Die Staatspolitische Kommission (SPK‑N) hat die Beratungen zum DSG-Revisionsentwurf des Bundesrates abgeschlossen. Die Fahne beinhaltet in verschiedenen Punkten Abweichungen vom Entwurf des Bundesrates, so namentlich die folgenden Änderungen (einschl. Minderheitsanträge):
- Räumlicher Geltungsbereich (Art. 2a E‑DSG): Die Kommission will den räumlichen Anwendungsbereich des DSG auf sämtliche Bearbeitungssachverhalte ausweiten, die Auswirkungen in der Schweiz haben. Ausländische Unternehmen, welche Bearbeitungstätigkeiten in der Schweiz veranlassen, sollen gemäss Vorschlag dem DSG unterstehen und in diesem Zusammenhang auch eine Vertretung in der Schweiz bestellen müssen (Art. 12a E‑DSG). In der vorliegenden Fassung mündet die Bestimmung jedoch in Auslegungsschwierigkeiten; so ist nicht evident, was unter dem Anknüpfungspunkt „Auswirkung“ zu verstehen ist. Während die Voraussetzungen zur Bestellung eines Vertreters jenen der DSGVO angelehnt sind, sollen in Bezug auf den räumlichen Anwendungsbereich nicht dieselben Kriterien gelten.
- Verarbeitungsverzeichnisse (Art. 11 E‑DSG): Der Bundesratsentwurf sieht die Pflicht des Verantwortlichen (und des Auftragsverarbeiters) zur Führung von Verarbeitungsverzeichnissen vor und statuiert darüber hinaus eine Meldepflicht gegenüber dem EDÖB für Bundesorgane. Dazu gibt es einen Minderheitsantrag (Minderheit I), welcher weiter geht und eine allgemeine Meldepflicht gesetzlich verankert haben will. Abweichende Kommissionsvorschläge bestehen ferner hinsichtlich der Ausnahmebestimmung, wonach Bearbeiter von der Dokumentationspflicht befreit sein sollen, wenn sie weniger als 50 Mitarbeiter beschäftigen und die fragliche Bearbeitung nur ein „geringes Risiko“ mit sich bringt. Die Kommissionsmehrheit verlangt in jedem Fall eine Befreiung für Unternehmen bis 500 Mitarbeiter, also ohne Risikoabwägung, der Minderheitsantrag (Minderheit I) folgt bezüglich der Mitarbeiterschwelle dem Bundesrat und stützt im Übrigen den Antrag der Mehrheit (keine Risikoabwägung).
- Persönlichkeitsverletzungen/Einwilligung: Umstritten sind Fragen hinsichtlich des Vorliegens einer Persönlichkeitsverletzung in Bezug auf besonders schützenswerte Personendaten und Profiling sowie Fragen nach den Anforderungen an eine Einwilligung. Es werden die folgenden Positionen vertreten:
- Die Kommissionsmehrheit folgt dem Bundesrat, wonach eine Persönlichkeitsverletzung vorliegt, wenn besonders schützenswerte Daten an Dritte bekannt gegeben werden. Stützt man sich als Rechtfertigung auf die Einwilligung, hat diese ausdrücklich zu erfolgen.
- Ein Minderheitsantrag (Minderheit II) ergänzt den Tatbestand um Bearbeitungen, welche zu Direktwerbungszwecken erfolgen. Die Einwilligung hat bei allen Bearbeitungen besonders schützenswerter Personendaten und beim Profiling ausdrücklich zu sein, womit in diesem Punkt dem Bundesrat gefolgt wird.
- Ein weiterer Minderheitsantrag (Minderheit IV) will – nur – für alle Bekanntgaben, aber ungeachtet der Datenart, eine Persönlichkeitsverletzung statuieren, fordert aber eine ausdrückliche Einwilligung sowohl bei Bekanntgaben als auch für die Bearbeitung besonders schützenswerter Personendaten.
- Weitere Anträge folgen dem Bundesrat, was den Tatbestand der Persönlichkeitsverletzung betrifft (Datenbekanntgabe besonders schützenswerter Personendaten), fordern aber zusätzlich Ausdrücklichkeit für risikoreiches Profiling (Minderheit I) bzw. für jede Bearbeitung, welche eine Einwilligung erfordert (Minderheit III).
