Ihr Kontakt
Sowohl in der Schweiz als auch in der Europäischen Union und im Europarat sind Bestrebungen im Gange, das Datenschutzrecht zu modernisieren und an die technologischen und gesellschaftlichen Entwicklungen anzupassen. Nachdem in der EU die neue Datenschutzgrundverordnung (EU-DSGVO) bereits seit einiger Zeit verabschiedet ist und im Frühjahr 2018 in Kraft treten wird, liegt nun auch in der Schweiz ein Gesetzesvorschlag auf dem Tisch. Der Bundesrat hat kurz vor Weihnachten die seit längerem erwartete Vernehmlassung zum neuen Schweizer Datenschutzgesetz (DSG) eröffnet. Die umstrittenste Neuerung ist das Vorhaben, auf die Einführung von Verwaltungssanktionen zu verzichten und statt dessen die strafrechtliche Verantwortung der mit Datenbearbeitungen befassten natürlichen Personen massiv auszubauen und zu verschärfen.
Während die definitive Fassung der EU-Datenschutzgrundverordnung (EU-DSGVO) bereits seit längerem vorliegt, hat der Bundesrat kurz vor Weihnachten 2016 den Entwurf eines totalrevidierten neuen Schweizer Datenschutzgesetzes in die Vernehmlassung geschickt (siehe BR-News vom 6. Januar 2017). Wir haben bereits ausführlich über die Grundzüge des neuen EU-Datenschutzrechts berichtet (siehe BR-News vom 14. Januar 2016).
Ziele der Revision
Die vorgeschlagene Reform des Schweizer Datenschutzrechts verfolgt verschiedene Ziele. Unmittelbarer Handlungsbedarf besteht unbestrittenermassen aufgrund der völkerrechtlichen Verpflichtung der Schweiz, die Anforderungen der auch für die Schweiz verbindlichen Datenschutzkonvention des Europarates (SEV 108) zu erfüllen. Wichtig – auch aus gesamtwirtschaftlicher Sicht – ist sodann dafür zu sorgen, dass das Niveau des Schweizer Datenschutzes auch in Zukunft durch die EU als angemessen und gleichwertig beurteilt wird. Dies ist zwingende Voraussetzung für einen reibungslosen, funktionierenden Datenaustausch mit den europäischen Nachbarländern. Als Konsequenz hat sich das Schweizer Reformvorhaben an den neuen EU-Vorschriften sowie dem Entwurf der neuen Konvention zu orientieren. Vor diesem Hintergrund können die Ziele der Revision des schweizerischen Datenschutzgesetzes wie folgt zusammengefasst werden:
- Früheres Greifen des Datenschutzgesetzes
- Verstärkte Sensibilisierung der betroffenen Personen für die mit neuen Technologien einhergehenden Risiken
- Förderung der Eigenverantwortung der für die Datenbearbeitung Verantwortlichen
- Erhöhung der Transparenz über Datenbearbeitungen
- Verbesserung der Kontrolle und der Herrschaft über einmal bekannt gegebene Daten
- Stärkung der Kompetenzen der Aufsichtsbehörde und Erleichterung des gerichtlichen Zugangs für die betroffenen Personen
- Strengere Sanktionen bei Datenschutzverletzungen, insbesondere substantielle Bussen
- Angleichung des schweizerischen Datenschutzrechts an die europäischen und völkerrechtlichen Entwicklung zur Sicherstellung eines reibungslosen und funktionierenden grenzüberschreitenden Datenaustauschs.
Allgemeine Leitlinien der Revision
Die Revision des Schweizer Datenschutzrechts orientiert sich an sieben Leitlinien:
- Einführung und Orientierung am risikobasierten Ansatz
- Technologieneutraler Charakter
- Modernisierung der Terminologie
- Verbesserung des grenzüberschreitenden Datenverkehrs
- Stärkung der Rechte der betroffenen Person
- Präzisierung der Pflichten der Datenbearbeiter und stärkere Ausrichtung der Pflichten auf den Schutz der betroffenen Person
- Stärkung der Kontrolle (z.B. durch die Erweiterung der Kompetenzen des EDÖB und durch den Ausbau der Strafbestimmungen)
Der risikobasierte Ansatz im Besonderen
Der risikobasierte Ansatz der geplanten Revision bedingt, dass sich die Pflichten bzw. die Umsetzungsanforderungen am Datenschutzrisiko der betreffenden Datenbearbeitung ausrichten. Damit verbunden ist ein gewisser Umsetzungsspielraum in der Praxis. Dieser risikobasierte Ansatz kann für die Unternehmen Segen und Fluch zugleich sein: Er lässt den Unternehmen zwar durchaus Umsetzungsspielraum, andererseits muss daher auf präzise und detaillierte Regeln verzichtet werden, was mit Blick auf die verschärfte, resp. ausgebaute strafrechtliche Sanktionierung zahlreicher Pflichtverletzungen problematisch ist.
