Die Staats­po­li­ti­sche Kom­mis­si­on des Stän­de­ra­tes (SPK-SR) hat die Bera­tung der Vor­la­ge für ein neu­es Daten­schutz­ge­setz abge­schlos­sen. Sie hat die Vor­la­ge in der Gesamt­ab­stim­mung ein­stim­mig ange­nom­men und an ihren Rat über­wie­sen, der sie somit in der Win­ter­ses­si­on (2. – 20. Dezem­ber 2019) bera­ten kann. Die ent­spre­chen­den Fah­nen zuhan­den des Stän­de­rats wur­den am 28. Novem­ber 2019 ver­öf­fent­licht.

Im Wesent­li­chen folg­te die SPK-SR den Anträ­gen des Natio­nal­ra­tes, in eini­gen Punk­ten wer­den jedoch Ver­schär­fun­gen bzw. Erleich­te­run­gen vor­ge­se­hen. Die SPK-SR hat sich für fol­gen­de Anpas­sun­gen aus­ge­spro­chen (Mehr­heits­an­trä­ge; Min­der­heits­an­trä­ge wer­den nicht berück­sich­tigt):

  • Pro­filing mit hohem Risi­ko: Die SPK-SR will die­sen Begriff expli­zit ins Gesetz auf­neh­men und ver­steht dar­un­ter ein Pro­filing, das ein hohes Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son mit sich bringt, nament­lich
    • bei der syste­ma­ti­schen Ver­knüp­fung gewis­ser Merk­ma­le einer Per­son, wel­che ver­schie­de­ne Lebens­be­rei­che einer natür­li­chen Per­son betref­fen; und
    • bei einer syste­ma­ti­schen und umfang­rei­chen Bear­bei­tung von Daten, um Rück­schlüs­se auf ver­schie­de­ne Lebens­be­rei­che einer Per­son zu zie­hen;
  • Ver­let­zung der Daten­si­cher­heit: Eine Ver­let­zung soll nur dann vor­lie­gen, wenn die­se dazu führt, dass Per­so­nen­da­ten unbe­ab­sich­tigt oder wider­recht­lich ver­lo­ren­ge­hen, gelöscht, ver­nich­tet oder ver­än­dert wer­den oder Unbe­fug­ten offen­ge­legt oder zugäng­lich gemacht wer­den. Der Bun­des­rat woll­te in jedem Fall, in wel­chem Per­so­nen­da­ten in der umschrie­be­nen Wei­se bear­bei­tet wer­den, eine Ver­let­zung sta­tu­ie­ren, das heisst, unge­ach­tet der Absicht oder der Wider­recht­lich­keit.
  • Ein­wil­li­gung: Eine Ein­wil­li­gung soll in Bezug auf ein Pro­filing nur bei einem sol­chen mit hohem Risi­ko aus­drück­lich zu erfol­gen haben. Gemäss Antrag wird bei einem Pro­filing ohne hohes Risi­ko, wel­ches durch eine pri­va­te Per­son vor­ge­nom­men wird, kei­ne Aus­drück­lich­keit ver­langt, bei ent­spre­chen­den Bear­bei­tun­gen durch Bun­des­or­ga­ne ist hin­ge­gen für jedes Pro­filing die Aus­drück­lich­keit ver­langt.
  • Infor­ma­ti­ons­pflicht: Der Min­dest­in­halt im Rah­men der Infor­ma­ti­ons­pflicht sei aus­zu­wei­ten und um eine Liste der Betrof­fe­nen­rech­te sowie die all­fäl­li­ge Absicht, Per­so­nen zur Boni­täts­prü­fung ver­wen­den zu wol­len, zu ergän­zen. Fer­ner soll ein unver­hält­nis­mä­ssi­ger Auf­wand kei­nen Aus­nah­me­tat­be­stand bzw. eine Ein­schrän­kung der Infor­ma­ti­ons­pflicht begrün­den. Zudem soll eine Ein­schrän­kung nur dann zuläs­sig sein, wenn über­wie­gen­de Inter­es­sen des Ver­ant­wort­li­chen eine sol­che Mass­nah­me erfor­dern und – kumu­la­tiv – die Per­so­nen­da­ten nicht Drit­ten bekannt­ge­ge­ben wer­den, vor­be­halt­lich eines neu ein­ge­führ­ten Kon­zern­pri­vi­legs.
