Datenschutzgesetz
Datenschutzgesetz endlich in den eidgenössischen Räten
26. September 2019 agvs-upsa.ch – 260 Seiten knochentrockener Gesetzestext inkl. unzähliger Anträge: Das totalrevidierte Schweizer Datenschutzgesetz wird im Nationalrat verhandelt, später auch im Ständerat. Der AGVS setzt sich für ein Gesetz ein, das verträglich ist für die Wirtschaft und umsetzbar für das Gewerbe. AGVS-Juristin Olivia Solari nimmt Stellung.
sco. Frau Solari, der Entwurf zur Totalrevision des Datenschutzgesetzes liegt endlich vor. Ist der AGVS zufrieden damit?
Olivia Solari: Der AGVS hat bereits in der Stellungnahme zum Vorentwurf deutlich zum Ausdruck gebracht, dass eine über das Ziel hinausschiessende Regulierung nicht angezeigt ist. Die vom Bundesrat verabschiedete Botschaft enthielt unter anderem Informations- und Handlungspflichten für unsere Mitglieder, die für ein Unternehmen aus der Sicht des AGVS zu viel Bürokratie mit sich bringen. Nun sind gewisse Ausnahmeregelungen in die Vorlage eingeflossen. Allerdings ist nicht absehbar, ob und wie das Parlament diese Ausnahmen genehmigen wird.
Nach dem Nationalrat berät der Ständerat die Vorlage. Können Sie abschätzen, bis wann wir ein neues DSG haben werden?
Das Geschäft ist hochkomplex und sehr umstritten. Die Staatspolitische Kommission des Nationalrats (SPK-N) hat die Vorlage nach einer Patt-Situation nur mit Stichentscheid des Präsidenten angenommen. Die Kommission hat sehr viele Änderungsvorschläge formuliert, was auch in den eidgenössischen Räten für Diskussionen sorgen wird. Wir rechnen nicht vor Mitte 2021 mit dem Inkrafttreten – also drei Jahre später, als ursprünglich erwartet.
Diese komplexe Vorlage betrifft auch die Schweizer Garagisten. Wie kann sich der einzelne Garagen-Unternehmer durch dieses juristische Unterholz schlagen?
Noch gilt das bestehende Datenschutzgesetz. Also besteht kein dringender Handlungsbedarf. Trotzdem: Das Gesetz wird kommen und je früher wir uns damit beschäftigen, desto besser. Mein Rat an unsere Mitglieder: Studieren Sie die fünf Seiten unserer Analyse; bei Fragen steht der Rechtsdienst des AGVS gerne zur Verfügung. Zusätzlich empfehle ich unseren Mitgliedern, sich bei internen Abläufen bereits jetzt zu hinterfragen, ob wohl alle Einwilligungen usw. vorhanden sind.
In der Vorlage ist von einem branchenspezifischen Verhaltenskodex die Rede, mit der geeignete Regeln für eine ganze Branche entworfen werden können. Das könnte die Sache für den einzelnen Gewerbebetrieb erheblich vereinfachen. Wird der AGVS für seine Mitglieder einen solchen Kodex erarbeiten?
Wir arbeiten in dieser Angelegenheit eng mit dem Schweizerischen Leasingverband (SLV) zusammen. Tatsächlich existiert ein solcher Entwurf, der nun überarbeitet wird. Wir werden unsere Mitglieder auf dem Laufenden halten.
Wieso brauchte es überhaupt eine Totalrevision dieses Datenschutzgesetzes?
In der EU überarbeitet der Europarat die auch von der Schweiz ratifizierte Konvention 108 (K108) zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten. Der Verzicht auf eine Ratifikation dieser Konvention hätte nach Meinung des Bundesrates für die Schweiz erhebliche negative Auswirkungen auf den grenzüberschreitenden Datenverkehr. Mit der Revision des Schweizerischen Datenschutzgesetzes nähert sich die Schweiz den EU-Regeln an. Dadurch soll sichergestellt werden, dass die Europäische Kommission den Datenschutz in der Schweiz als genügend anerkennt. Dies ist notwendig, damit Schweizer Unternehmen auch in Zukunft mit EU-Staaten einen freien Datenaustausch führen können.
Konkret: Was ändert sich mit dem neuen Gesetz? Worauf muss der Garagist in seiner täglichen Arbeit achten?
Ursprünglich sollte das totalrevidierte DSG 2018 in Kraft treten. Nach den langen Beratungen in den Kommissionen dürfte es wohl 2021 oder 2022 werden. Das bedeutet, dass sich unsere Mitglieder schon in naher Zukunft bei jeder Verwendung von Daten noch mehr überlegen müssen: «Darf ich diese Daten verwenden, weitergeben und weiss ich, was der Dritte dann mit den Daten macht?». Schon die heutige Fassung des DSG kennt einen umfassenden Schutz persönlicher Daten – was sich drastisch ändern wird, sind unter anderem die bei einer Widerhandlung drohenden Bussen.
Die Vorlage spricht von Maximalbussen von 250‘000 Franken bei Verstössen gegen das DSG. Muss sich der Garagist auf existenzbedrohende Rechtsstreitigkeiten gefasst machen?
Die Vorlage bleibt in der Tat beim stark kritisierten Sanktionensystem über den Weg des Strafrechts und bei Maximalbussen von 250'000 Franken. Zwei Minderheitsanträge wollen die Bussen sogar deutlich anheben, was der AGVS entschieden ablehnt. Die Botschaft zum vorliegenden Gesetzesentwurf hält fest, dass die in der Vernehmlassung geäusserte Sorge, wonach jeder Angestellte eines Unternehmens bestraft werden könne, unbegründet sei. Es handelt sich hier um verwaltungsrechtliche Pflichten, die mit dem Verwaltungsstrafrechts sichergestellt werden. Dessen Verletzungen werden natürlichen Leitungspersonen zugerechnet. Bussen von 250'000 Franken können für einen Garagisten in der Tat existenzbedrohend werden.
