Das Datenschutzrecht befindet sich im Umbruch: Die EU hat den Datenschutz mit der Datenschutz-Grundverordnung und der Schengen-Richtlinie auf eine neue Grundlage gestellt, und die Europaratskonvention 108 – der Minimalstandard des internationalen Datenschutzrechts – wird ebenfalls revidiert.
Zur Umsetzung des internationalen Rechts unterzieht die Schweiz ihr Datenschutzgesetz (DSG) einer Totalrevision. Dafür wurde eine Vernehmlassung zum Vorentwurf eines neuen DSG durchgeführt. Wie fast alle Unternehmen sind auch Mitglieder von swissICT als Abnehmer oder Anbieter von ICT-Dienstleistungen vom neuen Recht direkt betroffen. swissICT hat sich deshalb an der Vernehmlassung beteiligt.
Der Vorentwurf bewegt sich im Spannungsfeld zwischen der Umsetzung der internationalrechtlichen Vorgaben und einem eigenständigen, prinzipienbasierten Datenschutz mit Augenmass. Diese Gratwanderung ist nach Auffassung von swissICT insofern geglückt, als der Vorentwurf eine prinzipienbasierte und technologieneutrale Regelung anstrebt, wie sie auch das heutige Datenschutzgesetz vorsieht. Dennoch enthält der Vorentwurf auch Regelungen, die über den europarechtlichen Rahmen hinausgehen, die vielfach unklar sind und die zu sehr den manchmal etwas bürokratischen Geist des europäischen Rechts atmen. Das betrifft insbesondere folgende Punkte, bei denen swissICT Verbesserungen und Klarstellungen angeregt hat:
Transparenz: Der Vorentwurf sieht die Pflicht vor, bei jeder Datenbeschaffung über eine Reihe von Punkten aktiv zu informieren. So berechtigt das Anliegen der Transparenz im Grundsatz ist: Eine so weitgehende Informationspflicht ist nach Auffassung von swissICT nicht nur schwierig umzusetzen, sondern angesichts der Flut von Informationen, denen wir heute schon ausgesetzt sind, auch kontraproduktiv.
Auftragsbearbeitung: Die Auslagerung der Datenbearbeitung bleibt selbstverständlich zulässig, wird aber nicht nur durch Unschärfen der vorgeschlagenen Regelung erschwert, sondern vor allem auch dadurch, dass die Verteilung der Rechte und Pflichten zwischen Auftraggeber und Auftragsbearbeiter nicht konsistent ist. Nicht sinnvoll ist auch das Verbot der Unterbeauftragung ohne schriftliche Genehmigung des Auftraggebers.
Profiling und automatisierte Einzelfallentscheidungen: Trotz der angestrebten Technologieneutralität des DSG zeigt sich im Vorentwurf Skepsis gegenüber automatisierten Datenbearbeitungen. So sind die vorgeschlagenen Regelungen für das Profiling, das an die Stelle des heutigen "Persönlichkeitsprofils" tritt, und für Entscheidungen, die automatisiert erfolgen und erhebliche praktische oder rechtliche Auswirkungen haben, zu restriktiv. Besonders die Regelung der automatisierten Einzelfallentscheidungen hat das Potential, digitalisierte Geschäftsprozesse zu erschweren: Betroffene Personen wären über solche Entscheidungen nicht nur aktiv zu informieren; sie hätten sogar ein eigenes Anhörungsrecht, dessen Folgen allerdings unklar wären.
Breach Notification: Bei Verletzungen des Datenschutzes ist eine Meldepflicht gegenüber dem EDÖB vorgesehen, sofern ein Risiko für betroffene Personen nicht ausgeschlossen werden kann. Unter Umständen sind auch die betroffenen Personen selbst zu informieren. Die Meldepflicht gegenüber dem EDÖB geht wiederum zu weit (so weit, dass sich Unternehmen bei Datenschutzverletzungen selbst belasten müssten), und die Modalitäten der Meldepflichten bleiben unklar.
Sanktionen: Besonders umstritten ist das vorgeschlagene Sanktionsregime: Nicht fehlbare Unternehmen sollen sanktioniert werden, sondern einzelne Personen, und zwar mit empfindlichen Bussen bis zu 500 000 Franken. Das ist nach Auffassung von swissICT abzulehnen. Die Durchsetzung des DSG darf nicht an die Strafbehörden ausgelagert werden; und in die Pflicht zu nehmen sind die für die Compliance zuständigen Unternehmen, nicht einzelne Personen. swissICT setzt sich deshalb ein für massvolle Verwaltungssanktionen, die der EDÖB zulasten von Unternehmen aussprechen kann. Dies muss allerdings auf die Verletzung ausreichend klar umschriebener Bestimmungen beschränkt bleiben.
Die Stellungnahme im Wortlaut ist zu finden auf
www.swissict.ch/DSG17.