Das Datenschutzrecht befindet sich im Umbruch: Die EU hat den Datenschutz mit der Datenschutz-Grundverordnung und der Schengen-Richtlinie auf eine neue Grundlage gestellt, und die Europaratskonvention 108 – der Minimalstandard des internationalen Datenschutzrechts – wird ebenfalls revidiert.
Zur Umsetzung des internationalen Rechts unterzieht die Schweiz ihr Datenschutzgesetz (DSG) einer Totalrevision. Dafür wurde eine Vernehmlassung zum Vorentwurf eines neuen DSG durchgeführt. Wie fast alle Unternehmen sind auch Mitglieder von swissICT als Abnehmer oder Anbieter von ICT-Dienstleistungen vom neuen Recht direkt betroffen. swissICT hat sich deshalb an der Vernehmlassung beteiligt.
Der Vorentwurf bewegt sich im Spannungsfeld zwischen der Umsetzung der internationalrechtlichen Vorgaben und einem eigenständigen, prinzipienbasierten Datenschutz mit Augenmass. Diese Gratwanderung ist nach Auffassung von swissICT insofern geglückt, als der Vorentwurf eine prinzipienbasierte und technologieneutrale Regelung anstrebt, wie sie auch das heutige Datenschutzgesetz vorsieht. Dennoch enthält der Vorentwurf auch Regelungen, die über den europarechtlichen Rahmen hinausgehen, die vielfach unklar sind und die zu sehr den manchmal etwas bürokratischen Geist des europäischen Rechts atmen. Das betrifft insbesondere folgende Punkte, bei denen swissICT Verbesserungen und Klarstellungen angeregt hat:
Transparenz: Der Vorentwurf sieht die Pflicht vor, bei jeder Datenbeschaffung über eine Reihe von Punkten aktiv zu informieren. So berechtigt das Anliegen der Transparenz im Grundsatz ist: Eine so weitgehende Informationspflicht ist nach Auffassung von swissICT nicht nur schwierig umzusetzen, sondern angesichts der Flut von Informationen, denen wir heute schon ausgesetzt sind, auch kontraproduktiv.
Auftragsbearbeitung: Die Auslagerung der Datenbearbeitung bleibt selbstverständlich zulässig, wird aber nicht nur durch Unschärfen der vorgeschlagenen Regelung erschwert, sondern vor allem auch dadurch, dass die Verteilung der Rechte und Pflichten zwischen Auftraggeber und Auftragsbearbeiter nicht konsistent ist. Nicht sinnvoll ist auch das Verbot der Unterbeauftragung ohne schriftliche Genehmigung des Auftraggebers.
Profiling und automatisierte Einzelfallentscheidungen: Trotz der angestrebten Technologieneutralität des DSG zeigt sich im Vorentwurf Skepsis gegenüber automatisierten Datenbearbeitungen. So sind die vorgeschlagenen Regelungen für das Profiling, das an die Stelle des heutigen "Persönlichkeitsprofils" tritt, und für Entscheidungen, die automatisiert erfolgen und erhebliche praktische oder rechtliche Auswirkungen haben, zu restriktiv. Besonders die Regelung der automatisierten Einzelfallentscheidungen hat das Potential, digitalisierte Geschäftsprozesse zu erschweren: Betroffene Personen wären über solche Entscheidungen nicht nur aktiv zu informieren; sie hätten sogar ein eigenes Anhörungsrecht, dessen Folgen allerdings unklar wären.
Empfehlungen der guten Praxis: Im Einklang mit dem Anliegen der Technologieneutralität sieht der Vorentwurf vor, dass Datenschutzvorschriften durch Empfehlungen der guten Praxis konkretisiert werden können. swissICT begrüsst diesen Ansatz ausdrücklich. Solche Empfehlungen können von Branchenverbänden oder auch vom EDÖB ausgearbeitet werden. In letzterem Fall ist der Einbezug der Wirtschaft zentral.
Privacy by design und by default: Der Vorentwurf verlangt bei der Datenbearbeitung Massnahmen des Datenschutzes durch Technik ("privacy by design") und datenschutzfreundliche Voreinstellungen ("privacy by default"). Die Vorgaben sind hier allerdings sehr unklar und eigentlich bereits in allgemeinen Grundsätzen enthalten.
Datenschutz-Folgenabschätzung: Der Vorentwurf verlangt die Durchführung einer Datenschutz-Folgenabschätzung, wenn ein erhöhtes datenschutzrechtliches Risiko besteht, und das Ergebnis ist dem EDÖB zu melden. Auch hier macht sich swissICT für Präzisierungen der vorgeschlagenen Regelung und für eine Einschränkung der Meldepflicht gegenüber dem EDÖB stark.
Breach Notification: Bei Verletzungen des Datenschutzes ist eine Meldepflicht gegenüber dem EDÖB vorgesehen, sofern ein Risiko für betroffene Personen nicht ausgeschlossen werden kann. Unter Umständen sind auch die betroffenen Personen selbst zu informieren. Die Meldepflicht gegenüber dem EDÖB geht wiederum zu weit (so weit, dass sich Unternehmen bei Datenschutzverletzungen selbst belasten müssten), und die Modalitäten der Meldepflichten bleiben unklar.
Sanktionen: Besonders umstritten ist das vorgeschlagene Sanktionsregime: Nicht fehlbare Unternehmen sollen sanktioniert werden, sondern einzelne Personen, und zwar mit empfindlichen Bussen bis zu 500 000 Franken. Das ist nach Auffassung von swissICT abzulehnen. Die Durchsetzung des DSG darf nicht an die Strafbehörden ausgelagert werden; und in die Pflicht zu nehmen sind die für die Compliance zuständigen Unternehmen, nicht einzelne Personen. swissICT setzt sich deshalb ein für massvolle Verwaltungssanktionen, die der EDÖB zulasten von Unternehmen aussprechen kann. Dies muss allerdings auf die Verletzung ausreichend klar umschriebener Bestimmungen beschränkt bleiben.
Die Stellungnahme im Wortlaut ist zu finden auf
www.swissict.ch/DSG17.