Struktur des Gesetzesentwurfs
Wie sehen nun die Reformvorschläge konkret aus: Die Anpassungsvorschläge orientieren sich an der Struktur des geltenden DSG. Das Rad soll nicht gänzlich neu erfunden werden. Die einzelnen Bestimmungen werden jedoch im VE-DSG durchaus neu angeordnet. Dies hängt damit zusammen, dass aufgrund des besseren Überblicks z.B. die Pflichten der Datenbearbeiter oder die Rechte der betroffenen Person in aufeinanderfolgenden Bestimmungen aufgeführt werden. Im geltenden Recht waren die betreffenden Bestimmungen teilweise im Gesetz verstreut geregelt.
Spezifische Regelung von Big Data?
Im Gegensatz zur Bedeutung des Themas in der Praxis befasste sich bereits das Normkonzept nicht mit “Big Data”. Es wird zwar betont, dass Big Data in verschiedener Hinsicht eine Herausforderung für den Datenschutz darstelle, doch bestünde zum gegenwärtigen Zeitpunkt noch zu wenig Klarheit betreffend die konkreten Auswirkungen. Das Thema Big Data wurde daher nur punktuell angegangen (z.B. durch das verstärkte Auskunftsrecht, durch Privacy by Design, durch Data Protection Impact Assessments etc.). Auch der nun vorgelegte Vernehmlassungsentwurf befasst sich nicht explizit und strukturiert mit dem Thema Big Data. Big Data wird zwar durch gewisse Bestimmungen (negativ) beeinflusst, doch fehlt eine Gesamtregelung. Dies wirkt sich punkto Rechtssicherheit negativ auf Werbeaktivitäten und insbesondere auf personalisierte Werbung aus. Es verbleibt damit ein grosser Graubereich. Dies ist insbesondere im Hinblick auf die VE-DSG zu betonen. Mit den vorgesehenen strengeren Sanktionsmöglichkeiten, dem Ziel, die Anzahl Datenschutzverletzungsverfahren zu erhöhen und auch mit dem Ausbau der Kompetenzen der Datenschutzbehörden ist dies für die Data Economy in der Schweiz keine gute Nachricht.
Problematische Regelung des «Profiling»
In diesem Zusammenhang ist insbesondere auch auf Art. 23 Abs. 2 lit. d VE-DSG hinzuweisen. Diese Bestimmung sieht vor, dass das Profiling ohne ausdrückliche Zustimmung der betroffenen Person vermutungsweise eine Persönlichkeitsrechtsverletzung darstellt. Der Begriff Profiling ist im VE-DSG nicht präzise beschrieben. Der Begriff ersetzt denjenigen des bisherigen Persönlichkeitsprofils. Es handelt sich eindeutig um eine empfindliche Verschärfung zum geltenden Recht, da bis anhin bei der Bearbeitung von Persönlichkeitsprofilen nicht in jeder Konstellation eine Einwilligung notwendig war. Es handelt sich zudem auch um eine (unnötige) Verschärfung gegenüber den europäischen Reformbestrebungen. Zwar wäre es allenfalls möglich, die Persönlichkeitsrechtsverletzung zu rechtfertigen (überwiegendes Interesse oder Gesetz), doch dürfte wegen der gesetzlichen Vermutung insbesondere ein überwiegendes Interesse als Rechtfertigungsgrund eher selten in Frage kommen. Selbst bei der Möglichkeit einer Rechtfertigung ist die Vermutung einer Persönlichkeitsrechtsverletzung im Vergleich zum geltenden Recht ein Nachteil. Für Werbeaktivitäten, insbesondere personalisiertes Marketing, sowie Big Data hätte diese Bestimmung wohl erhebliche negative Auswirkungen. Ausländische Unternehmen könnten durch diese Bestimmung allenfalls einen Wettbewerbsvorteil erlangen.