- Betroffenenrechte (Art. 23 f. E‑DSG): Umstritten ist auch die Ausgestaltung der Betroffenenrechte:
- Recht auf Datenherausgabe und –portabilität: Die Kommissionsmehrheit hat diese Recht neu in den Entwurf aufgenommen. In diesem Zusammenhang wäre insbesondere die Zulässigkeit solcher Datenbekanntgaben zu klären, bezüglich derer die Datenbearbeiter bestimmten gesetzlichen Schranken unterliegen (bspw. im Sozialversicherungsbereich).
- Auskunftsrecht: Die Kommissionsmehrheit spricht sich zu Gunsten des Verantwortlichen für ein begrenztes Auskunftsrecht der Betroffenen aus und will dieses „ausschliesslich“ auf Informationen beschränken, welche erforderlich sind, damit die betroffenen Personen ihre Rechte nach diesem Gesetz geltend machen können, wobei „die Personendaten als solche“ (Art. 23 Abs. 2 lit. b E‑DSG) und insbesondere ohne Angaben zu allfälligen Datenempfängern anzugeben sind. Die Minderheiten folgen grundsätzlich dem Entwurf des Bundesrats. Die Kommissionsmehrheit verlangt auch eine Erweiterung des Ausnahmekatalogs, wobei ein überwiegendes Interesse des Verantwortlichen für eine Verweigerung des Auskunftsrechts ausreichen soll (auch wenn die Daten Dritten bekannt gegeben werden) und entfällt, wenn die Ausübung aus datenschutzwidrigen Zwecken erfolgt.
- Informationspflicht: Der Verantwortliche hat die betroffene Person lediglich „angemessen“ über die Beschaffung von Personendaten zu informieren.
- Strafbestimmungen (Art. 54 ff. E‑DSG): Der Bundesratsentwurf will künftig eine Sorgfaltspflichtverletzung unter Strafe stellen, was soweit gestützt wird. Zwei Minderheitsanträge verlangen jedoch je eine Erhöhung des vorgesehenen Bussenrahmens. Ein Antrag (Minderheit I) verlangt eine Bussenhöhe bis zu CHF 20‘000‘000 oder bis zu 4% des weltweiten Jahresumsatzes des vorangehenden Geschäftsjahres. Eine zweiter Minderheitsantrag (Minderheit II) fordert eine Erhöhung auf CHF 500‘000. Nach wie vor sollen die einzelnen natürlichen Personen bestraft werden (Art. 29 StGB); insbesondere der Minderheitsantrag I wird vor diesem Hintergrund kaum durchsetzbar sein.
- Weitere Anpassungen: Hinsichtlich der Durchführung einer Datenschutz-Folgenabschätzung lockert der Kommissionsentwurf die Konsultationspflicht und beschränkt diese auf Fälle von trotz ergriffenen Massnahmen verbleibenden Restrisiken. Eine Minderheit verlangt zudem eine Wiederholung der Datenschutzfolgenabschätzung bei Risikoänderungen, spätestens jedoch alle 5 Jahre. Ferner soll Verantwortlichen die Prüfung der Kreditwürdigkeit erleichtert werden, indem Profiling in diesem Zusammenhang erlaubt wird. Die Kommissionsmehrheit spricht sich weiter für eine gesetzliche Regelung betreffend die Übergangsbestimmungen aus, wonach das Gesetz insgesamt 2 Jahre nach Ablauf der ungenutzt verstrichenen Referendumsfrist bzw. nach seiner Annahme in einer Volksabstimmung in Kraft treten soll. Dem Bundesratsentwurf folgt die Kommissionsmehrheit insofern, als Verantwortlichen darüber hinaus eine weitere zweijährige Anpassungsfrist gewährt wird. Abschliessend sei auf diverse Vorschläge betreffend die Änderung und Ergänzung bestehender Erlasse hingewiesen, welche mit der Umsetzung des E‑DSG ebenfalls implementiert werden sollen.