Am 15. und 16. August 2019 hat die Staatspolitische Kommission des Nationalrats (SPK-N) ihre lange dauernde Beratung des Datenschutzgesetzes abgeschlossen. Die Vorlage wurde mit 9 zu 9 Stimmen bei 7 Enthaltungen und Stichentscheid des Präsidenten angenommen, was an einer «Links-Rechts Allianz» liegen dürfte. Während erstere Gruppierung offenbar der Meinung ist, die Vorlage gehe zu wenig weit, lehnt die andere die Vorlage, wie bereits seit Beginn der Beratungen, grundsätzlich ab.
Nun wird die Vorlage in der Herbstsession des Nationalrats beraten. Die SPK-N hat sehr viele Änderungsvorschläge (Mehr- und Minderheitsanträge) formuliert, weshalb die Gesetzesfahne nun über 260 Seiten umfasst, welche durchberaten werden müssen. Der AGVS wird gemeinsam mit den Wirtschaftsverbänden und seinem Projektpartner Schweizerischer Leasingverband SLV dafür kämpfen, dass das Gesetz tatsächlich beraten wird und an der Schlussabstimmung nicht durchfällt. Denn die Ungewissheit, wie die Prozesse in den Unternehmen in Zukunft datenschutzrechtlich korrekt ausgestaltet werden müssen, lähmt sehr viele Projekte und Unternehmen.
Der Nationalrat ist der erstbehandelnde Rat, was bedeutet, dass anschliessend auch der Ständerat noch über die Vorlage beraten wird.
Entsprechend wird ein Inkrafttreten des totalrevidierten Datenschutzgesetzes in der Schweiz derzeit nicht vor Mitte, eher Ende 2021 erwartet.
Inhalte
Inhaltlich setzen wir uns weiterhin vor allem bei den zu Beginn des Gesetzgebungsprozesses definierten Schwerpunktthemen ein, welche wir an dieser Stelle noch einmal kurz für Sie darstellen. Selbstverständlich werden aber auch die übrigen Elemente der Gesetzgebung weiterhin beobachtet und begleitet.
1. Kein Datenschutz für Daten juristischer Personen
Der Entwurf für das neue Datenschutzgesetz verzichtet auf den Schutz von Daten juristischer Personen. Eine Minderheit der SPK-N will diesen Schutz nun jedoch wieder einbringen. Dieser Minderheitsantrag ist aus Sicht des AGVS abzulehnen, da der Schutz von Daten juristischer Personen bereits heute von geringer praktischer Bedeutung ist, aber oftmals die Bekanntgabe von Daten ins Ausland behindert. Zudem ist auch in der EU-DSGVO sowie im Übereinkommen des Europarats kein Schutz von Daten juristischer Personen vorgesehen. Ein Verzicht darauf führt damit nicht zu einem tieferen, nicht-äquivalenten Datenschutzniveau in der Schweiz.
2. Profiling
Der vorgeschlagene Begriff „Profiling“ meint die Bewertung bestimmter Merkmale einer Person auf der Grundlage von automatisiert bearbeiteten Personendaten, insbesondere um die Arbeitsleistung, die wirtschaftlichen Verhältnisse, die Gesundheit, das Verhalten, die Vorlieben, den Aufenthaltsort oder die Mobilität zu analysieren oder vorherzusagen. Damit soll gemäss Botschaft jede Auswertung von Personendaten mit Hilfe von computergestützten Analysetechniken erfasst sein.
Die von uns und vielen weiteren Vernehmlassungsteilnehmern geforderte Beschränkung auf elektronische bzw. automatisierte Aktivitäten wurde im Entwurf berücksichtigt und entspricht dem Mehrheitsantrag der SPK-N. Profiling ist Gegenstand verschiedener Bestimmungen des Gesetzes, wobei eine allzu strenge Behandlung aus Sicht des AGVS und des SLV ist nicht gerechtfertigt ist und bekämpft werden muss, weil Profiling für Konsumentinnen und Konsumenten auch positiven Nutzen haben kann (z.B. Überwachung des Zahlungsverkehrs auf Basis des typischen Kundenverhaltens zur Verhinderung von Betrug).
3. Möglichkeit eines branchenspezifischen Verhaltenskodex
Berufs- und Wirtschaftsverbänden soll es möglich sein, dem öffentlichen Datenschutzbeauftragten einen von ihnen erstellten Verhaltenskodex vorzulegen. Der Datenschutzbeauftragte nimmt zu einem solchen Kodex Stellung und veröffentlicht seine Stellungnahme. Dies stellt eine Neuerung im Vergleich zum Vorentwurf dar.
Für die Mitglieder des AGVS und des SLV bzw. für die beiden Verbände selbst, bietet die Möglichkeit der Erstellung eines solchen Kodex eine grosse Chance, um für die eigene Branche geeignete Regeln zu entwerfen. Wenngleich aus einer positiven Stellungnahme des Datenschutzbeauftragten keine Rechte abgeleitet werden können, so darf in der Regel davon ausgegangen werden, dass ein dem Verhaltenskodex entsprechendes Verhalten keine Verwaltungsmassnahmen nach sich ziehen wird. Dies ist jedenfalls die Meinung des Bundesrates in der Botschaft. Zudem bringt die Beachtung eines Verhaltenskodex auch in Zusammenhang mit der Datenschutz-Folgenabschätzung Erleichterungen (vgl. unten).