Vorgaben für die Anreicherung von Datenbeständen aus Drittquellen
Auswirkungen dürften die Reformbestrebungen, insbesondere die ausgebauten Informations- und Transparenzpflichten, sodann auf die Anreicherung von Datenbeständen aus Drittquellen haben. Die Informations- und Transparenzpflichten sollen auch für solche Daten verschärft werden. Die Datenbearbeiter müssen die betroffenen Personen innert nützlicher Frist nach der Anreicherung über die Datenbeschaffung informieren. Art. 13 VE-DSG enthält eine entsprechende Informationspflicht. Art. 13 Abs. 5 VE-DSG verlangt dabei, dass die Information spätestens im Zeitpunkt der Speicherung der Daten erfolgt. Unklar ist, wie diese Information zu erfüllen ist. Ob eine Information in der Datenschutzerklärung ausreichend ist, wenn mit der betroffenen Drittperson allenfalls gar (noch) kein Geschäftskontakt besteht, ist unklar. Zudem ist zu beachten, dass die Ausnahmen von der Informationspflicht nach Art. 14 VE-DSG restriktiv auszulegen wären. Der Verantwortliche muss zwingend gewisse Informationsanstrengungen unternehmen, bevor die Informationspflicht als unverhältnismässig angesehen werden kann. Die Informationspflicht bei der Datenbeschaffung bei Dritten kann deshalb je nach Ausgestaltung und Umsetzungsanforderung erhebliche negative Auswirkungen auf die Datenanreicherung haben. Dies wirkt sich wiederum auf die verfügbaren Daten und damit insbesondere die personalisierte Werbung und Big Data aus.
Ausbau der Datenbearbeitungsgrundsätze
Eine weitere umstrittene Frage betrifft den Ausbau der Datenbearbeitungsgrundsätze. Hierbei wurde argumentiert, dass wegen der technologieneutralen Ausgestaltung des DSG für die betroffenen Personen, aber vor allem auch für die Datenbearbeiter teilweise unklar sei, was erlaubt ist. Um diese Unsicherheit zu reduzieren, wurde eine detailliertere Darstellung der Datenbearbeitungsgrundsätze vorgeschlagen. Bei dieser detaillierteren Regelung könnten dann auch spezifische Bestimmungen zu Big Data und Cloud Computing etc. im Gesetz verankert werden. Im Vernehmlassungsentwurf wurden entsprechende Vorschläge beim Ausbau der aktiven Informationspflicht in Art. 13 VE-DSG, bei der Informationspflicht im Zusammenhang mit automatischen Einzelfallentscheidungen mit erheblicher Auswirkung (Art. 15 VE-DSG) sowie beim Ausbau der Sorgfaltspflichten in Art. 16 ff. VE-DSG berücksichtigt.
Höhere Anforderungen an eine gültige Einwilligung?
Die DSGVO sieht sehr strenge Anforderungen an eine gültige Einwilligung vor. Verboten werden sollen z.B. die aktuell in der Schweiz häufig anzutreffenden, bereits vorangekreuzten Check-Boxen. Die Kunden müssen diese Check-Boxen aktiv ankreuzen. Zudem sieht die DSGVO ein sog. Kopplungsverbot vor. Es soll z.B. nicht mehr erlaubt sein, die Teilnahme an Gewinnspielen von der Zustimmung zur Verwendung der Teilnehmerdaten für Werbezwecke abhängig zu machen. Schweizerische Unternehmen, welche regelmässig Kunden aus EU-Ländern ansprechen und daher die DSGVO berücksichtigen müssen, erleiden dadurch erhebliche Nachteile. Der Pool an verwertbaren Daten dürfte signifikant reduziert werden.
Unklar ist, wie sich der Vorentwurf zum totalrevidierten Datenschutzgesetz zu dieser Frage verhält. Art. 4 Abs. 6 VE-DSG enthält eine Neuformulierung der Einwilligungsanforderungen. Aufgrund der Aussagen im erläuternden Bericht ist unklar, inwiefern es sich hierbei nur um eine terminologische Annäherung zum EU-Recht oder aber auch um eine inhaltliche Annäherung handelt. Eine auch inhaltliche Annäherung an das EU-Recht würde im Vergleich zum geltenden schweizerischen Recht eine Verschärfung darstellen. Bis anhin sind vorangekreuzte Check-Boxen und auch die Koppelung nach schweizerischem Recht grundsätzlich zulässig.
