Die Staatspolitische Kommission des Ständerates (SPK-SR) hat die Beratung der Vorlage für ein neues Datenschutzgesetz abgeschlossen. Sie hat die Vorlage in der Gesamtabstimmung einstimmig angenommen und an ihren Rat überwiesen, der sie somit in der Wintersession (2. – 20. Dezember 2019) beraten kann. Die entsprechenden Fahnen zuhanden des Ständerats wurden am 28. November 2019 veröffentlicht.
Im Wesentlichen folgte die SPK-SR den Anträgen des Nationalrates, in einigen Punkten werden jedoch Verschärfungen bzw. Erleichterungen vorgesehen. Die SPK-SR hat sich für folgende Anpassungen ausgesprochen (Mehrheitsanträge; Minderheitsanträge werden nicht berücksichtigt):
- Profiling mit hohem Risiko: Die SPK-SR will diesen Begriff explizit ins Gesetz aufnehmen und versteht darunter ein Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, namentlich
- bei der systematischen Verknüpfung gewisser Merkmale einer Person, welche verschiedene Lebensbereiche einer natürlichen Person betreffen; und
- bei einer systematischen und umfangreichen Bearbeitung von Daten, um Rückschlüsse auf verschiedene Lebensbereiche einer Person zu ziehen;
- Verletzung der Datensicherheit: Eine Verletzung soll nur dann vorliegen, wenn diese dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Der Bundesrat wollte in jedem Fall, in welchem Personendaten in der umschriebenen Weise bearbeitet werden, eine Verletzung statuieren, das heisst, ungeachtet der Absicht oder der Widerrechtlichkeit.
- Einwilligung: Eine Einwilligung soll in Bezug auf ein Profiling nur bei einem solchen mit hohem Risiko ausdrücklich zu erfolgen haben. Gemäss Antrag wird bei einem Profiling ohne hohes Risiko, welches durch eine private Person vorgenommen wird, keine Ausdrücklichkeit verlangt, bei entsprechenden Bearbeitungen durch Bundesorgane ist hingegen für jedes Profiling die Ausdrücklichkeit verlangt.
- Informationspflicht: Der Mindestinhalt im Rahmen der Informationspflicht sei auszuweiten und um eine Liste der Betroffenenrechte sowie die allfällige Absicht, Personen zur Bonitätsprüfung verwenden zu wollen, zu ergänzen. Ferner soll ein unverhältnismässiger Aufwand keinen Ausnahmetatbestand bzw. eine Einschränkung der Informationspflicht begründen. Zudem soll eine Einschränkung nur dann zulässig sein, wenn überwiegende Interessen des Verantwortlichen eine solche Massnahme erfordern und – kumulativ – die Personendaten nicht Dritten bekanntgegeben werden, vorbehaltlich eines neu eingeführten Konzernprivilegs.
- Auskunftsrecht: In Bezug auf die Informationen im Rahmen des Auskunftsrechts folgt die SPK-SR dem Bundesrat und lässt den Vorschlag des Nationalrates fallen, wonach ausschliesslich die Informationen mitzuteilen sind, welche die betroffene Person zur Geltendmachung ihrer Betroffenenrechte benötigt. Ebenfalls seien allfällige Bonitätsprüfungen offenzulegen. Analog der Einschränkungen bei der Informationspflicht soll auch beim Auskunftsrecht eine solche nur möglich sein, wenn keine Daten Dritten bekannt gegeben vorbehaltlich eines neu eingeführten Konzernprivilegs.
- Konzernprivileg: Eine Neuerung erfährt der Vorschlag der SPK-SR hinsichtlich eines Konzernprivilegs, welches in folgenden Situation zur Anwendung gelangen soll:
- Betroffenenrechte: Eine Einschränkung soll sowohl bei der Informationspflicht als auch beim Auskunftsrecht nur möglich sein, wenn Personendaten nicht Dritten bekannt gegeben werden. Davon sind allerdings Datenflüsse zwischen Unternehmen, die von derselben juristischen Person kontrolliert werden, ausgenommen, das heisst, in diesem Fall ist eine Einschränkung zulässig.
- Rechtfertigungsgründe: Ein überwiegendes privates Interesse im Zusammenhang mit Datenbearbeitungen zur Stärkung der Wettbewerbsposition soll nur dann als Rechtfertigungsgrund gelten, wenn die Daten nicht Dritten bekannt gegeben werden. Immerhin sind konzerninterne Datenflüsse davon ausgenommen, das heisst, in diesem Fall greift das überwiegende Interesse als Rechtfertigungsgrund.
- Verschärfungen bei Persönlichkeitsverletzungen und Rechtfertigungsgründen: Neu will die SPK-SR in jedem Fall, in welchem Personendaten Dritten bekanntgegeben werden, eine Persönlichkeitsverletzung annehmen, welche eines Rechtfertigungsgrundes bedarf. Systematisch darauffolgend bei den Rechtfertigungsgründen aufgeführt, soll eine Bekanntgabe an Dritte jedoch nur mit ausdrücklicher Genehmigung der betroffenen Person erfolgen. Sollte dieser Antrag in der kleinen Kammer tatsächlich eine Mehrheit finden, würde dies indirekt die Einführung des Erfordernisses einer Rechtsgrundlage für Bekanntgaben bedeuten, was einer massiven Verschärfung gleichkommen würde. Eine Bekanntgabe an Dritte ausserhalb des Konzerns wäre demnach nur noch möglich, wenn die betroffene Person ausdrücklich in eine Bekanntgabe eingewilligt hat.
- Verletzung von Sicherheitspflichten: Entgegen dem Antrag des Nationalrates und gemäss ursprünglichem Vorschlag des Bundesrates soll eine Verletzung der Mindestanforderungen an die Datensicherheit sanktioniert werden können.
Im Ergebnis scheinen vor allem die Einführung des faktischen Konzernprivilegs und die damit einhergehende massive Verschärfung in Bezug auf Datenbekanntgaben an Dritte als wesentliche Neuerung. Ob, und falls ja, inwiefern die kleine Kammer diesen Anträgen tatsächlich folgen wird, bleibt abzuwarten