4. Freiwilliger Datenschutzberater
Der (interne) Datenschutzberater ist schon im bisherigen DSG vorgesehen. Es handelt sich dabei um eine vom Verantwortlichen ernannte Person, die primär für die Überwachung der Einhaltung der Datenschutzvorschriften und die Beratung des Verantwortlichen in Datenschutzbelangen zuständig sein dürfte. Der Entwurf sieht keine Pflicht zur Ernennung eines solchen Beraters vor, räumt aber den Verantwortlichen die Möglichkeit ein, durch Einsetzung und Konsultation eines Datenschutzberaters bei Datenschutz-Folgenabschätzungen auf die Konsultation des öffentlichen Datenschutzbeauftragten verzichten zu können.
Allerdings hat eine Minderheit der SPK-N die Ansicht vertreten, dass die beschriebenen Erleichterungen für Unternehmen, die einen Verantwortlichen ernennen, gestrichen werden sollen, was abzulehnen ist.
5. Informationspflichten
Der Entwurf sieht eine gegenüber dem geltenden Recht deutlich erweiterte Informationspflicht vor, welche grundsätzlich jede Datenbeschaffung erfasst. Das bedeutet, dass die betroffene Person grundsätzlich immer informiert werden muss, wenn Daten über sie beschafft werden. Dies soll ausdrücklich auch dann gelten, wenn die Daten nicht bei der betroffenen Person selbst beschafft werden. Die vorsätzliche Verletzung der Informationspflichten hat gemäss dem Entwurf strafrechtliche Sanktionen zur Folge (vgl. unten).
In der Botschaft wird zur Informationspflicht ausgeführt, eine allgemeine Information könne genügen, wenn die Personendaten bei der betroffenen Person selbst beschafft werden. Als Beispiele werden Datenschutzerklärungen auf einer Website sowie Symbole und Piktogramme, soweit sie die nötigen Informationen wiedergeben, genannt.
Der Entwurf sieht zudem gewisse Ausnahmebestimmungen vor, gemäss welchen der Verantwortliche auf die Information verzichten kann. In diesem Zusammenhang hat eine Mehrheit der SPK-N weitere Ausnahmen formuliert, welche jedoch mit Blick auf die Einhaltung der von der Schweiz ratifizierten Konvention 108+ nicht unproblematisch sind. Hier wird sich noch zeigen, in welche Richtung das Parlament geht.
6. Automatisierte Einzelentscheidung: weiterhin Informations- und Anhörungspflicht
6.1. Definition
Der Entwurf sieht im Falle automatisierter Einzelentscheidungen eine Informations- und Anhörungspflicht der betroffenen Person vor. Eine automatisierte Einzelentscheidung ist (i) die inhaltliche Beurteilung und Entscheidung eines Sachverhaltes ohne Dazutun einer natürlichen Person ([ii] inkl. Profiling), die für die betroffene Person mit einer (iii) Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt.
(i) Massgebend ist gemäss Botschaft, inwieweit eine natürliche Person eine inhaltliche Prüfung vornehmen und darauf aufbauend eine endgültige, allenfalls vom automatischen Ergebnis abweichende Entscheidung fällen kann. Eine automatisierte Einzelentscheidung kann somit selbst dann vorliegen, wenn die Entscheidung nach ihrer Fällung durch eine natürliche Person mitgeteilt wird, diese die automatisch gefällte Entscheidung aber nicht mehr beeinflussen kann. In der Botschaft wird vorgebracht, eine automatisierte Einzelentscheidung liege nur dann vor, wenn die Entscheidung eine gewisse Komplexität aufweise. Reine „Wenn-Dann-Entscheidungen“ seien vom Begriff nicht erfasst. Als Beispiel einer solchen „Wenn-Dann-Entscheidung“ wird der Bancomatbezug genannt, bei dem der Geldbetrag ausgegeben werde, wenn die Kontodeckung genügend sei. Nachdem jede automatisierte Entscheidung letztlich immer auf (oftmals mehreren) „Wenn-Dann-Entscheidungen“ beruht, ist der Anwendungsbereich dieser Regelung hinlänglich unklar. Allerdings wird gerade die Kreditfähigkeitsprüfung in der Botschaft als möglicher Anwendungsfall automatisierter Einzelentscheidungen angeführt.
(ii) Erfasst wird auch ein Profiling, wenn dieses zu einer Entscheidung führt, welche für die betroffene Person mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt. Als Beispiel nennt die Botschaft den Fall, in dem die betroffene Person ausschliesslich aufgrund eines negativen Kreditscorings keinen Kreditvertrag abschliessen kann. Eine Mehrheit der SPK-N will den Begriff „Profiling“ zwar streichen, das wird jedoch aus unserer Sicht an der Rechtslage nichts ändern, da es sich lediglich um eine beispielhafte Nennung handelt und alle automatisierten Bearbeitungen erfasst sind und bleiben.
(iii) Auch die Begriffe „Rechtsfolge“ und „erhebliche Beeinträchtigung“ bringen Rechtsunsicherheit mit sich. Die Entscheidung – so wiederum die Botschaft – sei mit einer Rechtfolge verbunden, wenn sie unmittelbare, rechtlich vorgesehene Konsequenzen für die betroffene Person nach sich ziehe. Dies sei im privatrechtlichen Bereich namentlich beim Abschluss eines Vertrages oder dessen Kündigung, nicht jedoch bei einem Verzicht auf einen Vertragsabschluss der Fall. Eine erhebliche Beeinträchtigung der betroffenen Person ist demgegenüber anzunehmen, wenn diese auf nachhaltige Weise z.B. in ihren wirtschaftlichen oder persönlichen Belangen eingeschränkt ist. Massgebend sollen die konkreten Umstände des Einzelfalls sein. Je nach den konkreten Auswirkungen kann ein nicht abgeschlossener Vertrag daher eine erhebliche Beeinträchtigung der betroffenen Person darstellen oder nicht.