Erweiterte Kompetenzen des EDÖB und Straf- statt Verwaltungssanktionen
Im Vergleich zum bisherigen DSG sollen zukünftig die Kompetenzen der Aufsichtsbehörde verstärkt werden. Damit soll insbesondere das Ungleichgewicht zwischen betroffenen Personen und den Datenbearbeitern ausgeglichen werden. Der Modernisierungsentwurf der Datenschutzkonvention des Europarates macht entsprechende Anpassungen notwendig. Diese Forderung wird in Art. 40 ff. VE-DSG umgesetzt. Die Bestimmungen räumen dem EDÖB zusätzliche Untersuchungs- und Verfügungskompetenzen ein. Insbesondere soll er neu eine direkte Verfügungskompetenz erhalten. Rechtsmittel gegen vorsorgliche Massnahmen des EDÖB sollen keine aufschiebende Wirkung haben, Nichtbeachtung der Verfügungen soll mit hohen Bussen bestraft werden (Art. 50 Abs. 2 lit. f VE-DSG). Dies stärkt die Stellung des EDÖB und dürfte zu einer erhöhten Kontrolle von Datenbearbeitungen führen.
Demgegenüber verzichtet der Entwurf auf die Einführung von Verwaltungssanktionen. Statt dessen soll die strafrechtliche Verantwortung der mit Datenbearbeitungen befassten natürlichen Personen massiv ausgebaut und verschärft werden (vgl. Art. 50 ff. VE-DSG). Praktisch alle Informations- und Sorgfaltspflichten sind nunmehr strafrechtlich sanktioniert. Die Sanktionen richten sich primär an die für die Datenbearbeitung verantwortliche natürliche Person und nicht an das Unternehmen, in dessen Interesse die Datenbearbeitungen erfolgen. Für eine natürliche Person können sich die Bussenbeträge (maximal CHF 500‘000.00 bei Vorsatz und CHF 250‘000.00 bei Fahrlässigkeit) erheblich auswirken. Die Auswirkungen der Strafbestimmungen sind allerdings schwierig abzuschätzen. Zu erwähnen ist betreffend Strafbestimmungen auch der Ausbau der Schweigepflicht in Art. 52 VE-StGB. Jede unbefugte Offenlegung von geheimen Personendaten wird unter Strafe gestellt. Die Schweigepflicht führt dazu, dass bei geheimen Personendaten bei der Bekanntgabe an Dritte faktisch immer eine Zustimmung der betroffenen Person, ein überwiegendes Interesse oder eine gesetzliche Offenlegungspflicht gegeben sein muss. Dies führt dazu, dass allenfalls eine Zustimmung notwendig ist, obwohl die Datenbearbeitungsgrundsätze keine solche vorsehen. Entscheidend wird damit sein, wie eng oder weit der Begriff „geheime Personendaten“ ausgelegt wird. Der Gesetzesentwurf beantwortet diese Frage nicht präzise.
Problematisch am vorgeschlagenen Sanktionssystem ist sodann, dass mit dem Verzicht auf Verwaltungssanktionen wiederum ein Sonderweg im Vergleich zur Regelung in der EU-DSGVO eingeschlagen wurde. Darüber hinaus verlangt auch der Entwurf der neuen Datenschutz-Konvention sowohl gerichtliche als auch nicht-gerichtliche Sanktionen («appropriate judicial and non-judicial sanctions»). Insofern wird auch hier eine Unsicherheit im Hinblick auf die Angemessenheit des Schweizer Datenschutzrechts geschaffen.
Selbstregulierung: Empfehlungen der «guten Praxis»
Umstritten war zudem, ob die diskutierten Detailregelungen verbindlich im DSG oder im Sinne einer Selbstregulierung (“Gute Praxis”) eingeführt werden sollen. Eine Expertengruppe war der Meinung, dass die Detailregelungen von einem spezialisierten Expertenkommittee erarbeitet werden sollen. Art. 8 f. VE-DSG sieht nun vor, dass solche Empfehlungen der guten Praxis vom EDÖB zu erlassen oder zu genehmigen sind. Dies führt für die Unternehmen zu einem zweischneidigen Ergebnis. Empfehlungen der guten Praxis können helfen, die Umsetzung der Pflichten auf die Bedürfnisse der betreffenden Branche anzupassen. Da die Empfehlungen vom EDÖB zu genehmigen sind, dürften jedoch hohe Standards erwartet werden. Dies könnte sich negativ auswirken, da die Empfehlungen faktisch zum Gesetz werden. Bei Nichteinhaltung der Empfehlung wird eine Gesetzesverletzung faktisch vermutet werden.
Weitere wichtige Neuerungen (Auswahl)
Neben den bereits erläuterten Aspekten ist insbesondere auf die nachfolgenden Änderungs-Vorschläge hinzuweisen (vgl. für weitere Einzelheiten auch die «Konkordanztabelle»):
- Änderung des sachlichen Geltungsbereichs: Nach Art. 2 VE-DSG soll das Gesetz neu nicht mehr auf Daten juristischer Personen anwendbar sein.
