Die Staats­po­li­ti­sche Kom­mis­si­on (SPK‑N) hat die Bera­tun­gen zum DSG-Revi­si­ons­ent­wurf des Bun­des­ra­tes abge­schlos­sen. Die Fah­ne beinhal­tet in ver­schie­de­nen Punk­ten Abwei­chun­gen vom Ent­wurf des Bun­des­ra­tes, so nament­lich die fol­gen­den Ände­run­gen (einschl. Min­der­heits­an­trä­ge):

  • Räum­li­cher Gel­tungs­be­reich (Art. 2a E‑DSG): Die Kom­mis­si­on will den räum­li­chen Anwen­dungs­be­reich des DSG auf sämt­li­che Bear­bei­tungs­sach­ver­hal­te aus­wei­ten, die Aus­wir­kun­gen in der Schweiz haben. Aus­län­di­sche Unter­neh­men, wel­che Bear­bei­tungs­tä­tig­kei­ten in der Schweiz ver­an­las­sen, sol­len gemäss Vor­schlag dem DSG unter­ste­hen und in die­sem Zusam­men­hang auch eine Ver­tre­tung in der Schweiz bestel­len müs­sen (Art. 12a E‑DSG). In der vor­lie­gen­den Fas­sung mün­det die Bestim­mung jedoch in Aus­le­gungs­schwie­rig­kei­ten; so ist nicht evi­dent, was unter dem Anknüp­fungs­punkt „Aus­wir­kung“ zu ver­ste­hen ist. Wäh­rend die Vor­aus­set­zun­gen zur Bestel­lung eines Ver­tre­ters jenen der DSGVO ange­lehnt sind, sol­len in Bezug auf den räum­li­chen Anwen­dungs­be­reich nicht die­sel­ben Kri­te­ri­en gel­ten.
  • Ver­ar­bei­tungs­ver­zeich­nis­se (Art. 11 E‑DSG): Der Bun­des­rats­ent­wurf sieht die Pflicht des Ver­ant­wort­li­chen (und des Auf­trags­ver­ar­bei­ters) zur Füh­rung von Ver­ar­bei­tungs­ver­zeich­nis­sen vor und sta­tu­iert dar­über hin­aus eine Mel­de­pflicht gegen­über dem EDÖB für Bun­des­or­ga­ne. Dazu gibt es einen Min­der­heits­an­trag (Min­der­heit I), wel­cher wei­ter geht und eine all­ge­mei­ne Mel­de­pflicht gesetz­lich ver­an­kert haben will. Abwei­chen­de Kom­mis­si­ons­vor­schlä­ge bestehen fer­ner hin­sicht­lich der Aus­nah­me­be­stim­mung, wonach Bear­bei­ter von der Doku­men­ta­ti­ons­pflicht befreit sein sol­len, wenn sie weni­ger als 50 Mit­ar­bei­ter beschäf­ti­gen und die frag­li­che Bear­bei­tung nur ein „gerin­ges Risi­ko“ mit sich bringt. Die Kom­mis­si­ons­mehr­heit ver­langt in jedem Fall eine Befrei­ung für Unter­neh­men bis 500 Mit­ar­bei­ter, also ohne Risi­ko­ab­wä­gung, der Min­der­heits­an­trag (Min­der­heit I) folgt bezüg­lich der Mit­ar­bei­ter­schwel­le dem Bun­des­rat und stützt im Übri­gen den Antrag der Mehr­heit (kei­ne Risi­ko­ab­wä­gung).
  • Persönlichkeitsverletzungen/Einwilligung: Umstrit­ten sind Fra­gen hin­sicht­lich des Vor­lie­gens einer Per­sön­lich­keits­ver­let­zung in Bezug auf beson­ders schüt­zens­wer­te Per­so­nen­da­ten und Pro­filing sowie Fra­gen nach den Anfor­de­run­gen an eine Ein­wil­li­gung. Es wer­den die fol­gen­den Posi­tio­nen ver­tre­ten:
    • Die Kom­mis­si­ons­mehr­heit folgt dem Bun­des­rat, wonach eine Per­sön­lich­keits­ver­let­zung vor­liegt, wenn beson­ders schüt­zens­wer­te Daten an Drit­te bekannt gege­ben wer­den. Stützt man sich als Recht­fer­ti­gung auf die Ein­wil­li­gung, hat die­se aus­drück­lich zu erfol­gen.
    • Ein Min­der­heits­an­trag (Min­der­heit II) ergänzt den Tat­be­stand um Bear­bei­tun­gen, wel­che zu Direkt­wer­bungs­zwecken erfol­gen. Die Ein­wil­li­gung hat bei allen Bear­bei­tun­gen beson­ders schüt­zens­wer­ter Per­so­nen­da­ten und beim Pro­filing aus­drück­lich zu sein, womit in die­sem Punkt dem Bun­des­rat gefolgt wird.
    • Ein wei­te­rer Min­der­heits­an­trag (Min­der­heit IV) will – nur – für alle Bekannt­ga­ben, aber unge­ach­tet der Daten­art, eine Per­sön­lich­keits­ver­let­zung sta­tu­ie­ren, for­dert aber eine aus­drück­li­che Ein­wil­li­gung sowohl bei Bekannt­ga­ben als auch für die Bear­bei­tung beson­ders schüt­zens­wer­ter Per­so­nen­da­ten.
    • Wei­te­re Anträ­ge fol­gen dem Bun­des­rat, was den Tat­be­stand der Per­sön­lich­keits­ver­let­zung betrifft (Daten­be­kannt­ga­be beson­ders schüt­zens­wer­ter Per­so­nen­da­ten), for­dern aber zusätz­lich Aus­drück­lich­keit für risi­ko­rei­ches Pro­filing (Min­der­heit I) bzw. für jede Bear­bei­tung, wel­che eine Ein­wil­li­gung erfor­dert (Min­der­heit III).