6.2. Informations- und Anhörungspflicht
Auf Antrag muss der betroffenen Person die Möglichkeit eingeräumt werden, ihren Standpunkt darzulegen. Sie kann verlangen, dass die automatisiert durchgeführte Entscheidung von einer natürlichen Person überprüft wird. Die Anhörung kann vor oder nach der Entscheidung erfolgen.
6.3. Ausnahmen
Die Informations- und Anhörungspflicht gilt nicht, wenn (i) die Entscheidung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person steht und ihrem Begehren stattgegeben wird oder (ii) die betroffene Person ausdrücklich eingewilligt hat, dass die Entscheidung automatisiert erfolgt.
(i) Gemäss Botschaft wird einem Begehren stattgegeben, wenn der Vertragsabschluss genau zu den Konditionen erfolgt, wie sie z.B. in der Offerte dargestellt wurden oder wie sie die betroffene Person verlangt hatte. So werde z.B. ihrem Begehren stattgegeben, wenn ein Leasingvertrag zum im Angebot aufgeführten Zins abgeschlossen wird. Anderes gelte, wenn der Leasingvertrag zwar abgeschlossen werde, aber aufgrund eines schlechten Kreditratings der betroffenen Person zu einem weniger vorteilhaften Zins als im Angebot genannt. Abzustellen sei dabei darauf, ob gesamthaft den Begehren der betroffenen Person stattgegeben worden sei. Es reiche nicht aus, wenn dies nur in Bezug auf einzelne Elemente der Fall sei.
(ii) Die Pflicht zur Information und Anhörung entfällt auch dann, wenn die betroffene Person ausdrücklich eingewilligt hat, dass eine Entscheidung automatisiert erfolgt. Diese Ausnahme sei folgerichtig, hält die Botschaft fest, weil die betroffene Person bereits informiert werden müsse, um rechtsgültig einzuwilligen.
Die Bestimmung des Vorentwurfs, wonach die Informations- und Anhörungspflicht nicht gelte, wenn ein Gesetz eine automatisierte Einzelentscheidung vorsieht, wurde dem Entwurf gestrichen. Gemäss der Mehrheit der SPK-N soll diese Bestimmung nun wieder ins Gesetz aufgenommen werden.
6.4. Auskunftspflichten
Der Entwurf sieht vor, dass der betroffenen Person gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht, mitzuteilen sind. Gemäss Botschaft müssten nicht unbedingt die Algorithmen mitgeteilt werden, die Grundlage der Entscheidung sind, weil es sich dabei regelmässig um Geschäftsgeheimnisse handle. Vielmehr müssten die Grundannahmen der Algorithmus-Logik genannt werden, auf der die automatisierte Einzelentscheidung beruht. Das bedeute beispielsweise, dass die betroffene Person Auskunft darüber erhalte, dass sie aufgrund eines negativen Scoring-Resultats einen Vertrag zu schlechteren Konditionen abschliessen könne, als dies offeriert wurde. Darüber hinaus müsse sie aber auch über die Menge und die Art der für das Scoring herangezogenen Informationen sowie deren Gewichtung informiert werden. Eingriffe in relevante Geschäftsgeheimnisse dürften mit dieser Regelung nach wie vor möglich sein.
7. Datenschutz-Folgenabschätzung
Mit dieser gesetzlichen Pflicht setzt der Entwurf mit dem Datenschutz bereits in der eigentlichen Planungsphase einer Bearbeitung an. Der Verantwortliche erstellt vorgängig eine solche Abschätzung, wenn eine Bearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Bestätigt sich im Rahmen der Abschätzung ein solches hohes Risiko für den Fall, dass keine Massnahmen getroffen würden, ist der öffentliche Datenschutzbeauftragte zu involvieren.
Diese Konsultation des Beauftragten kann durch die Einsetzung eines (internen) Datenschutzberaters verhindert werden. Gerade Unternehmen von einer gewissen Grösse werden zu evaluieren haben, ob die Einsetzung eines solchen Datenschutzberaters in Frage kommt. Diese Erleichterung will eine Minderheit der SPK-N streichen, was abzulehnen ist.
Die Pflicht zur Datenschutz-Folgenabschätzung trifft sodann jene nicht, die sich einer Zertifizierung unterzogen haben oder einen bestehenden Verhaltenskodex beachten. Damit bietet die Möglichkeit zur Erstellung eines branchenweiten Verhaltenskodex auch in Zusammenhang mit der Datenschutz-Folgenabschätzung eine grosse Chance.
8. Sanktionen
Der Entwurf bleibt beim stark kritisierten Sanktionensystem über den Weg des Strafrechts. Die Höhe der Maximal-Busse für natürliche Personen wurde von CHF 500‘000 auf CHF 250‘000 gesenkt und eine fahrlässige Begehung ist nicht mehr strafbewehrt.
Die Botschaft hält fest, dass die in der Vernehmlassung geäusserte Sorge, dass jeder beliebige Angestellte eines Unternehmens bestraft werden könnte, unbegründet sei. In der Schweiz werde die Einhaltung verwaltungsrechtlicher Pflichten mit dem Verwaltungsstrafrecht sichergestellt, dessen Normadressaten natürliche Personen seien. Es verhalte sich so, dass die verwaltungsrechtliche Pflicht dem Unternehmen obliege und ihre Verletzung dessen (natürlichen) Leitungspersonen zugerechnet werde.
Das Sanktionssystem bleibt stark umstritten und die vorliegende Lösung ist nicht abschliessend befriedigend. Angesichts der bestehenden Strafrechts-Struktur in der Schweiz erscheint jedoch ein Systemwechsel im Rahmen der DSG-Totalrevision als unrealistisch. Längerfristig sollte aber eine Ausrichtung des Sanktionensystem auf Unternehmen in Erwägung gezogen werden.
