessen (Widerspruchsrecht bereits in Art. 12 Abs. 2 DSG implementiert)

Von praktischer Relevanz dürfte die im Entwurf der neuen Konvention 108 vorgesehene leichte Erweiterung der Auskunftsrechte der von einer Datenbearbeitung betroffenen Person sein. So müssen neuerdings nicht nur Angaben darüber gemacht werden, in welcher Art und zu welchem Zweck Personendaten bearbeitet werden, sondern diese Angaben sollen auf ein bestimmtes Resultat, von welchem eine Person betroffen ist, gemacht werden.

  • Art. 8 Bst. c Entwurf K108: „Every individual shall have a right, to obtain, on request, knowledge of the reasoning underlying data processing where the results of such processing are applied to him or her”

Man könnte sich vorstellen, dass in Zukunft beispielsweise nicht nur darüber informiert werden muss, dass Personendaten zur Erstellung von Kundenprofilen bearbeitet werden, sondern auch darüber, welche Rückschlüsse und Massnahmen durch die Erstellung des Profils ermöglicht werden und folglich auf die betroffene Person zukommen können.

Der aktuelle Entwurf sieht neu explizit eine Pflicht vor, Datenschutzverstösse zumindest den zuständigen Datenschutzbehörden umgehend zu melden, sofern eine ernsthafte Gefährdung der Persönlichkeitsrechte der Betroffenen denkbar ist (Art. 7 Abs. 2 E-K108). Eine solche Meldepflicht ist im geltenden Schweizer Recht nicht vorgesehen und wird eingeführt werden müssen.

Die revidierte Konvention 108 wird vorsehen, dass neben gerichtlichen Sanktionen auch Verwaltungssanktionen vorzusehen sind (Art. 10 E-K108). Bislang sind Datenschutzverstösse im Schweizer Recht grundsätzlich nicht bussgelddbewehrt. Es ist davon auszugehen, dass das DSG inskünftig vorsehen wird, dass Bussen in der Höhe von maximal 10 % des Schweizer Umsatzes in den letzten drei Geschäftsjahren ausgesprochen werden  können. Zudem wird die revidierte Konvention die Mitgliedstaaten verpflichten, dass Aufsichtsbehörden neu sanktionieren und Massnahmen ergreifen können müssen (Art. 12bis E-K108). Dies bedeutet, dass der EDÖB und die kantonalen Datenschutzbeauftragten in Zukunft nicht mehr wie aktuell nur ein Empfehlungs- und Klagerecht haben werden, sondern ihnen ein direktes Verfügungsrecht gegenüber den Verantwortlichen eines Datenschutzverstosses zustehen muss.

Innereuropäische Revision – neue Datenschutzverordnung (DSGVO)

In der Europäischen Union wird seit mittlerweile drei Jahren (vgl. BR-News vom 6. Februar 2012) über eine Revision des Datenschutzrechts verhandelt. Die alte Datenschutzrichtlinie (95/46/EG) soll neu durch eine Datenschutzverordnung (DSGVO) abgelöst werden. Nun haben die Mitgliedstaaten über neue Regeln für die Nutzung von Verbraucherdaten Einigung erzielt. Diese könnten, laut Kritikern – allen voran der Europaabgeordnete der Grünen, Jan Philipp Albrecht -, eine bemerkenswerte Aufweichung der Datenschutzstandards herbeiführen.

Einigung der Justizminister – Verwendung von Daten ohne Zustimmung des Betroffenen

Im Zuge der etappenweise durchgeführten Reform der seit 1995 bestehenden, veralteten EU-Datenschutzregeln haben sich die Justizminister der Mitgliedstaaten am 13. März 2015 über umstrittene neue Eckpunkte der neuen Datenschutzverordnung geeinigt. Demnach sollen Behörden und Unternehmen Daten von Verbrauchern künftig auch für Zwecke verwenden dürfen, die eine betroffene Person zuvor nicht genehmigt hat. Bedingung für eine Änderung des Verwendungszwecks soll einzig ein überwiegendes Interesse des Datenbearbeiters gegenüber dem Interesse der betroffenen Person sein. Die Gegner einer solchen Neuregelung betonen, dass, nach dem heutigen Regelungskonzept, der Verbraucher bei jeder Zweckänderung erneut gefragt werden muss. Befürworter halten dagegen, dass z. B. nach deutschem Datenschutzgesetz Daten schon heute zu einem anderen, als dem vorgesehenen Zweck bearbeitet werden dürfen, wenn ein berechtigtes Interesse daran bestehe.

Vor dem Hintergrund, dass die Konvention 108 als Referenzwerk für zahlreiche internationale Erlasse, somit auch für die neue DSGVO, die Gültigkeit des Grundsatzes der Zweckbindung neuerdings explizit festhält, wird der Diskussion um die innereuropäischen Pläne zusätzlichen Gesprächsstoff liefern. Als nächstes werden sich der Europäische Ministerrat und das Europäische Parlament dazu äussern.

Ausblick

Die vorsichtig formulierten Ziele des Bundesrats hinsichtlich der DSG-Revision stimmen grundsätzlich mit den Revisionsvorschlägen der Konvention 108 des Europarates überein. Ein Hauptaugenmerk beider Revisionen liegt auf der Stärkung der Rechte der von einer Datenbearbeitung betroffenen Person. Glaubt man den Kritikern der jüngsten Revisionsvorschläge der neuen europäischen DSGVO, sollen zugunsten wirtschaftlicher Interessen, die Rechte von Betroffenen eher aufgeweicht und das Datenschutzrecht, in Abkehr vom Grundsatz der Zweckbindung, liberaler ausgestaltet werden. Dieser Trend lässt sich in der Schweiz vorerst nicht beobachten. In diesem Zusammenhang gilt es zu bedenken, dass die DSGVO für die Schweiz rechtlich nicht verbindlich ist – anders hingegen die neue Konvention 108. Als Vertragsstaat wird die Schweiz diese voraussichtlich in zwei bis drei Jahren ratifizieren, sofern der neue Entwurf bis dahin vorliegt. Ein erster Entwurf für ein neues Schweizer Datenschutzgesetz sollte laut Bundesrat bis im August 2016 vorliegen.

 

Weitere Informationen

 

Ansprechpartner: Lukas Bühlmann