  • Betrof­fe­nen­rech­te (Art. 23 f. E‑DSG): Umstrit­ten ist auch die Aus­ge­stal­tung der Betrof­fe­nen­rech­te:
    1. Recht auf Daten­her­aus­ga­be und –por­ta­bi­li­tät: Die Kom­mis­si­ons­mehr­heit hat die­se Recht neu in den Ent­wurf auf­ge­nom­men. In die­sem Zusam­men­hang wäre ins­be­son­de­re die Zuläs­sig­keit sol­cher Daten­be­kannt­ga­ben zu klä­ren, bezüg­lich derer die Daten­be­ar­bei­ter bestimm­ten gesetz­li­chen Schran­ken unter­lie­gen (bspw. im Sozi­al­ver­si­che­rungs­be­reich).
    2. Aus­kunfts­recht: Die Kom­mis­si­ons­mehr­heit spricht sich zu Gun­sten des Ver­ant­wort­li­chen für ein begrenz­tes Aus­kunfts­recht der Betrof­fe­nen aus und will die­ses „aus­schliess­lich“ auf Infor­ma­tio­nen beschrän­ken, wel­che erfor­der­lich sind, damit die betrof­fe­nen Per­so­nen ihre Rech­te nach die­sem Gesetz gel­tend machen kön­nen, wobei „die Per­so­nen­da­ten als sol­che“ (Art. 23 Abs. 2 lit. b E‑DSG) und ins­be­son­de­re ohne Anga­ben zu all­fäl­li­gen Daten­emp­fän­gern anzu­ge­ben sind. Die Min­der­hei­ten fol­gen grund­sätz­lich dem Ent­wurf des Bun­des­rats. Die Kom­mis­si­ons­mehr­heit ver­langt auch eine Erwei­te­rung des Aus­nah­me­ka­ta­logs, wobei ein über­wie­gen­des Inter­es­se des Ver­ant­wort­li­chen für eine Ver­wei­ge­rung des Aus­kunfts­rechts aus­rei­chen soll (auch wenn die Daten Drit­ten bekannt gege­ben wer­den) und ent­fällt, wenn die Aus­übung aus daten­schutz­wid­ri­gen Zwecken erfolgt.
    3. Infor­ma­ti­ons­pflicht: Der Ver­ant­wort­li­che hat die betrof­fe­ne Per­son ledig­lich „ange­mes­sen“ über die Beschaf­fung von Per­so­nen­da­ten zu infor­mie­ren.
  • Straf­be­stim­mun­gen (Art. 54 ff. E‑DSG): Der Bun­des­rats­ent­wurf will künf­tig eine Sorg­falts­pflicht­ver­let­zung unter Stra­fe stel­len, was soweit gestützt wird. Zwei Min­der­heits­an­trä­ge ver­lan­gen jedoch je eine Erhö­hung des vor­ge­se­he­nen Bus­sen­rah­mens. Ein Antrag (Min­der­heit I) ver­langt eine Bus­sen­hö­he bis zu CHF 20‘000‘000 oder bis zu 4% des welt­wei­ten Jah­res­um­sat­zes des vor­an­ge­hen­den Geschäfts­jah­res. Eine zwei­ter Min­der­heits­an­trag (Min­der­heit II) for­dert eine Erhö­hung auf CHF 500‘000. Nach wie vor sol­len die ein­zel­nen natür­li­chen Per­so­nen bestraft wer­den (Art. 29 StGB); ins­be­son­de­re der Min­der­heits­an­trag I wird vor die­sem Hin­ter­grund kaum durch­setz­bar sein.
  • Wei­te­re Anpas­sun­gen: Hin­sicht­lich der Durch­füh­rung einer Daten­schutz-Fol­gen­ab­schät­zung lockert der Kom­mis­si­ons­ent­wurf die Kon­sul­ta­ti­ons­pflicht und beschränkt die­se auf Fäl­le von trotz ergrif­fe­nen Mass­nah­men ver­blei­ben­den Rest­ri­si­ken. Eine Min­der­heit ver­langt zudem eine Wie­der­ho­lung der Daten­schutz­fol­gen­ab­schät­zung bei Risi­ko­än­de­run­gen, spä­te­stens jedoch alle 5 Jah­re. Fer­ner soll Ver­ant­wort­li­chen die Prü­fung der Kre­dit­wür­dig­keit erleich­tert wer­den, indem Pro­filing in die­sem Zusam­men­hang erlaubt wird. Die Kom­mis­si­ons­mehr­heit spricht sich wei­ter für eine gesetz­li­che Rege­lung betref­fend die Über­gangs­be­stim­mun­gen aus, wonach das Gesetz ins­ge­samt 2 Jah­re nach Ablauf der unge­nutzt ver­stri­che­nen Refe­ren­dums­frist bzw. nach sei­ner Annah­me in einer Volks­ab­stim­mung in Kraft tre­ten soll. Dem Bun­des­rats­ent­wurf folgt die Kom­mis­si­ons­mehr­heit inso­fern, als Ver­ant­wort­li­chen dar­über hin­aus eine wei­te­re zwei­jäh­ri­ge Anpas­sungs­frist gewährt wird. Abschlie­ssend sei auf diver­se Vor­schlä­ge betref­fend die Ände­rung und Ergän­zung bestehen­der Erlas­se hin­ge­wie­sen, wel­che mit der Umset­zung des E‑DSG eben­falls imple­men­tiert wer­den sol­len.

Posted by Noemi Ziegler