Eine Minderheit I der SPK-N will die Sanktionen anheben auf bis zu CHF 20 Mio. oder 4% des gesamten weltweit erzielten Jahresumsatzes, wobei unklar bleibt, wie sich der „Jahresumsatz“ einer natürlichen Person berechnet. Die Minderheit II will die Busse auf CHF 500‘000 anheben. Beides ist aus unserer Sicht abzulehnen.
sco. Frau Solari, der Entwurf zur Totalrevision des Datenschutzgesetzes liegt endlich vor. Ist der AGVS zufrieden damit?
Olivia Solari: Der AGVS hat bereits in der Stellungnahme zum Vorentwurf deutlich zum Ausdruck gebracht, dass eine über das Ziel hinausschiessende Regulierung nicht angezeigt ist. Die vom Bundesrat verabschiedete Botschaft enthielt unter anderem Informations- und Handlungspflichten für unsere Mitglieder, die für ein Unternehmen aus der Sicht des AGVS zu viel Bürokratie mit sich bringen. Nun sind gewisse Ausnahmeregelungen in die Vorlage eingeflossen. Allerdings ist nicht absehbar, ob und wie das Parlament diese Ausnahmen genehmigen wird.
Nach dem Nationalrat berät der Ständerat die Vorlage. Können Sie abschätzen, bis wann wir ein neues DSG haben werden?
Das Geschäft ist hochkomplex und sehr umstritten. Die Staatspolitische Kommission des Nationalrats (SPK-N) hat die Vorlage nach einer Patt-Situation nur mit Stichentscheid des Präsidenten angenommen. Die Kommission hat sehr viele Änderungsvorschläge formuliert, was auch in den eidgenössischen Räten für Diskussionen sorgen wird. Wir rechnen nicht vor Mitte 2021 mit dem Inkrafttreten – also drei Jahre später, als ursprünglich erwartet.
Diese komplexe Vorlage betrifft auch die Schweizer Garagisten. Wie kann sich der einzelne Garagen-Unternehmer durch dieses juristische Unterholz schlagen?
Noch gilt das bestehende Datenschutzgesetz. Also besteht kein dringender Handlungsbedarf. Trotzdem: Das Gesetz wird kommen und je früher wir uns damit beschäftigen, desto besser. Mein Rat an unsere Mitglieder: Studieren Sie die fünf Seiten unserer Analyse; bei Fragen steht der Rechtsdienst des AGVS gerne zur Verfügung. Zusätzlich empfehle ich unseren Mitgliedern, sich bei internen Abläufen bereits jetzt zu hinterfragen, ob wohl alle Einwilligungen usw. vorhanden sind.
In der Vorlage ist von einem branchenspezifischen Verhaltenskodex die Rede, mit der geeignete Regeln für eine ganze Branche entworfen werden können. Das könnte die Sache für den einzelnen Gewerbebetrieb erheblich vereinfachen. Wird der AGVS für seine Mitglieder einen solchen Kodex erarbeiten?
Wir arbeiten in dieser Angelegenheit eng mit dem Schweizerischen Leasingverband (SLV) zusammen. Tatsächlich existiert ein solcher Entwurf, der nun überarbeitet wird. Wir werden unsere Mitglieder auf dem Laufenden halten.
Wieso brauchte es überhaupt eine Totalrevision dieses Datenschutzgesetzes?
In der EU überarbeitet der Europarat die auch von der Schweiz ratifizierte Konvention 108 (K108) zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten. Der Verzicht auf eine Ratifikation dieser Konvention hätte nach Meinung des Bundesrates für die Schweiz erhebliche negative Auswirkungen auf den grenzüberschreitenden Datenverkehr. Mit der Revision des Schweizerischen Datenschutzgesetzes nähert sich die Schweiz den EU-Regeln an. Dadurch soll sichergestellt werden, dass die Europäische Kommission den Datenschutz in der Schweiz als genügend anerkennt. Dies ist notwendig, damit Schweizer Unternehmen auch in Zukunft mit EU-Staaten einen freien Datenaustausch führen können.
Konkret: Was ändert sich mit dem neuen Gesetz? Worauf muss der Garagist in seiner täglichen Arbeit achten?
Ursprünglich sollte das totalrevidierte DSG 2018 in Kraft treten. Nach den langen Beratungen in den Kommissionen dürfte es wohl 2021 oder 2022 werden. Das bedeutet, dass sich unsere Mitglieder schon in naher Zukunft bei jeder Verwendung von Daten noch mehr überlegen müssen: «Darf ich diese Daten verwenden, weitergeben und weiss ich, was der Dritte dann mit den Daten macht?». Schon die heutige Fassung des DSG kennt einen umfassenden Schutz persönlicher Daten – was sich drastisch ändern wird, sind unter anderem die bei einer Widerhandlung drohenden Bussen.
Die Vorlage spricht von Maximalbussen von 250‘000 Franken bei Verstössen gegen das DSG. Muss sich der Garagist auf existenzbedrohende Rechtsstreitigkeiten gefasst machen?
Die Vorlage bleibt in der Tat beim stark kritisierten Sanktionensystem über den Weg des Strafrechts und bei Maximalbussen von 250'000 Franken. Zwei Minderheitsanträge wollen die Bussen sogar deutlich anheben, was der AGVS entschieden ablehnt. Die Botschaft zum vorliegenden Gesetzesentwurf hält fest, dass die in der Vernehmlassung geäusserte Sorge, wonach jeder Angestellte eines Unternehmens bestraft werden könne, unbegründet sei. Es handelt sich hier um verwaltungsrechtliche Pflichten, die mit dem Verwaltungsstrafrechts sichergestellt werden. Dessen Verletzungen werden natürlichen Leitungspersonen zugerechnet. Bussen von 250'000 Franken können für einen Garagisten in der Tat existenzbedrohend werden.
