Suche

Abo

Daten schützen und den Zugang zum europäischen Markt erhalten

Das Bundesgesetz über den Datenschutz stammt aus dem Jahr 1992. Um es dem digitalen Zeitalter und dem EU-Recht anzupassen, bedarf es einer Revision.
Der Europarat verabschiedete das Übereinkommen 108 zum Datenschutz, um Rechtssicherheit zwischen den Mitgliedern zu gewährleisten. (Bild: Keystone)

Das Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992 gehört zur Datenschutzgesetzgebung der ersten Generation. Es ist zu einer Zeit entstanden, als das Internet gerade erst aufkam und die heutigen Technologien und Kommunikationsmittel noch nicht so verbreitet waren. Auch wenn das DSG aufgrund seines technologieneutralen Ansatzes keinesfalls überholt ist, drängt sich eine Revision auf. Einerseits um den neuen Herausforderungen der digitalen Gesellschaft Rechnung zu tragen und andererseits um die Grundrechte und Freiheiten der Personen besser zu schützen, deren Daten bearbeitet werden.

Eine Revision ist auch infolge der europäischen Gesetzesreform unumgänglich. Insbesondere weil der Europarat das sogenannte Übereinkommen 108 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten modernisierte. Aus diesen Gründen gibt der Bundesrat demnächst einen Entwurf zur Totalrevision des DSG in die Vernehmlassung.

Schweizer Recht an die europäische Gesetzgebung angleichen


Das Ziel der Revision ist eine Stärkung des Datenschutzrechts, damit die betroffenen Personen wieder mehr Kontrolle über ihre Daten erlangen. Das neue Gesetz muss ihnen die Mittel geben, um ihre Rechte wirksam einfordern zu können – auch vor Gericht. Zudem muss es auch die Pflichten der Personen, die für die Datenbearbeitung verantwortlich sind, und derjenigen, welche den Auftrag bearbeiten, genauer festlegen. Auch die Kompetenzen und Befugnisse des Eidgenössischen Datenschutzbeauftragten (Edöb) müssen gestärkt werden, sodass er für die Ausübung seiner Aufgaben genügend Spielraum hat. Damit er diese aktuellen und zukünftigen Aufgaben überzeugend und wirksam wahrnehmen kann, müssen dem Eidgenössischen Datenschutzbeauftragten die nötigen Mittel und Ressourcen zur Verfügung gestellt werden.

Mit der Revision des DSG kann die Schweiz zu gegebener Zeit das revidierte Übereinkommen 108 ratifizieren. Dieses ist für die künftige Beurteilung des Schweizer Datenschutzniveaus durch die EU von grundlegender Bedeutung. Gleichzeitig soll auch die Richtlinie des Europäischen Parlaments und des Rates vom 27. April 2016 umgesetzt werden, die den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr anstrebt (2016/680).

Diese Richtlinie ist Teil des Schengen-Besitzstands. Der Eidgenössische Datenschutzbeauftragte ist der Ansicht, dass sich die Schweizer Gesetzgebung zudem stark an der EU-Verordnung vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr orientieren sollte, auch wenn diese nicht Bestandteil des Schengen-Besitzstands ist (2016/679).

Wir sind der Meinung, dass die Terminologie des Übereinkommens 108 sowie der Verordnung und Richtlinie der EU im Schweizer Recht übernommen werden sollte, um die Rechtssicherheit zu erhöhen. Das ist nicht nur für die Personen von Vorteil, deren Daten bearbeitet werden, sondern auch für die Unternehmen und den Wirtschaftsstandort Schweiz.

Mehr Transparenz und umfangreichere Rechte


Die Digitalisierung schreitet voran. In diesem Umfeld soll das Datenschutzgesetz den betroffenen Personen eine bessere Kontrolle über ihre Daten ermöglichen. Deshalb erwarten wir, dass die Revision bei der Datenbearbeitung mehr Transparenz schafft. Insbesondere, dass der Gesetzgeber die Informationspflicht des Dateninhabers gegenüber den betroffenen Personen verschärft und den Umfang und die Modalitäten präzisiert. Ein Auskunftsrecht und ein Recht auf Berichtigung oder Löschung von Daten bestehen bereits heute. Neu sollte das Gesetz auch die folgenden Rechte beinhalten:

  • das Recht auf Widerspruch gegen eine Datenbearbeitung oder deren Einschränkung;
  • das Recht auf Anhörung, bevor ein automatisierter Einzelentscheid gefällt wird;
  • das Recht, über den Hintergrund einer Datenbearbeitung informiert zu werden;
  • das Recht auf Datenübertragbarkeit (Datenportabilität) und das Recht auf Auslistung.


