pri­vatim, die Ver­ei­ni­gung der schwei­ze­ri­schen Daten­schutz­be­auf­trag­ten, hat heu­te eine Zusam­men­fas­sung ihrer Stel­lung­nah­me zum Vor­ent­wurf des DSG ver­öf­fent­licht. Die Ver­nehm­las­sung zum Vor­ent­wurf läuft noch bis am 4. April 2017.

Die Stel­lung­nah­me von pri­vatim kon­zen­triert sich natur­ge­mäss auf die Rege­lun­gen zur Daten­be­ar­bei­tung durch öffent­li­che Stel­len. Aus Sicht pri­va­ter Bear­bei­ter sind fol­gen­de Punk­te aber bemer­kens­wert:

Datenschutz-Folgenabschätzung

  • Eine Daten­schutz-Fol­gen­ab­schät­zung (DSFA) müs­se vor jeder Bear­bei­tung erfol­gen, weil das “erhöh­te Risi­ko” erst durch die DSFA fest­ge­stellt wer­den kön­ne. Das ist logisch durch­aus nach­voll­zieh­bar, ver­langt aber eine Unter­schei­dung:
    1. In einem ersten Schritt muss sich ein Ver­ant­wort­li­cher (und nur der V. soll­te eine Pflicht zur DSFA haben, nicht auch der Auf­trags­be­ar­bei­ter!) fra­gen, ob vor­aus­sicht­lich ein erhöh­tes Risi­ko vor­liegt (rich­tig wäre: ein “hohes” Risi­ko). Die­ser erste Schritt ist schon zur Gewähr­lei­stung der Daten­si­cher­heit erfor­der­lich, kann aber form­frei erfol­gen und ist nicht Teil einer eigent­li­chen DSFA.
    2. Eine eigent­li­che DSFA, die wohl Gegen­stand der Doku­men­ta­ti­ons­pflicht nach Art. 19 lit. a VE sein wird, soll­te aber nur dann erfor­der­lich sein, wenn eine erste, form­freie Prü­fung erge­ben hat, dass ein aus­rei­chen­des Risi­ko (das “hoch”, nicht nur “erhöht” sein soll­te) vor­liegt. Immer eine sol­che DSFA zu ver­lan­gen, wäre nicht nur unprak­ti­ka­bel, son­dern gin­ge auch weit über Art. 35 Abs. 1 DSGVO hin­aus.
  • Es wird klar­ge­stellt, dass der Schutz der Grund­rech­te, den Art. 16 Abs. 1 VE-DSG als Schutz­ziel fest­schreibt, aus der Sicht der kan­to­na­len Daten­schutz­be­auf­trag­ten (wie schon nach heu­ti­gem Recht) nur für öffent­li­che Stel­len gilt. Pri­va­te müs­sen dem­zu­fol­ge nur die Per­sön­lich­keit betrof­fe­ner Per­so­nen wah­ren.
  • Die Vor­ab­kon­trol­le (d.h. die Kon­sul­ta­ti­on des EDÖB) sei unzu­rei­chend. Zumin­dest bei Bun­des­or­ga­nen müs­se die DSFA (inkl. geplan­ter Mass­nah­men) zwin­gend dem EDÖB vor­ge­legt wer­den. Zu begrü­ssen wäre jeden­falls, dass die DSFA dem EDÖB nur dann zu mel­den ist, wenn sie ergibt, dass trotz der getrof­fe­nen oder geplan­ten Mass­nah­men vor­aus­sicht­lich ein hohes Risi­ko ver­bleibt. Andern­falls gibt es für den EDÖB nichts zu prü­fen. Die DSGVO folgt eben­falls die­sem Ansatz (Art. 36 Abs. 1).

