Aktueller Stand der Revision des Schweizerischen Datenschutzgesetzes

Die Revision des schweizerischen Datenschutzgesetzes wurde Ende September in der Herbstsession erstmals im Nationalrat verhandelt. Der Revisionsentwurf ging danach in die zuständige Kommission des Ständerates, und wird noch in der Wintersession 2019 im Ständerat debattiert. Sollte die EU im Mai 2020 zum Schluss kommen, dass das aktuelle schweizerische Datenschutzgesetz nicht mehr mit dem eigenen konform ist, so könnte das für viele Unternehmungen in der Schweiz im Bereich des grenzüberschreitenden Datenverkehrs mit Unternehmungen in der EU zu erheblichem Mehraufwand bis hin zu Wettbewerbsnachteilen im generellen Geschäftsverkehr führen.

In der letzten Septemberwoche 2019 fand im Nationalrat die zweitägige Debatte über die Revision des aus dem Jahr 1992 stammenden Datenschutzgesetzes statt. Trotz zahlreichen Sitzungen, in welchen sich die dafür zuständige Staatspolitische Kommission des Nationalrates mit dem komplexen neuen Gesetzesentwurf befasst hatte, gab es in letzter Minute zahlreiche Zusatzverhandlungen. Im Grundsatz ist man sich politisch zwar einig, dass es diverse Anpassungen braucht, um das schweizerische Datenschutzrecht dem aktuellen Stand der technologischen Entwicklungen der letzten 27 Jahre anzupassen, nur über das Wie herrscht nach wie vor Uneinigkeit.

Folgen für Unternehmen

Ebenfalls klar ist, dass das Schweizer Datenschutzrecht demjenigen der Europäischen Union angeglichen werden muss. Seit dem 25. Mai 2018 ist in der EU die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Die EU ihrerseits überprüft bis im Mai 2020, ob der Datenschutz in der Schweiz noch gleichwertig ist mit ihrem eigenen. Das wäre derzeit nicht der Fall, und sollte die Schweiz ihre Bestimmungen nicht ändern, so können schweizerischen Unternehmungen grosse Wettbewerbsnachteile drohen, indem ein Austausch von Daten mit Betrieben in der EU sehr schwierig werden könnte. Dies betrifft insbesondere Konzerngesellschaften, die regelmässig ihre Daten mit den ausländischen Tochter- oder Schwestergesellschaften austauschen. Aber auch bei Outsourcing-Verhältnissen oder dem Gebrauch von Cloudlösungen mit Unternehmungen ausserhalb der Schweiz müssten künftig vermehrt und detailliert entsprechend vertragliche Regelungen getroffen werden. Je nach Branche und entsprechender Sensitivität der Daten riskieren schweizerische Unternehmungen, aufgrund der allenfalls fehlenden Gleichwertigkeit des Datenschutzniveaus auch nicht mehr als Geschäftspartner berücksichtigt zu werden.

In fast allen Punkten lehnte der Nationalrat Forderungen für mehr Datenschutz ab.

Besonders schützenswerte Daten und Profiling

So sollen gewisse Personendaten beispielsweise nicht mehr als „besonders schützenswert“ gelten. Ebenfalls erfolglos waren die Forderungen beim sogenannten Profiling. Dieser Begriff soll das bisherige Persönlichkeitsprofil ersetzen. Mit Profiling ist die Bewertung bestimmter Merkmale einer Person auf der Grundlage von automatisiert bearbeiteten Personendaten gemeint, um insbesondere die Arbeitsleistung, die wirtschaftlichen Verhältnisse, die Gesundheit oder den Aufenthaltsort oder die Mobilität einer Person zu analysieren oder vorherzusagen (Art. 4 lit. f E-DSG). Ein blosses Sammeln von Daten ist dabei noch kein Profiling, diese müssen automatisiert analysiert werden. Als Profiling kann eine automatisierte Kaufempfehlung eines Online-Shops basierend auf dem bisherigen Kaufverhalten, die automatisierte Prüfung der Kreditwürdigkeit einer Person anhand eines Scorewerts oder die automatisierte Überprüfung der Leistungsfähigkeit von Mitarbeitenden verstanden werden. Die von der Ratslinken geforderte ausdrückliche Einwilligung der Betroffenen für ein Profiling wurde klar abgelehnt.

Geplante Sanktionen

Dem Bundesrat gefolgt ist der Nationalrat bei der geplanten Verschärfung der strafrechtlichen Sanktionen. Dies bedeutet, dass bei Verstössen gegen das Datenschutzgesetz nur natürliche Personen, namentlich die Führungskräfte eines Unternehmens, juristisch belangt werden können. Unternehmen können nur in einigen klar definierten Fällen sanktioniert werden.

In Bezug auf die Höhe der Bussen hat die grosse Kammer beschlossen, den vom Bundesrat vorgeschlagenen Höchstbetrag von 250’000 Franken beizubehalten, da sie diesen für verhältnismässig und ausreichend abschreckend hält. Zum Vergleich: im EU-Recht sind Bussen von 10 bzw. 20 Millionen Euro für natürliche Personen bzw. von 2 % bzw. 4 % des Jahresumsatzes bei Unternehmungen vorgesehen.

Nächste Schritte

Für die Ratslinke geht der nun verabschiedete Entwurf noch viel zu wenig weit. Sie fordern mindestens die Erhaltung des heutigen Standards sowie die Erfüllung der Europaratskonvention zum Datenschutz. Der Ständerat müsse „zwingend notwendige Korrekturen anbringen“, so im Bereich des Auskunftsrechts, bei der automatisierten Datenerhebung oder dem Recht auf die Herausgabe eigener Daten. Als nächstes befasst sich nun die zuständige ständerätliche Kommission mit dem Gesetzesprojekt, bei dem am Ende über neunzig Bundesgesetze geändert werden. Die am 20. Oktober erfolgten Neuwahlen von National- und Ständerat können die Mehrheiten wieder verändern, weshalb sich der weitere Verlauf der Gesetzesrevision aktuell noch nicht voraussagen lässt.

Wie den aktuellsten Medienberichten entnommen werden kann, hat sich die nun zuständige staatspolitische Kommission des Ständerates im November bereits mit dem Gesetzesentwurf befasst, und der Ständerat wird nun in der Wintersession, konkret am 18. Dezember 2019, das revidierte Datenschutzgesetz beraten. Dies vor dem Hintergrund, dass die Anerkennung der Gleichwertigkeit durch die EU im Frühjahr 2020 verloren gehen könnte.