Stand der Revision des Schweizer Datenschutzgesetzes (DSG)
Am 15. und 16. August 2019 hat die Staatspolitische Kommission des Nationalrats (SPK-N) ihre lange dauernde Beratung des Datenschutzgesetzes abgeschlossen. Die Vorlage wurde mit 9 zu 9 Stimmen bei 7 Enthaltungen und Stichentscheid des Präsidenten angenommen, was an einer «Links-Rechts Allianz» liegen dürfte. Während erstere Gruppierung offenbar der Meinung ist, die Vorlage gehe zu wenig weit, lehnt die andere die Vorlage, wie bereits seit Beginn der Beratungen, grundsätzlich ab.
Nun wird die Vorlage in der Herbstsession des Nationalrats beraten. Die SPK-N hat sehr viele Änderungsvorschläge (Mehr- und Minderheitsanträge) formuliert, weshalb die Gesetzesfahne nun über 260 Seiten umfasst, welche durchberaten werden müssen. Der AGVS wird gemeinsam mit den Wirtschaftsverbänden und seinem Projektpartner Schweizerischer Leasingverband SLV dafür kämpfen, dass das Gesetz tatsächlich beraten wird und an der Schlussabstimmung nicht durchfällt. Denn die Ungewissheit, wie die Prozesse in den Unternehmen in Zukunft datenschutzrechtlich korrekt ausgestaltet werden müssen, lähmt sehr viele Projekte und Unternehmen.
Der Nationalrat ist der erstbehandelnde Rat, was bedeutet, dass anschliessend auch der Ständerat noch über die Vorlage beraten wird.
Entsprechend wird ein Inkrafttreten des totalrevidierten Datenschutzgesetzes in der Schweiz derzeit nicht vor Mitte, eher Ende 2021 erwartet.
Inhalte
Inhaltlich setzen wir uns weiterhin vor allem bei den zu Beginn des Gesetzgebungsprozesses definierten Schwerpunktthemen ein, welche wir an dieser Stelle noch einmal kurz für Sie darstellen. Selbstverständlich werden aber auch die übrigen Elemente der Gesetzgebung weiterhin beobachtet und begleitet.
1. Kein Datenschutz für Daten juristischer Personen
Der Entwurf für das neue Datenschutzgesetz verzichtet auf den Schutz von Daten juristischer Personen. Eine Minderheit der SPK-N will diesen Schutz nun jedoch wieder einbringen. Dieser Minderheitsantrag ist aus Sicht des AGVS abzulehnen, da der Schutz von Daten juristischer Personen bereits heute von geringer praktischer Bedeutung ist, aber oftmals die Bekanntgabe von Daten ins Ausland behindert. Zudem ist auch in der EU-DSGVO sowie im Übereinkommen des Europarats kein Schutz von Daten juristischer Personen vorgesehen. Ein Verzicht darauf führt damit nicht zu einem tieferen, nicht-äquivalenten Datenschutzniveau in der Schweiz.
2. Profiling
Der vorgeschlagene Begriff „Profiling“ meint die Bewertung bestimmter Merkmale einer Person auf der Grundlage von automatisiert bearbeiteten Personendaten, insbesondere um die Arbeitsleistung, die wirtschaftlichen Verhältnisse, die Gesundheit, das Verhalten, die Vorlieben, den Aufenthaltsort oder die Mobilität zu analysieren oder vorherzusagen. Damit soll gemäss Botschaft jede Auswertung von Personendaten mit Hilfe von computergestützten Analysetechniken erfasst sein.
Die von uns und vielen weiteren Vernehmlassungsteilnehmern geforderte Beschränkung auf elektronische bzw. automatisierte Aktivitäten wurde im Entwurf berücksichtigt und entspricht dem Mehrheitsantrag der SPK-N. Profiling ist Gegenstand verschiedener Bestimmungen des Gesetzes, wobei eine allzu strenge Behandlung aus Sicht des AGVS und des SLV ist nicht gerechtfertigt ist und bekämpft werden muss, weil Profiling für Konsumentinnen und Konsumenten auch positiven Nutzen haben kann (z.B. Überwachung des Zahlungsverkehrs auf Basis des typischen Kundenverhaltens zur Verhinderung von Betrug).
3. Möglichkeit eines branchenspezifischen Verhaltenskodex
Berufs- und Wirtschaftsverbänden soll es möglich sein, dem öffentlichen Datenschutzbeauftragten einen von ihnen erstellten Verhaltenskodex vorzulegen. Der Datenschutzbeauftragte nimmt zu einem solchen Kodex Stellung und veröffentlicht seine Stellungnahme. Dies stellt eine Neuerung im Vergleich zum Vorentwurf dar.
Für die Mitglieder des AGVS und des SLV bzw. für die beiden Verbände selbst, bietet die Möglichkeit der Erstellung eines solchen Kodex eine grosse Chance, um für die eigene Branche geeignete Regeln zu entwerfen. Wenngleich aus einer positiven Stellungnahme des Datenschutzbeauftragten keine Rechte abgeleitet werden können, so darf in der Regel davon ausgegangen werden, dass ein dem Verhaltenskodex entsprechendes Verhalten keine Verwaltungsmassnahmen nach sich ziehen wird. Dies ist jedenfalls die Meinung des Bundesrates in der Botschaft. Zudem bringt die Beachtung eines Verhaltenskodex auch in Zusammenhang mit der Datenschutz-Folgenabschätzung Erleichterungen (vgl. unten).
4. Freiwilliger Datenschutzberater
Der (interne) Datenschutzberater ist schon im bisherigen DSG vorgesehen. Es handelt sich dabei um eine vom Verantwortlichen ernannte Person, die primär für die Überwachung der Einhaltung der Datenschutzvorschriften und die Beratung des Verantwortlichen in Datenschutzbelangen zuständig sein dürfte. Der Entwurf sieht keine Pflicht zur Ernennung eines solchen Beraters vor, räumt aber den Verantwortlichen die Möglichkeit ein, durch Einsetzung und Konsultation eines Datenschutzberaters bei Datenschutz-Folgenabschätzungen auf die Konsultation des öffentlichen Datenschutzbeauftragten verzichten zu können.