  • Aus­kunfts­recht: In Bezug auf die Infor­ma­tio­nen im Rah­men des Aus­kunfts­rechts folgt die SPK-SR dem Bun­des­rat und lässt den Vor­schlag des Natio­nal­ra­tes fal­len, wonach aus­schliess­lich die Infor­ma­tio­nen mit­zu­tei­len sind, wel­che die betrof­fe­ne Per­son zur Gel­tend­ma­chung ihrer Betrof­fe­nen­rech­te benö­tigt. Eben­falls sei­en all­fäl­li­ge Boni­täts­prü­fun­gen offen­zu­le­gen. Ana­log der Ein­schrän­kun­gen bei der Infor­ma­ti­ons­pflicht soll auch beim Aus­kunfts­recht eine sol­che nur mög­lich sein, wenn kei­ne Daten Drit­ten bekannt gege­ben vor­be­halt­lich eines neu ein­ge­führ­ten Kon­zern­pri­vi­legs.
  • Kon­zern­pri­vi­leg: Eine Neue­rung erfährt der Vor­schlag der SPK-SR hin­sicht­lich eines Kon­zern­pri­vi­legs, wel­ches in fol­gen­den Situa­ti­on zur Anwen­dung gelan­gen soll:
    • Betrof­fe­nen­rech­te: Eine Ein­schrän­kung soll sowohl bei der Infor­ma­ti­ons­pflicht als auch beim Aus­kunfts­recht nur mög­lich sein, wenn Per­so­nen­da­ten nicht Drit­ten bekannt gege­ben wer­den. Davon sind aller­dings Daten­flüs­se zwi­schen Unter­neh­men, die von der­sel­ben juri­sti­schen Per­son kon­trol­liert wer­den, aus­ge­nom­men, das heisst, in die­sem Fall ist eine Ein­schrän­kung zuläs­sig.
    • Recht­fer­ti­gungs­grün­de: Ein über­wie­gen­des pri­va­tes Inter­es­se im Zusam­men­hang mit Daten­be­ar­bei­tun­gen zur Stär­kung der Wett­be­werbs­po­si­ti­on soll nur dann als Recht­fer­ti­gungs­grund gel­ten, wenn die Daten nicht Drit­ten bekannt gege­ben wer­den. Immer­hin sind kon­zern­in­ter­ne Daten­flüs­se davon aus­ge­nom­men, das heisst, in die­sem Fall greift das über­wie­gen­de Inter­es­se als Recht­fer­ti­gungs­grund.
  • Ver­schär­fun­gen bei Per­sön­lich­keits­ver­let­zun­gen und Recht­fer­ti­gungs­grün­den: Neu will die SPK-SR in jedem Fall, in wel­chem Per­so­nen­da­ten Drit­ten bekannt­ge­ge­ben wer­den, eine Per­sön­lich­keits­ver­let­zung anneh­men, wel­che eines Recht­fer­ti­gungs­grun­des bedarf. Syste­ma­tisch dar­auf­fol­gend bei den Recht­fer­ti­gungs­grün­den auf­ge­führt, soll eine Bekannt­ga­be an Drit­te jedoch nur mit aus­drück­li­cher Geneh­mi­gung der betrof­fe­nen Per­son erfol­gen. Soll­te die­ser Antrag in der klei­nen Kam­mer tat­säch­lich eine Mehr­heit fin­den, wür­de dies indi­rekt die Ein­füh­rung des Erfor­der­nis­ses einer Rechts­grund­la­ge für Bekannt­ga­ben bedeu­ten, was einer mas­si­ven Ver­schär­fung gleich­kom­men wür­de. Eine Bekannt­ga­be an Drit­te ausser­halb des Kon­zerns wäre dem­nach nur noch mög­lich, wenn die betrof­fe­ne Per­son aus­drück­lich in eine Bekannt­ga­be ein­ge­wil­ligt hat.
  • Ver­let­zung von Sicher­heits­pflich­ten: Ent­ge­gen dem Antrag des Natio­nal­ra­tes und gemäss ursprüng­li­chem Vor­schlag des Bun­des­ra­tes soll eine Ver­let­zung der Min­dest­an­for­de­run­gen an die Daten­si­cher­heit sank­tio­niert wer­den kön­nen.

Im Ergeb­nis schei­nen vor allem die Ein­füh­rung des fak­ti­schen Kon­zern­pri­vi­legs und die damit ein­her­ge­hen­de mas­si­ve Ver­schär­fung in Bezug auf Daten­be­kannt­ga­ben an Drit­te als wesent­li­che Neue­rung. Ob, und falls ja, inwie­fern die klei­ne Kam­mer die­sen Anträ­gen tat­säch­lich fol­gen wird, bleibt abzu­war­ten

Posted by Noemi Ziegler