Das neue Datenschutzgesetz: Die Kosten steigen

Gesetzesrevisionen können den Rechtsunterworfenen das Leben erleichtern oder erschweren. In der Praxis nimmt die Last der Regulierung und damit verbunden der Aufwand jedoch eher zu als ab. So verhält es sich auch mit dem Datenschutzgesetz (DSG), das erstmals seit 1993 einer Revision unterzogen wurde. Seit Anfang Jahr sind die Neuerungen in Kraft. Und gewiss: Das eine oder andere ist für die Wirtschaft etwas klarer geworden, etwa beim konzerninternen Datenexport. Insgesamt wird das revidierte DSG der Wirtschaft aber einen spürbaren Mehraufwand bescheren, vorausgesetzt, sie hält sich daran. Profitieren werden hingegen die betroffenen Personen – und die Berater in Sachen Datenschutz.



So wurde die Registrierpflicht für Datensammlungen stark ausgeweitet. Etliche Betriebe werden dem Eidg. Datenschutz- und Öffentlichkeitsbeauftragten zum Beispiel neuerdings Meldung darüber erstatten müssen, dass sie über die eigenen Arbeitnehmer auch «besonders schützenswerte Personendaten» oder «Persönlichkeitsprofile» wie etwa «Qualis», Lebensläufe oder Angaben über krankheitsbedingte Absenzen aufbewahren. Dies wird daraufhin in einem Register im Internet veröffentlicht. Dass die betroffenen Arbeitnehmer über diese Datensammlung bereits informiert sind (wie es das DSG ebenfalls neu vorschreibt), ändert nichts an dieser Pflicht. Verletzen die Organe des betreffenden Betriebs sie vorsätzlich, drohen Bussen bis 10’000 Franken.

Ein ungläubiges Kopfschütteln ist erlaubt. Wem danach zumute ist, sollte allerdings wissen, dass der hiesige Gesetzgeber manche dieser Erschwernisse zwar nicht durchdacht hat, sie aber dennoch bewusst schaffen wollte, um der Wirtschaft die Bearbeitung bestimmter Datenkategorien zu vergällen und so den Schutz der betroffenen Personen indirekt zu steigern. Auch ist das DSG im Vergleich zu gewissen ausländischen Datenschutzgesetzen noch vergleichsweise harmlos. Manche EU-Staaten sind in Sachen Datenschutz sehr viel formalistischer, strenger und weniger flexibel. So gesehen ist allzu lautes Klagen über das DSG fehl am Platz.



Das DSG darf sich in einer Hinsicht sogar als sehr fortschrittlich rühmen: Es bietet erstmals eine gesetzliche Grundlage für die Anerkennung von privaten Datenschutz-Labels. Akkreditierte Zertifizierungsstellen können sie gestützt auf bestimmte Kriterien sowohl für Produkte vergeben, mit welchen Personendaten bearbeitet werden, als auch für Betriebe, die für die Bearbeitung solcher Daten verantwortlich sind.



Bei näherer Betrachtung vermag allerdings auch diese Neuerung nicht wirklich zu überzeugen. So kann eine Datenschutz-Zertifizierung nach DSG zwar ein nettes Marketinginstrument sein, im Detail betrachtet ist die Aussagekraft aber beschränkt. Ob ein «zertifizierter» Betrieb die gesetzlichen Anforderungen des Datenschutzes tatsächlich erfüllt, besagt eine Zertifizierung zum Beispiel nicht. Auch für die Produkte-Evaluation wird eine Zertifizierung nach DSG von nur beschränktem Wert sein.



So stellt die gesetzliche Anerkennung von Datenschutz-Labels vor allem für die Beratungs- und Zertifizierungsindustrie einen Gewinn dar. Ob sich auf diese Weise auch das Datenschutzniveau wie erhofft verbessern lässt, darf hingegen bezweifelt werden. Es ist aber bezeichnend, dass der einzige rechtliche Anreiz für eine Zertifizierung die Enthebung von der eingangs zitierten Pflicht zur Transparenz durch die öffentliche Registrierung von heiklen Datensammlungen ist, wo doch Transparenz eines der zentralen Anliegen des Datenschutzes ist. Es ist dies nicht der einzige Widerspruch im revidierten DSG.