Privacy by Design / by Default

Hier stel­len die kan­to­na­len Daten­schutz­be­auf­trag­ten die sehr berech­tig­te Fra­ge, ob die in Art. 18 Abs. 1 VE (Pri­va­cy by Design) ange­deu­te­ten Pflich­ten nicht bereits nach Art. 11 VE (Daten­si­cher­heit) bestehen. Bei Art. 18 Abs. 2 VE (Pri­va­cy by Default) stellt pri­vatim die ana­lo­ge Fra­ge mit Bezug auf den Ver­hält­nis­mä­ssig­keits­grund­satz.In der Tat ist nicht ersicht­lich, dass bzw. inwie­fern Art. 18 VE mehr ver­langt als Art. 4 und 11 VE.

pri­vatim bezwei­felt fer­ner die Ange­mes­sen­heit der für eine Ver­let­zung von Art. 18 VE vor­ge­se­he­nen Straf­dro­hung, wohl mit Blick auf das ver­fas­sungs­mä­ssi­ge Bestimmt­heits­ge­bot, dem eine sol­che Sank­ti­ons­dro­hung tat­säch­lich kaum stand­hal­ten könn­te, jeden­falls nicht ohne eine star­ke Ein­schrän­kung durch die Gerich­te bei der Rechts­an­wen­dung (dass die not­wen­di­ge Bestimmt­heit einer Norm nicht nur durch den Gesetz­ge­ber, son­dern auch durch die Gerich­te her­bei­ge­führt wer­den kann, mag erstau­nen, ist aber aner­kannt).

Datenportabilität und Recht auf Löschung

pri­vatim emp­fieht, das Recht auf Daten­über­trag­bar­keit (Daten­por­ta­bi­li­tät) nach dem Vor­bild der DSGVO (Art. 20 DSGVO; vgl. dazu das Arbeits­pa­pier der Art.-29-Datenschutzgruppe) in das Gesetz auf­zu­neh­men, aller­dings ohne auf Inhalt und Natur die­ses Rechts näher ein­zu­ge­hen. Letz­te­res ist inso­fern scha­de, als die­ses Recht im euro­päi­schen Gesetz­ge­bungs­ver­fah­ren stark umstrit­ten war. Das euro­päi­sche Par­la­ment hat­te es aus sei­ner Ent­wurfs­fas­sung sogar gestri­chen. Die Kri­tik geht zum einen dar­auf zurück, dass ein Anspruch auf Daten­über­trag­bar­keit nicht daten­schutz­recht­li­cher, son­dern eher imma­te­ri­al­gü­ter- und v.a. kar­tell­recht­li­cher Natur ist. Zum ande­ren wird befürch­tet, dass die für die Über­tra­gung erfor­der­li­che Daten­struk­tu­rie­rung zu neu­en Sicher­heits­ri­si­ken führt und inso­fern sogar kon­tra­pro­duk­tiv ist. Auch erge­ben sich Abgren­zungs­fra­gen zwi­schen “pro­vi­ded data”, die dem Ver­ant­wort­li­chen über­ge­ben wur­den und die Gegen­stand der Por­ta­bi­li­tät sind, und “deri­ved data”, wie vom Ver­ant­wort­li­chen gene­riert wur­den und die vom Anspruch auf Por­ta­bi­li­tät aus­ge­nom­men sind.

pri­vatim emp­fiehlt fer­ner, eben­falls nach dem Vor­bild der DSGVO (Art. 17) auch ein Recht auf Daten­lö­schung fest­zu­schrei­ben. Ein sol­ches Recht ergibt sich aller­dings schon aus Art. 23 Abs. 2 lit. b des Vor­ent­wurfs, wonach die Bear­bei­tung ent­ge­gen der Wil­lens­er­klä­rung der betrof­fe­nen Per­son wider­recht­lich ist. Dass Recht­fer­ti­gungs­mög­lich­kei­ten blei­ben, ändert dar­an nichts; ein Recht auf Löschung kann ohne­hin nicht unbe­dingt sein, und ist es auch nach Art. 17 DSGVO nicht.