Viele Personen, die sich in ihren Persönlichkeitsrechten verletzt fühlen, scheuen sich heute davor, vor Gericht zu gehen. Denn die Verfahren sind kompliziert und deshalb teuer. Die Gesetzesrevision sollte diesbezüglich Verbesserungen bringen. Wir halten zumindest die Umkehr der Beweislast für notwendig. Sie soll neu beim Datenbearbeitenden liegen. Ausserdem plädieren wir auch dafür, eine Kausalhaftung für die Datenbearbeitung einzuführen. Falls das neue Gesetz keine Sammelklagen vorsieht, sollten die Kompetenzen des Eidgenössischen Datenschutzbeauftragten mit einer Verfügungsbefugnis erweitert werden. Schliesslich sollte das Regelwerk die Möglichkeit vorsehen, abschreckende Sanktionen zu verhängen.

Verschärfte Informationspflichten


Die Pflichten der Personen, die für die Datenbearbeitung verantwortlich sind, und die Pflichten derjenigen, welche den Auftrag bearbeiten, sollten ergänzt und präzisiert werden. Neben der Pflicht zur transparenten Information sollten eine Meldepflicht für Datenschutzverletzungen sowie eine Pflicht zur Risikoabschätzung eingeführt werden. Ebenfalls sollten die Ernennung eines Datenschutzberaters sowie die Verwendung datenschutzfreundlicher Technologien Pflicht werden (insbesondere «privacy by design» und «privacy by default»). Diese Anforderungen sollten jedoch die tatsächlich bestehenden Risiken und die Unternehmensgrösse berücksichtigen. Bei gewissen Tätigkeiten sollten strengere Bedingungen, wie beispielsweise die Pflicht zur Zertifizierung, gelten. Dazu gehören das Bearbeiten von besonders schützenswerten Personendaten, das Erstellen von Persönlichkeitsprofilen durch Big-Data-Verfahren oder Anwendungen, welche zu einer systematischen Überwachung von Personen führen.

Schliesslich wäre die Ausarbeitung von Verhaltensregeln ein nützliches Instrument, um die gesetzlichen Anforderungen für bestimmte Sektoren, Bearbeitungsarten und -technologien zu präzisieren. Bei den Vorschriften zum grenzüberschreitenden Datenverkehr sollte man am Prinzip des angemessenen Datenschutzniveaus festhalten. Ist ein solches Niveau nicht gegeben, sollen spezifische Garantien wie Vertragsklauseln einen ausreichenden Schutz gewährleisten. Verbindliche, unternehmensinterne Datenschutzvorschriften haben sich in Europa bewährt und sollten deshalb auch in unsere Gesetzgebung Eingang finden. Wir befürworten zudem, dass der Bundesrat Angemessenheitsfeststellungen erlassen kann.

Notwendige Modernisierung


Die Modernisierung unserer Gesetzgebung hat ihren Preis. Dieser ist jedoch tragbar und gerechtfertigt, wenn wir das Vertrauen in die digitale Welt stärken und die Grundrechte und Freiheiten unserer demokratischen Gesellschaft erhalten wollen. Durch die Übernahme des europäischen Rechtsrahmens und das revidierte Übereinkommen 108 wird sich die Schweiz in Sachen Datenbearbeitung und -speicherung als stark engagierter Staat positionieren können. Das neue Datenschutzgesetz wird die Voraussetzungen für eine moderne Gesellschaft schaffen, die offen für technologischen Fortschritt und Innovation ist und die ihren Bürgern gleichzeitig die Wahrung ihrer Rechte garantiert. Es wird zudem sicherstellen, dass Schweizer Unternehmen auf dem europäischen Markt wettbewerbsfähig bleiben, indem es unnötige Hemmnisse für die Bearbeitung und den Austausch von Daten verhindert.

Zitiervorschlag: Jean-Philippe Walter (2016). Daten schützen und den Zugang zum europäischen Markt erhalten. Die Volkswirtschaft, 24. Oktober.