Revision des Bundesgesetzes über den Datenschutz: Transparenz und Kontrolle im Fokus

Das Bundesgesetz über den Datenschutz (DSG, SR 235.1) wurde am 19. Juni 1992 vom Parlament verabschiedet. Ziel war es, das gestiegene Risiko von Persönlichkeitsverletzungen einzudämmen, das sich aus der Nutzung moderner Informations- und Kommunikationstechnologien und einer massiv gewachsenen Datenbearbeitung ergab. Damals sah die Lage beim Datenschutz jedoch ganz anders aus als heute. Internet für alle war noch Zukunftsmusik, ebenso die Verfügbarkeit von IT-Geräten für die gesamte Bevölkerung. Heute sind Computer, Mobiltelefone und Tablets mit Internetzugang eine Selbstverständlichkeit. Das Internet der Dinge, Geolokalisierung, Big Data, soziale Netzwerke und Cloud-Computing sind Realität geworden.

Anpassung der Gesetzgebung an den technischen Fortschritt und an das EU-Recht

Aufgrund dieser technologischen Entwicklung und der Tatsache, dass der Datenschutz einen Grossteil der Bevölkerung betrifft, entschied 2008 das Bundesamt für Justiz (BJ), das DSG auf der Grundlage von Artikel 170 der Bundesverfassung überprüfen zu lassen. Ziel war es, die Wirksamkeit des Gesetzes zu beurteilen.[1] Angesichts des sehr breiten Anwendungsbereichs des DSG und der beschränkten Ressourcen konzentrierte sich die Evaluation auf bestimmte Aspekte, namentlich die Bekanntheit und die Umsetzungsmechanismen. Ausreichend ist der Schutz demnach in Bereichen, in denen die Herausforderungen bereits bekannt waren, als der Gesetzestext in Kraft trat. Die seither erfolgten technologischen und gesellschaftlichen Entwicklungen bergen dagegen viele neue Gefahren für den Datenschutz, denen das Gesetz in gewissen Situationen nicht mehr genügend entgegenzusetzen hat.[2]

Aufgrund dieser Feststellung beauftragte der Bundesrat das Eidgenössische Justiz- und Polizeidepartement (EJPD), dem das BJ untersteht, in Erfahrung zu bringen, mit welchen gesetzgeberischen Massnahmen diese Lücken geschlossen werden könnten. Bei dieser Prüfung hatte das EJPD laufende Reformen in Europa zu berücksichtigen, da die EU derzeit einen Verordnungsvorschlag[3] sowie eine Richtlinie[4] erarbeitet und der Europarat die Datenschutzkonvention SEV 108[5] aktualisiert.

Der Inhalt dieser Texte ist für die Schweiz wichtig. Denn der Vorschlag für die Richtlinie gilt als Weiterentwicklung des Schengen-Abkommens, weshalb die Schweiz diese Bestimmungen für Datenbearbeitungen übernehmen muss, die im Zusammenhang mit der polizeilichen und justiziellen Zusammenarbeit aufgrund der Abkommen stehen. Auch den Verordnungsvorschlag könnte die EU als Weiterentwicklung des Dublin-Abkommens einstufen, womit die Bestimmungen für die Schweiz bindend wären. Abgesehen von diesen Überlegungen ist es im eigenen Interesse der Schweiz, sich an der europäischen Gesetzgebung zu orientieren, da die schweizerischen Gesetze nur dann als gleichwertig anerkannt werden dürften.[6] Diese Reformen sollten bis 2016 abgeschlossen sein.

Die Revision ist auf Kurs

Im Frühling 2015 beauftragte der Bundesrat das EJPD im Anschluss an den Bericht[7] der Begleitgruppe mit der Ausarbeitung einer Revisionsvorlage bis Ende August 2016. Die Vorlage soll namentlich die Grundlage dafür schaffen, dass die Schweiz die neue Datenschutzkonvention SEV 108 des Europarats ratifizieren und die neue Richtlinie und die neue Verordnung der EU im nationalen Recht umsetzen kann, soweit es sich um eine Weiterentwicklung von Schengen/Dublin handelt. Die Revision muss ausserdem die Umsetzung der Empfehlung erleichtern, die von den europäischen Experten im Rahmen der Schengen-Evaluation 2014 herausgegeben wurde. Die Vorlage könnte Massnahmen mit folgenden Stossrichtungen vorsehen:

1. Förderung Guter Praktiken und der Selbstregulierung. Hier ginge es insbesondere darum, eine Stelle (z. B. einen Expertenausschuss) damit zu beauftragen, Gute Praktiken zu formulieren oder zu genehmigen. Diese könnten auch von der Branche selber erarbeitet werden. Diese Richtlinien wären nicht verbindlich, könnten aber den Verantwortlichen bei der Datenbearbeitung als Referenz dienen. Unter anderem könnten sie dazu beitragen, auf die aktuellsten technologischen Entwicklungen abgestimmte Lösungen zu finden, ohne exzessiv zu regulieren. Die Verantwortlichen hätten für die Datenbearbeitung einen gewissen Spielraum bei der Wahl einer Lösung und könnten diese auf die Risiken sowie das Volumen und die Art der bearbeiteten Daten abstimmen.
2. Berücksichtigung des Datenschutzes bereits in der Konzeptphase und als Standard («privacy by design» und «privacy by default»). Hier ginge es beispielsweise darum, die Verantwortlichen der Datenbearbeitung zu verpflichten, eine Wirkungsanalyse durchzuführen, falls ein erhöhtes Risiko für Persönlichkeitsverletzungen besteht. Die Verantwortlichen müssten Massnahmen treffen, die den eingegangenen Risiken, dem Stand der Technik und den Kosten Rechnung tragen. Als Default-Einstellungen hätten sie grundsätzlich solche zu wählen, die aus Sicht des Datenschutzes am günstigsten sind. Eine weitere Massnahme würde darin bestehen, den Verantwortlichen der Datenbearbeitung die Möglichkeit zu geben, beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Edöb) abzuklären, ob die beabsichtigte Bearbeitung unbedenklich ist. So könnten sie allfällige Sanktionen vermeiden.
3. Mehr Transparenz bei Datenbearbeitungen. Nutzer neuer Technologien müssen diese anwenden und trotzdem frei entscheiden können, welche Angaben sie offenlegen wollen. Dazu braucht es beim Sammeln und bei der Bearbeitung von Daten mehr Transparenz. Im aktuellen Gesetz existiert eine Informationspflicht im Privatsektor nur dann, wenn schützenswerte Daten und Persönlichkeitsprofile gesammelt werden. Es ginge hier darum, diese Pflicht auf alle Datenkategorien auszudehnen, wie dies bereits für Bundesstellen der Fall ist. Die betroffenen Personen müssten ausserdem informiert werden, wenn aufgrund einer rein automatisierten Bearbeitung von Daten eine Entscheidung gefällt wird, die sie betrifft, und dazu Stellung nehmen können. Die Revisionsvorlage müsste ausserdem eine Meldepflicht für Datenschutzverletzungen gegenüber dem Edöb einführen und vorsehen, dass mehr Angaben offenzulegen sind, wenn eine betroffene Person ihr Auskunftsrecht in Anspruch nimmt.
4. Sicherstellen einer besseren Kontrolle und Herrschaft über offengelegte Daten. Das Recht auf Vergessen, das bereits implizit aus den Artikeln 15 und 25 DSG abgeleitet werden kann, würde expliziter in Form eines ausdrücklichen «Rechts auf Löschung» verankert. Vorgesehen ist auch ein Mechanismus zur Streitbeilegung, der es den betroffenen Personen erlauben würde, ihre Rechte geltend zu machen, ohne dafür zwingend ein riskantes und kostspieliges Verfahren auf sich nehmen zu müssen.
5. Stärkung der Befugnisse des Edöb. Denkbar ist, dem Datenschutzbeauftragten eine Verfügungskompetenz einzuräumen, wie dies die Reformen auf europäischer Ebene vorsehen und wie es der Schweiz im Rahmen der Schengen-Evaluation von 2014 empfohlen wurde. Bisher kann der Edöb lediglich Empfehlungen abgeben. Ausserdem hat er die Möglichkeit, nicht befolgte Empfehlungen im Rahmen eines Gerichtsverfahrens durchzusetzen. Dies sind im Vergleich zu den Befugnissen der Kontrollbehörden anderer europäischer Länder oder anderer Aufsichtsorgane des Bundes, die häufig mit einer Verfügungskompetenz ausgestattet sind, relativ schwache Instrumente. Der Edöb könnte demnach neu eine Verfügung erlassen, welche die Datenbearbeitung verbietet oder aussetzt oder der verantwortlichen Person vorschreibt, bestimmte Massnahmen zu treffen. In gewissen Fällen wäre er auch dazu befugt, Sanktionen zu verhängen. Seine Verfügungen könnten mittels Beschwerde angefochten werden.

Die Gesetzgebungsarbeiten laufen derzeit. Der oben aufgeführte Massnahmenkatalog ist keineswegs vollständig oder definitiv. Dem EJPD steht es insbesondere frei, aufgrund der Entscheidungen der EU andere Möglichkeiten zu prüfen oder auf gewisse der genannten Punkte zu verzichten. Abschliessend ist darauf hinzuweisen, dass der Datenschutz auch in der Politik seit mehreren Jahren ein Thema ist, was sich darin widerspiegelt, dass auf Bundesebene zahlreiche parlamentarische Vorstösse zu dieser Frage eingereicht wurden (parlamentarische Initiativen, Motionen, Postulate).

1. Gewisse Bestimmungen, beispielsweise jene vom 1. Januar 2008 (AS 2007 4983) und vom 1. Dezember 2010 (AS 2010 3387), wurden ausdrücklich von der Evaluation ausgenommen, da der zeitliche Abstand für eine Beurteilung ihrer Wirkung noch zu kurz ist. []
2. Evaluation des Bundesgesetzes über den Datenschutz – Schlussbericht, 10. März 2011, S. 172 und 213 ff.; online abrufbar auf der Website des BJ www.ofj.admin.ch; Bericht des Bundesrates vom 9. Dezember 2011 über die Evaluation des Bundesgesetzes über den Datenschutz BBl 2012 335. []
3. Vorschlag für eine Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Diese Verordnung soll die aktuelle Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31–50) ersetzen. []
4. Vorschlag für eine Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung. Diese Richtlinie soll die aktuelle Richtlinie ersetzen: Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden (ABl. L 350/60, S. 60–71). []
5. Übereinkommen vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (SR 0.235.1). []
6. In Bereichen, die nicht unter die Schengen/Dublin-Abkommen fallen, gilt die Schweiz als Drittstaat. Der Datenaustausch mit der EU ist in diesem Fall grundsätzlich an die Bedingung geknüpft, dass die EU das Datenschutzrecht der Schweiz als gleichwertig anerkennt. []
7. Normkonzept zur Revision des Datenschutzgesetzes – Bericht der Begleitgruppe Revision DSG vom 29. Oktober 2014. []