Das Wichtigste in Kürze:
- Das revidierte Datenschutzgesetz (DSG) soll Bürgerinnen und Bürgern mehr Transparenz bei der Datenbearbeitung durch Firmen und eine bessere Kontrolle über ihre Daten geben.
- Der Bundesrat trägt dabei dem Wirtschaftsstandort Schweiz Rechnung und verzichtet auf einen «Swiss Finish», der allenfalls mit EU-Recht zu stark kontrastieren könnte.
- Entgegen dem Vorentwurf wird fahrlässiges Handeln nicht bestraft. Die Maximalbusse soll höchstens 250'000 Franken betragen und nicht wie geplant das Doppelte.
- Gestärkt wird der Eidgenössische Datenschutzbeauftragte, der gegen Unternehmen neu eine Untersuchung eröffnen kann. Adrian Lobsiger geht die Revision aber zu wenig weit.
Willkommen im Internetzeitalter: Den Datenschutz verbessern und ans Internetzeitalter anpassen, umschrieb Justizministerin Simonetta Sommaruga das grosse Ziel der Revision. Das geltende Gesetz stamme von 1993 und damit aus einer anderen Ära. Die Justizministerin zeigte sich überzeugt, dass die EU Verständnis zeigt, wenn es etwas länger als die vereinbarten 24 Monate (1. August 2018) dauert, bis die Schweiz die Regelungen in Kraft setzen kann. «Wenn das Geschäft im Parlament auf gutem Weg ist, wird man uns wohl nicht aus Schengen ausschliessen», sagte sie.
Wichtig für die Schweizer Wirtschaft: Der Bundesrat unterstreicht die Bedeutung der Revision für den Wirtschaftsstandort Schweiz. Die Anpassung ans europäische Recht sei Voraussetzung, dass die grenzüberschreitende Datenübermittlung zwischen der Schweiz und den EU-Staaten ohne zusätzliche Hürden möglich bleibe. Die Vorlage sei deshalb wirtschaftsverträglich ausgestaltet und gehe nicht weiter, als es das europäische Recht vorschreibe. «Wir haben versucht, so viel Flexibilität wie möglich hereinzubringen, um auch die auf dem europäischen Markt tätigen Unternehmen zu schützen», sagte Sommaruga. Das mache alles etwas komplizierter, doch ein «Bürokratiemonster» sei damit nicht entstanden.
Kein Swiss Finish: «Es gibt keinen Swiss Finish», betont der Bundesrat. Auf die Frage, ob überhaupt noch etwas Schweizerisches drin sei im Gesetz, antwortete Martin Dumermuth, Direktor des Bundesamtes für Justiz: Die Schweiz gehe zum Teil weniger weit als die europäischen Regelungen, etwa beim Sanktionensystem. Auch Datenschutzberater seien in der Schweiz für Unternehmen nicht Pflicht. «Die Schweiz muss nicht tel quel übernehmen, aber einen als gleichwertig anerkannten Datenschutz bieten können.»
Mehr Transparenz für Privatpersonen: Neu müssen Unternehmen die betroffenen Personen über die Erhebung «jeder Art von Daten informieren». BJ-Direktor Dumermuth präzisierte diesbezüglich, dass eine Information nicht generell erfolgen müsse. Dies könne auch in einer Datenschutzerklärung im Internet erfolgen, wo die Betroffenen es zu Kenntnis nehmen könnten. «Wenn man immer nur wegklickt, hat man keine Vorteile. Man kann aber neu bei einem Verdacht auch Auskunft verlangen.»
Fahrlässigkeit bleibt straffrei, Höchstbusse reduziert: Mit der Revision wird auch die Liste der strafbaren Verhaltensweisen an die neuen Pflichten der Verantwortlichen angepasst. Der Katalog der strafbaren Handlungen und die Bussenhöhe werden nach Kritik am Vorentwurf in der Vernehmlassung aber reduziert: So soll zum einen fahrlässiges Handeln doch nicht bestraft werden. Zum anderen soll der Höchstbetrag der Bussen bei 250'000 Franken und nicht bei 500'000 Franken liegen.
Mehr Kompetenzen für den Datenschützer: Neu kann der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) von Amtes wegen oder auf Anzeige hin eine Untersuchung eröffnen und bei Bedarf vorsorgliche Massnahmen erlassen sowie bei Abschluss der Untersuchung eine Verfügung erlassen. Für Verwaltungssanktionen sind aber weiterhin die Gerichte zuständig. Bisher kann der Datenschützer gegenüber Unternehmen nur Empfehlungen abgeben.
Adrian Lobsiger nur teilweise zufrieden: Datenschützer Adrian Lobsiger begrüsst in einer Mitteilung die Grundzüge der Revision. Er vermisst aber unter anderem ein Recht auf Datenportabilität, welches die Kontrolle der Nutzer über ihre persönlichen Daten fördern würde. Auch die Umkehr der Beweislast zugunsten der Betroffenen in Zivilverfahren fehle. Laut Lobsiger wäre es zudem nötig, auch jene Unternehmen zur Erstellung von Risikofolgenabschätzungen zu verpflichten, die einen Datenschutzberater ernannt haben. Auch eine Zertifizierungspflicht für besonders risikoreiche Datenbearbeitungen hätte Lobsiger begrüsst. Die Bussenobergrenze von 250'000 Franken schliesslich erscheint Lobsiger «wenig abschreckend» im Vergleich zum EU-Recht (200 Millionen Euro oder 4 Prozent des Jahresumsatzes).
