Die Staatspolitische Kommission des Nationalrates (SPK-NR) hat rechtzeitig für die Herbstsession 2019 ihre Beratungen über das totalrevidierte Datenschutzgesetz (DSG) in der Schweiz abgeschlossen.
Die Schweiz muss ihr Datenschutzrecht insbesondere revidieren, damit die Europäische Kommission (EU-Kommission) das schweizerische Datenschutzrecht weiterhin als angemessen beurteilen kann, auch mit Blick auf die neuen und verschärften Anforderungen der Datenschutz-Grundverordnung (DSGVO).
Anpassungen und Ergänzungen: Datenübertragbarkeit, Datenschutz-Vertreter, …
Die Kommission nahm gemäss ihrer Medienmitteilung im Vergleich zum bisherigen Entwurf erhebliche Anpassungen und Ergänzungen vor, unter anderem:
- Betroffene Personen in der Schweiz sollen ein Recht auf Datenportabilität erhalten. Vorbild ist das Recht auf Datenübertragbarkeit gemäss Art. 20 DSGVO. Dadurch sollen neue Geschäftsmodell ermöglicht und der Wettbewerb gefördert werden.
- Unternehmen im Ausland, die Dienstleistungen in der Schweiz anbieten, sollen nicht nur das schweizerische Datenschutzrecht einhalten, sondern auch einen Datenschutz-Vertreter in der Schweiz bezeichnen müssen. Vorbild ist wiederum die DSGVO mit dem Marktortprinzip (Art. 3 Abs. 1 lit. a DSGVO) und der EU-Datenschutz-Vertretung (Art. 27 DSGVO).
- Die Sanktionen bleiben vorläufig auf das Strafrecht und einzelne natürliche Personen wie insbesondere Führungskräfte in Unternehmen beschränkt, doch soll die allgemeine Einführung von pekuniären Verwaltungssanktionen – wiederum mit der DSGVO als Vorbild – geprüft werden (Postulat 18.4100), womit sich Bundesrat und Nationalrat bereits einverstanden erklärt haben. Die Höhe der Bussen bleibt vorläufig auf 250’000 Franken beschränkt, wobei in der Kommission zum Teil höhere Bussen gefordert worden waren.
- In der Liste der besonders schützenswerten Personendaten wurden «Daten über Sozialhilfemassnahmen» gestrichen. Gleichzeitig wurden «genetische Daten» in die Liste aufgenommen.
- Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) soll direkt vom Parlament gewählt werden. Bislang wird der EDÖB vom Bundesrat gewählt und das Parlament kann die Wahl lediglich genehmigen (oder auch nicht). Der heutige EDÖB, Dr. Adrian Lobsiger, wurde im Frühjahr 2019 für eine zweite Amtszeit bestätigt.
- Auf eine Regelung für den Umgang mit den Daten verstorbener Personen soll im revidierten DSG verzichtet werden. Eine Teil der Kommission hatte vergeblich hat darauf hingewiesen, dass es Klärungsbedarf beim digitalen Nachlass gibt.
- Das revidierte DSG soll erst nach einer Anpassungszeit von zwei Jahren in Kraft treten. Mit einer Inkraftsetzung ist damit nicht mehr 2021 oder gar 2020 zu rechnen, sondern – im besten Fall! – erst 2022 oder gar 2023.
Stichentscheid: Knappe Mehrheit für umstrittene Anpassungen und Ergänzungen
Die Annahme der Vorlage für das revidierte DSG mit diesen Anpassungen und Ergänzungen war in der Kommission umstritten. Die Annahme erfolgte äussert knapp mit 9 zu 9 Stimmen bei 7 Enthalten und Stichentscheid des Präsidenten.
Die Schweiz übernimmt für ihr revidiertes DSG weiterhin nicht die DSGVO, nähert sich der DSGVO aber weiter an. Leider wurde die Chance verpasst, aus den ersten praktischen Erfahrungen mit der DSGVO zu lernen, zum Beispiel mit Blick auf die bürokratischen und nicht zielführenden Verzeichnisse der Bearbeitungstätigkeiten.
Mit den Anpassungen und Ergänzungen ist für zusätzlichen Zündstoff in den Beratungen im Nationalrat gesorgt:
Die Streichung von «Daten über Sozialhilfemassnahmen» aus der Liste der besonders schützenswerten Personendaten zum Beispiel werden die linken Parteien nicht hinnehmen wollen, zumal diese Streichung einen Rückschritt gegenüber dem heutigen Art. 3 lit. c Ziff. 3 DSG darstellt.
Umgekehrt werden sich rechte Parteien voraussichtlich gegen das Recht auf Datenübertragbarkeit zur Wehr setzen und versuchen, die DSGV-Revision auf das notwendige Minimum für den benötigten Angemessenheitsbeschluss der EU-Kommission zu beschränken.
(Via @smetille.)
Ich finde die Sache mit dem Datenschutz-Vertreter in der Schweiz interessant. Das könnte sich allerdings durchaus als Eigentor herausstellen, da aufgrund der Grösse der Schweiz es einfacher sein dürfte, keine Dienste mehr in der Schweiz anzubieten als der ganze Aufwand mit dem Datenschutz-Vertreter.
@Ihsan Dogan:
Vielleicht ist genau das die Absicht? Es gibt ja starke Tendenzen, Datenschutz als Heimatschutz zu missbrauchen.
Wir müssen unsere Daten unbedingt schützen, weil wir diese mit unseren Geld auch bezahlen.
Warum sollte jemand einfach das Recht haben meine Verhaltensweisse umsonst zu bekommen, wenn ich dafür mein Geld ausgebe um die Daten zu erstellen. Zum Beispiel:
Ich zahle mein Japan Urlaub 10000.CHF, oder ich fahre mit dem Auto 2500KM zu Strand um bezahle 6500.-CHF für die Hotel und Reise und 100 000.-CHF für das Auto, und jetzt darf Telefon Gesellschaft, Google, Autohersteller, Buchhandlung usw. meine bezahlte Daten einfach so auswerten und benutzen und weiter verkaufen?
Wo sind wir gelandet, frage ich mich?
Sehr geehrter Herr Rechtsanwalt Steiger,
ich danke Ihnen für die sehr interessante Aufbereitung der neueren Datenschutzrechtsentwicklung in der Schweiz. Sehen Sie ein Risiko für den Angemessenheitsbeschluss der EU darin, dass fahrlässige Verstöße nach dem schweizerischen Datenschutzrecht bußgeldtatbestandslos sind?
Mit den besten Wünschen
Matthias Vöcking
@Matthias Vöcking:
Ein Risiko besteht, aber ich halte es für gering. Man könnte argumentieren, dass sich die Sanktionen gemäss dem revidierten DSG in erster Linie gegen natürliche Personen richten. Ausserdem ist bereits angedacht, ergänzend zu den Sanktionen gegen natürliche Personen auch Verwaltungssanktionen (gegen Unternehmen) einzuführen.