Allerdings hat eine Minderheit der SPK-N die Ansicht vertreten, dass die beschriebenen Erleichterungen für Unternehmen, die einen Verantwortlichen ernennen, gestrichen werden sollen, was abzulehnen ist.
5. Informationspflichten
Der Entwurf sieht eine gegenüber dem geltenden Recht deutlich erweiterte Informationspflicht vor, welche grundsätzlich jede Datenbeschaffung erfasst. Das bedeutet, dass die betroffene Person grundsätzlich immer informiert werden muss, wenn Daten über sie beschafft werden. Dies soll ausdrücklich auch dann gelten, wenn die Daten nicht bei der betroffenen Person selbst beschafft werden. Die vorsätzliche Verletzung der Informationspflichten hat gemäss dem Entwurf strafrechtliche Sanktionen zur Folge (vgl. unten).
In der Botschaft wird zur Informationspflicht ausgeführt, eine allgemeine Information könne genügen, wenn die Personendaten bei der betroffenen Person selbst beschafft werden. Als Beispiele werden Datenschutzerklärungen auf einer Website sowie Symbole und Piktogramme, soweit sie die nötigen Informationen wiedergeben, genannt.
Der Entwurf sieht zudem gewisse Ausnahmebestimmungen vor, gemäss welchen der Verantwortliche auf die Information verzichten kann. In diesem Zusammenhang hat eine Mehrheit der SPK-N weitere Ausnahmen formuliert, welche jedoch mit Blick auf die Einhaltung der von der Schweiz ratifizierten Konvention 108+ nicht unproblematisch sind. Hier wird sich noch zeigen, in welche Richtung das Parlament geht.
6. Automatisierte Einzelentscheidung: weiterhin Informations- und Anhörungspflicht
6.1. Definition
Der Entwurf sieht im Falle automatisierter Einzelentscheidungen eine Informations- und Anhörungspflicht der betroffenen Person vor. Eine automatisierte Einzelentscheidung ist (i) die inhaltliche Beurteilung und Entscheidung eines Sachverhaltes ohne Dazutun einer natürlichen Person ([ii] inkl. Profiling), die für die betroffene Person mit einer (iii) Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt.
(i) Massgebend ist gemäss Botschaft, inwieweit eine natürliche Person eine inhaltliche Prüfung vornehmen und darauf aufbauend eine endgültige, allenfalls vom automatischen Ergebnis abweichende Entscheidung fällen kann. Eine automatisierte Einzelentscheidung kann somit selbst dann vorliegen, wenn die Entscheidung nach ihrer Fällung durch eine natürliche Person mitgeteilt wird, diese die automatisch gefällte Entscheidung aber nicht mehr beeinflussen kann. In der Botschaft wird vorgebracht, eine automatisierte Einzelentscheidung liege nur dann vor, wenn die Entscheidung eine gewisse Komplexität aufweise. Reine „Wenn-Dann-Entscheidungen“ seien vom Begriff nicht erfasst. Als Beispiel einer solchen „Wenn-Dann-Entscheidung“ wird der Bancomatbezug genannt, bei dem der Geldbetrag ausgegeben werde, wenn die Kontodeckung genügend sei. Nachdem jede automatisierte Entscheidung letztlich immer auf (oftmals mehreren) „Wenn-Dann-Entscheidungen“ beruht, ist der Anwendungsbereich dieser Regelung hinlänglich unklar. Allerdings wird gerade die Kreditfähigkeitsprüfung in der Botschaft als möglicher Anwendungsfall automatisierter Einzelentscheidungen angeführt.
(ii) Erfasst wird auch ein Profiling, wenn dieses zu einer Entscheidung führt, welche für die betroffene Person mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt. Als Beispiel nennt die Botschaft den Fall, in dem die betroffene Person ausschliesslich aufgrund eines negativen Kreditscorings keinen Kreditvertrag abschliessen kann. Eine Mehrheit der SPK-N will den Begriff „Profiling“ zwar streichen, das wird jedoch aus unserer Sicht an der Rechtslage nichts ändern, da es sich lediglich um eine beispielhafte Nennung handelt und alle automatisierten Bearbeitungen erfasst sind und bleiben.
(iii) Auch die Begriffe „Rechtsfolge“ und „erhebliche Beeinträchtigung“ bringen Rechtsunsicherheit mit sich. Die Entscheidung – so wiederum die Botschaft – sei mit einer Rechtfolge verbunden, wenn sie unmittelbare, rechtlich vorgesehene Konsequenzen für die betroffene Person nach sich ziehe. Dies sei im privatrechtlichen Bereich namentlich beim Abschluss eines Vertrages oder dessen Kündigung, nicht jedoch bei einem Verzicht auf einen Vertragsabschluss der Fall. Eine erhebliche Beeinträchtigung der betroffenen Person ist demgegenüber anzunehmen, wenn diese auf nachhaltige Weise z.B. in ihren wirtschaftlichen oder persönlichen Belangen eingeschränkt ist. Massgebend sollen die konkreten Umstände des Einzelfalls sein. Je nach den konkreten Auswirkungen kann ein nicht abgeschlossener Vertrag daher eine erhebliche Beeinträchtigung der betroffenen Person darstellen oder nicht.
6.2. Informations- und Anhörungspflicht
Auf Antrag muss der betroffenen Person die Möglichkeit eingeräumt werden, ihren Standpunkt darzulegen. Sie kann verlangen, dass die automatisiert durchgeführte Entscheidung von einer natürlichen Person überprüft wird. Die Anhörung kann vor oder nach der Entscheidung erfolgen.
