Der Bundesrat will das Datenschutzgesetz nach 23 Jahren erstmals komplett überarbeiten. Bürgerinnen und Bürger sollen damit transparenter über ihre Daten informiert werden. Zudem würden Verstösse härter bestraft – das alles im Einklang mit EU-Regeln.
Das heutige Datenschutzgesetz trat Mitte 1993 in Kraft – das Internet steckte damals noch in den Kinderschuhen. Nun soll eine Totalrevision die technologischen und gesellschaftlichen Entwicklungen berücksichtigen. Der Digitalisierung inklusive Big Data und den damit einhergehenden Cyber-Risiken sollen vermehrt Rechnung getragen werden. Kurz: Rechte, die offline gelten, sollen auch online geschützt werden.
Zudem möchte der Bundesrat bei der Gesetzesrevision auch die derzeit laufenden Datenschutzreformen in der EU und beim Europarat berücksichtigen. Die Schweiz sei zwar nur soweit an die EU-Datenschutzerlasse gebunden, als diese eine Weiterentwicklung des Schengen/Dublin-Besitzstandes darstellten. Der Datenverkehr mit der EU stehe allerdings grundsätzlich unter der Voraussetzung, dass die EU das Datenschutzniveau der Schweiz als angemessen anerkenne. Die Schweiz habe daher ein Interesse, ihre Datenschutzvorschriften zu stärken.
Der Datenschutz war in den vergangenen Jahren ferner Gegenstand zahlreicher parlamentarischer Vorstösse. Das verdeutlicht laut dem Bundesrat, «dass der politische Wille besteht, die Bundesgesetzgebung in diesem Bereich zu stärken». Er hat den Vorentwurf zu einer Totalrevision am Mittwoch in die Vernehmlassung geschickt.
Bussen bis zu 500’000 Franken
Eine Evaluation des heutigen Gesetzes hatte 2011 aufgezeigt, dass betroffene Personen ihre Rechte gegenüber den Datenbearbeitenden nur selten beanspruchen. Angesetzt werden soll deshalb bei der Rolle des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten. Dessen Unabhängigkeit und Position will der Bundesrat stärken.
In der Revision ist vorgesehen, dass der Datenschützer – analog zu seinen europäischen Amtskollegen – von Amtes wegen oder auf Anzeige hin eine Untersuchung gegenüber den Verantwortlichen und Auftragsbearbeitern eröffnen kann. Bei deren Abschluss soll er eine verbindliche Verfügung wie die Sistierung und Unterlassung einer Datenbearbeitung oder die Löschung von Daten anordnen können.
Zwar soll der Eidgenössische Datenschützer auch in Zukunft keine Verwaltungssanktionen aussprechen dürfen, dafür will der Bundesrat die Strafbestimmungen des Datenschutzgesetzes in verschiedener Hinsicht verschärfen. Der Höchstbetrag der Bussen soll von heute 10’000 auf 500’000 Franken erhöht werden. Zudem sollen ein mit Freiheitsstrafe bedrohter Straftatbestand bei Verletzungen der beruflichen Schweigepflicht eingeführt und die Verfolgungsverjährungsfrist bei Übertretungen verlängert werden.
Transparente Löschung von Daten
Im Vernehmlassungsentwurf ist zudem ausdrücklich das Recht auf Löschung von Daten festgehalten, während dies im aktuellen Gesetz nur implizit erwähnt ist.
Bereits heute hat die betroffene Person den Anspruch, dass die über sie bearbeiteten Daten korrekt sind. Stellt sie fest, dass die Daten nicht korrekt sind, kann sie vom Datenbearbeitenden die Berichtigung verlangen. Ausserdem kann die betroffene Person die Löschung ihrer Personendaten verlangen, wenn diese widerrechtlich bearbeitet werden.
Künftig sollen Unternehmen auch verpflichtet werden, diese Information Dritten weiterzuleiten, welchen es die Daten zuvor zugänglich gemacht hat – beispielsweise zu Marketingzwecken oder einem gegebenenfalls beauftragen Versanddienstleister.
Diese Pflicht soll allerdings eingeschränkt werden können, wenn die Information an Dritte unmöglich oder unverhältnismässig ist. Grundsätzlich ausgenommen sind zudem die Bestände öffentlich zugänglicher Bibliotheken, Bildungseinrichtungen, Museen, Archiven oder anderer öffentlicher Gedächtnisinstitutionen.
Strengere Informationspflicht
Im 114 Seiten langen erläuternden Bericht sind zahlreiche weitere Neuerungen aufgelistet. Als «wesentlichen Inhalt der Vorlage» bezeichnet das Bundesamt für Justiz (BJ) beispielsweise die geplante Abschaffung des Datenschutzes für juristische Personen. Dieser sei nur von geringer praktischer Bedeutung. Die Änderung erleichtere die Bekanntgabe von Daten ins Ausland.
Generell soll die Transparenz der Datenbearbeitung verbessert werden. Konkret müsste der Verantwortliche die betroffene Person über die Beschaffung von Personendaten und deren Zweck ins Bild setzen. Diese Informationspflicht gälte auch, wenn die Daten bei Dritten beschafft wurden.
Auch hier sind Ausnahmen vorgesehen: Beispielsweise wenn die betroffene Person die Daten selbst zugänglich gemacht hat, muss sie nicht mehr informiert werden. Auch wenn die Speicherung ausdrücklich im Gesetz vorgesehen ist oder die Information nicht oder nur mit unverhältnismässigem Aufwand möglich ist, entfällt die Informationspflicht.
Best-Practice-Beispiele
Die Revision soll ferner die Selbstregulierung bei den Verantwortlichen fördern. Dies erfolge insbesondere über Empfehlungen der guten Praxis, welche die Tätigkeit der Verantwortlichen erleichtern und die Einhaltung des Gesetzes verbessern sollen.
Mit den nicht bindenden Empfehlungen könnten in Bereichen, in denen gegenwärtig zahlreiche Fragen aufgeworfen werden, genauere Regeln festgelegt werden, heisst es im Bericht. Ausserdem liessen sich bestimmte Begriffe sowie die Modalitäten einiger Rechte und Pflichten präzisieren.
Die Vernehmlassung zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz dauert bis am 4. April 2017.