- Änderungen von Begriffsbestimmungen: In Art. 3 VE-DSG werden gewisse Begriffe neu definiert oder eine neue Terminologie verwendet. Die Auswirkungen erscheinen jedoch, abgesehen von der erwähnten Regelung des Profiling, an sich nicht erheblich.
- Ausbau der Sorgfaltspflichten: Während das geltende DSG die Sorgfaltspflichten in Art. 7 DSG ganz allgemein regelt, enthält der VE-DSG in Art. 16 ff. einen umfangreichen Katalog von Pflichten. Zu nennen sind: Data Privacy by Default und by Design, Datenschutz-Folgenabschätzung, Dokumentationspflicht, Pflicht zur Meldung von Datenschutzverletzungen, sowie eine Informationspflicht bei Bekanntgabe an Dritte, wenn die bekannt gegebenen Daten berichtigt, gelöscht oder entfernt werden müssen. Diese Sorgfaltspflichten erhöhen den Umsetzungsaufwand. Data Privacy by Design und Default wirken sich zudem erheblich auf Werbeaktivitäten aus. Es gilt das Prinzip der Datenminimierung, was dem personalisierten Marketing und Big Data per se entgegensteht.
- Ausbau der Rechte der betroffenen Person: In Art. 20 ff. VE-DSG werden die Rechte der betroffenen Person geregelt. Das Auskunftsrecht wird im Vergleich zum geltenden Recht leicht ausgebaut. Die übrigen Ansprüche (Recht auf Vergessen, Löschungsrecht, Berichtigungsrecht, Bestreitungsvermerk) ändern sich gegenüber dem geltenden Recht nicht erheblich. Eingeführt werden soll der Erlass von Verfahrenskosten (Gerichtsgebühren) bei der zivilrechtlichen Verfolgung von Datenschutzverletzungen.
Fazit
Bereits dieser erste Überblick über die vorgeschlagenen Regelungen macht deutlich, dass die geplante Reform in vielen unterschiedlichen Branchen der digitalen Wirtschaft erhebliche Auswirkungen haben wird. Die Bedeutung des Datenschutzes wird daher in der Unternehmenspraxis stärker in den Fokus rücken als dies in der Vergangenheit der Fall war. Aus Sicht der Wirtschaft ist generell äusserst bedenklich, dass der Bundesrat mit zahlreichen Vorschlägen, wie z.B. zum Sanktionssystem, von der künftigen Regelung in der EU abweicht. Sollte der Entwurf zum Gesetz werden, würde dies in der Praxis wiederum regelmässig einen «Swiss Finish» erfordern und folglich unnötige Hemmnisse für den grenzüberschreitenden Wirtschaftsverkehr schaffen. Es bleibt zu hoffen, dass am Entwurf, namentlich in dieser Hinsicht, die erforderlichen Anpassungen vorgenommen werden. Die weitere Entwicklung in der Schweiz ist demnach weiter zu verfolgen, was in besonderem Masse auch in Bezug auf die Haltung des Bundesrats zu einem Nachvollzug der kürzlich von der EU-Kommission vorgestellten Neuregelung der «Datenschutzrichtlinie für elektronische Kommunikation» gilt.
Weitere Informationen:
- Medienmitteilung „Mehr Transparenz und stärkere Kontrolle über die eigenen Daten“ vom 21. Dezember 2016
- Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz
- Vorentwurf DSG
- Vorentwurf Änderung weiterer Erlasse zum Datenschutz
- Konsolidierter Entwurf der modernisierten Europarats-Datenschutz-Konvention (108)
- Datenschutz-Grundverordnung (2016/679; EU-DSGVO)
- Konkordanztabelle mit Vergleich des aktuellen DSG/Vorentwurf DSG/Entwurf SEV 108/EU-DSGVO
- Bundesbeschluss über die Genehmigung des Notenaustausches zwischen der Schweiz und der EU
- Regulierungsfolgenabschätzung (RFA) zur Revision des eidg. Datenschutzgesetzes (DSG). Schlussbericht vom 11. Juli 2016
- Revisionen des Datenschutzrechts im Überblick – wo steht die Schweiz? (BR-News vom 9.4.2015)
- Update: Veröffentlichung der EU-Datenschutzverordnung im Amtsblatt (BR-News vom 19.5.2016)