6.3. Ausnahmen
Die Informations- und Anhörungspflicht gilt nicht, wenn (i) die Entscheidung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person steht und ihrem Begehren stattgegeben wird oder (ii) die betroffene Person ausdrücklich eingewilligt hat, dass die Entscheidung automatisiert erfolgt.
(i) Gemäss Botschaft wird einem Begehren stattgegeben, wenn der Vertragsabschluss genau zu den Konditionen erfolgt, wie sie z.B. in der Offerte dargestellt wurden oder wie sie die betroffene Person verlangt hatte. So werde z.B. ihrem Begehren stattgegeben, wenn ein Leasingvertrag zum im Angebot aufgeführten Zins abgeschlossen wird. Anderes gelte, wenn der Leasingvertrag zwar abgeschlossen werde, aber aufgrund eines schlechten Kreditratings der betroffenen Person zu einem weniger vorteilhaften Zins als im Angebot genannt. Abzustellen sei dabei darauf, ob gesamthaft den Begehren der betroffenen Person stattgegeben worden sei. Es reiche nicht aus, wenn dies nur in Bezug auf einzelne Elemente der Fall sei.
(ii) Die Pflicht zur Information und Anhörung entfällt auch dann, wenn die betroffene Person ausdrücklich eingewilligt hat, dass eine Entscheidung automatisiert erfolgt. Diese Ausnahme sei folgerichtig, hält die Botschaft fest, weil die betroffene Person bereits informiert werden müsse, um rechtsgültig einzuwilligen.
Die Bestimmung des Vorentwurfs, wonach die Informations- und Anhörungspflicht nicht gelte, wenn ein Gesetz eine automatisierte Einzelentscheidung vorsieht, wurde dem Entwurf gestrichen. Gemäss der Mehrheit der SPK-N soll diese Bestimmung nun wieder ins Gesetz aufgenommen werden.
6.4. Auskunftspflichten
Der Entwurf sieht vor, dass der betroffenen Person gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht, mitzuteilen sind. Gemäss Botschaft müssten nicht unbedingt die Algorithmen mitgeteilt werden, die Grundlage der Entscheidung sind, weil es sich dabei regelmässig um Geschäftsgeheimnisse handle. Vielmehr müssten die Grundannahmen der Algorithmus-Logik genannt werden, auf der die automatisierte Einzelentscheidung beruht. Das bedeute beispielsweise, dass die betroffene Person Auskunft darüber erhalte, dass sie aufgrund eines negativen Scoring-Resultats einen Vertrag zu schlechteren Konditionen abschliessen könne, als dies offeriert wurde. Darüber hinaus müsse sie aber auch über die Menge und die Art der für das Scoring herangezogenen Informationen sowie deren Gewichtung informiert werden. Eingriffe in relevante Geschäftsgeheimnisse dürften mit dieser Regelung nach wie vor möglich sein.
7. Datenschutz-Folgenabschätzung
Mit dieser gesetzlichen Pflicht setzt der Entwurf mit dem Datenschutz bereits in der eigentlichen Planungsphase einer Bearbeitung an. Der Verantwortliche erstellt vorgängig eine solche Abschätzung, wenn eine Bearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Bestätigt sich im Rahmen der Abschätzung ein solches hohes Risiko für den Fall, dass keine Massnahmen getroffen würden, ist der öffentliche Datenschutzbeauftragte zu involvieren.
Diese Konsultation des Beauftragten kann durch die Einsetzung eines (internen) Datenschutzberaters verhindert werden. Gerade Unternehmen von einer gewissen Grösse werden zu evaluieren haben, ob die Einsetzung eines solchen Datenschutzberaters in Frage kommt. Diese Erleichterung will eine Minderheit der SPK-N streichen, was abzulehnen ist.
Die Pflicht zur Datenschutz-Folgenabschätzung trifft sodann jene nicht, die sich einer Zertifizierung unterzogen haben oder einen bestehenden Verhaltenskodex beachten. Damit bietet die Möglichkeit zur Erstellung eines branchenweiten Verhaltenskodex auch in Zusammenhang mit der Datenschutz-Folgenabschätzung eine grosse Chance.
8. Sanktionen
Der Entwurf bleibt beim stark kritisierten Sanktionensystem über den Weg des Strafrechts. Die Höhe der Maximal-Busse für natürliche Personen wurde von CHF 500‘000 auf CHF 250‘000 gesenkt und eine fahrlässige Begehung ist nicht mehr strafbewehrt.
Die Botschaft hält fest, dass die in der Vernehmlassung geäusserte Sorge, dass jeder beliebige Angestellte eines Unternehmens bestraft werden könnte, unbegründet sei. In der Schweiz werde die Einhaltung verwaltungsrechtlicher Pflichten mit dem Verwaltungsstrafrecht sichergestellt, dessen Normadressaten natürliche Personen seien. Es verhalte sich so, dass die verwaltungsrechtliche Pflicht dem Unternehmen obliege und ihre Verletzung dessen (natürlichen) Leitungspersonen zugerechnet werde.
Das Sanktionssystem bleibt stark umstritten und die vorliegende Lösung ist nicht abschliessend befriedigend. Angesichts der bestehenden Strafrechts-Struktur in der Schweiz erscheint jedoch ein Systemwechsel im Rahmen der DSG-Totalrevision als unrealistisch. Längerfristig sollte aber eine Ausrichtung des Sanktionensystem auf Unternehmen in Erwägung gezogen werden.
Eine Minderheit I der SPK-N will die Sanktionen anheben auf bis zu CHF 20 Mio. oder 4% des gesamten weltweit erzielten Jahresumsatzes, wobei unklar bleibt, wie sich der „Jahresumsatz“ einer natürlichen Person berechnet. Die Minderheit II will die Busse auf CHF 500‘000 anheben. Beides ist aus unserer Sicht abzulehnen.
Kommentar hinzufügen
Kommentare