Prozessuale Fragen

pri­vatim begrüsst fer­ner die vor­ge­schla­ge­ne Kosten­be­frei­ung von daten­schutz­recht­li­chen Ver­fah­ren. Erfor­der­lich sei aber zudem eine Beweis­last­um­kehr, weil es betrof­fe­nen Per­so­nen in vie­len Fäl­len gar nicht mög­lich sei, den Beweis für unbe­fug­tes Bear­bei­ten zu erbrin­gen. Letz­te­res mag zwar zutref­fen. Man muss sich aber fra­gen, ob eine Beweis­last­um­kehr ver­bun­den mit der Kosten­lo­sig­keit des Ver­fah­rens nicht zu Miss­bräu­chen gera­de­zu ein­lädt. Bestehen kei­ne Anhalts­punk­te für Daten­schutz­ver­let­zun­gen, braucht es auch kei­nen Anreiz für Ver­fah­ren. Bestehen aber Anhalts­punk­te, dann müss­ten die pro­zes­sua­len Mit­wir­kungs­pflich­ten des Bear­bei­ters (Art. 160 ff. ZPO) eigent­lich genü­gen. EIen Vewr­let­zung der Mit­wir­kungs­pflicht kann einer Umkehr der Beweis­last in der Pra­xis nahe­kom­men (vgl. Art. 164 und 167 ZPO). Es wäre höch­stens zu prü­fen, ob eine fakul­ta­ti­ve Beweis­last­um­kehr im Ein­zel­fall nach dem Vor­bild von Art. 13a Abs. 1 UWG gerecht­fer­tigt sein kann (wobei dort die Aus­gangs­la­ge eine ande­re ist).

Sanktionen

Zu begrü­ssen ist die Stel­lung­nah­me von pri­vatim zu den geplan­ten Sank­tio­nen. Es sei falsch, “Voll­zusde­fi­zi­te auf das Straf­recht abzu­wäl­zen”:

Mit den neu­en Bestim­mun­gen tritt der Straf­rich­ter in Kon­kur­renz zur Daten­schutz­auf­sichts­be­hör­de, was weder insti­tu­tio­nell noch sach­lich sinn­voll ist. Zahl­rei­chen der neu­en Straf­be­stim­mun­gen fehlt die Bestimmt­heit, so dass sie dem Grund­satz «Nul­la poe­na sine lege» wider­spre­chen. Zudem wer­den mit den umschrie­be­nen Straf­be­stim­mun­gen die Vor­ga­ben gemäss Richt­li­nie (EU) 2016/680 und Art. 12bis Abs. 2 lit.c E-SEV 108 nicht voll­stän­dig umge­setzt. Die EU sowie der Euro­pa­rat ver­lan­gen aus­drück­lich auch Ver­wal­tungs­sank­tio­nen, die der Beauf­trag­te ver­hän­gen kann.

Der EDÖB müs­se viel­mehr admi­ni­stra­ti­ve Sank­tio­nen ver­hän­gen kön­nen, auch wenn das einen Aus­bau der Res­sour­cen des EDÖB ver­langt. Die Orga­ni­sa­ti­on des EDÖB sei ggf. nach jener der Weko anzu­pas­sen.

Weitere Bestimmungen

Die Stel­lung­nah­me von pri­vatim geht auf wei­te­re Punk­te ein, u.a. die fol­gen­den:

  • Anwen­dungs­be­reich: Das DSG soll wäh­rend lau­fen­der Ver­fah­ren nicht auf die Par­tei­en anwend­bar sein – das ist heu­te schon so und sicher rich­tig; andern­falls wird das Aus­kunfts­recht noch mehr als Ersatz für die vor­sorg­li­che Beweis­füh­rung nach Art. 158 ZPO.
  • Beson­de­re Per­so­nen­da­ten: “Ras­se” sei zu strei­chen. “Bio­me­tri­sche” Daten sei dage­gen zu weit gefasst – ein Foto bspw. sol­le nicht erfasst wer­den. pri­vatim schlägt eine alter­na­ti­ve Defi­ni­ti­on vor.
  • Pro­filing: Die Defi­ni­ti­on des “Pro­filings” wird nicht kri­ti­siert (auch nicht den Ein­be­zug der nicht-auto­ma­ti­sier­ten Pro­fi­lie­rung mit Sach­da­ten) – im Gegen­teil: “Aller­dings ist es völ­lig unge­nü­gend, wenn dann im bereichs­spe­zi­fi­schen Daten­schutz­recht (in den anzu­pas­sen­den Bun­des­ge­set­zen) mit Blan­ket­ter­mäch­ti­gun­gen das Pro­filing qua­si «durch­ge­winkt» wird. Ver­langt ist, dass kla­re und stren­ge Rah­men­be­din­gun­gen für das Pro­filing in den Bun­des­ge­set­zen kon­kre­ti­siert wer­den”.
  • Ein­wil­li­gung: Das Erfor­der­nis der “Ein­deu­tig­keit” wird begrüsst. Was “aus­drück­lich” bedeu­tet, sei aber in der Bot­schaft zu klä­ren.
  • Emp­feh­lun­gen der guten Pra­xis: Die­ses Insti­tut, das in Wirt­schafts­krei­sen eher begrüsst wird, sofern es wirk­lich die inter­es­sier­ten Krei­se sind, die sol­che Emp­feh­lun­gen aus­ar­bei­ten, wird kri­tisch beur­teilt. U.a. kom­me in Art. 9 VE zu wenig zum Aus­druck, “dass es sich bei der Ein­hal­tung der Emp­feh­lun­gen der guten Pra­xis ledig­lich um eine gesetz­li­che Ver­mu­tung der Ein­hal­tung der Daten­schutz­vor­schrif­ten han­delt”.
  • Daten­si­cher­heit: Es sei­en Daten­schutz­zie­le zu defi­nie­ren.
  • Daten einer ver­stor­be­nen Per­son: Die Rege­lung von Art. 12 VE wird im Grund­satz begrüsst, im Ein­zel­nen aber kri­tisch beur­teilt. U.a. sei die Aus­schal­tung der Amts- und Berufs­ge­heim­nis­se “äusserst pro­ble­ma­tisch”.
  • Auto­ma­ti­sier­te Ein­zel­fall­ent­schei­dun­gen: Für den pri­va­ten Bereich wird der vor­ge­schla­ge­ne Art. 15 VE begrüsst.
  • Bre­ach noti­fi­ca­ti­on”: Hier wird ver­langt, die Daten­schutz­ver­let­zung, die eine Pflicht zur Mit­tei­lung aus­löst, zu defi­nie­ren. Vor­ge­schla­gen wird fol­gen­de Defi­ni­ti­on:

    Eine Daten­schutz­ver­let­zung liegt vor, wenn die Sicher­heit so ver­letzt wird, dass bear­bei­te­te Per­so­nen­da­ten unwie­der­bring­lich ver­nich­tet wer­den oder ver­lo­ren gehen, unbe­ab­sich­tigt oder unrecht­mä­ssig ver­än­dert oder offen­bart wer­den oder dass Unbe­fug­te Zugang zu sol­chen Per­so­nen­da­ten erhal­ten.»

    Die­se Beschrän­kung auf qua­li­fi­zier­te Ver­let­zun­gen der Daten­si­cher­heit ist zu begrü­ssen. Eine Mel­de­pflicht auch bei ande­ren unbe­fug­ten Bear­bei­tun­gen wie bspw. einer zu spä­ten Löschung wäre nicht nur unprak­ti­ka­bel, son­dern auch ver­fas­sungs­recht­lich zwei­fel­haft (“nemo ten­e­tur”). Auch die DSGVO beschränkt die Mel­de­pflicht auf Sicher­heits­ver­let­zun­gen (Art. 34 Abs. 1 i.V.m. Art. 4 Nr. 12 DSGVO).

  • Doku­men­ta­ti­ons­pflicht: Im Anschluss an das Anlie­gen der Beweis­last­um­kehr ver­langt pri­vatim, die Doku­men­ta­ti­ons­pflicht betref­fe die Ein­hal­tung des Daten­schut­zes ins­ge­samt. Das dürf­te aller­dings unmög­lich sein. Auch ein zer­ti­fi­zier­tes Daten­schutz­ma­nage­ment­sy­stem kann weder die Ein­hal­tung des Daten­schut­zes noch eine ent­spre­chen­de Doku­men­ta­ti­on sicher­stel­len. Es soll­ten nur defi­nier- und mess­ba­re Para­me­ter doku­men­ta­ti­ons­pflich­tig sein.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.