privatim, die Vereinigung der schweizerischen Datenschutzbeauftragten, hat heute eine Zusammenfassung ihrer Stellungnahme zum Vorentwurf des DSG veröffentlicht. Die Vernehmlassung zum Vorentwurf läuft noch bis am 4. April 2017.
Die Stellungnahme von privatim konzentriert sich naturgemäss auf die Regelungen zur Datenbearbeitung durch öffentliche Stellen. Aus Sicht privater Bearbeiter sind folgende Punkte aber bemerkenswert:
Datenschutz-Folgenabschätzung
- Eine Datenschutz-Folgenabschätzung (DSFA) müsse vor jeder Bearbeitung erfolgen, weil das “erhöhte Risiko” erst durch die DSFA festgestellt werden könne. Das ist logisch durchaus nachvollziehbar, verlangt aber eine Unterscheidung:
- In einem ersten Schritt muss sich ein Verantwortlicher (und nur der V. sollte eine Pflicht zur DSFA haben, nicht auch der Auftragsbearbeiter!) fragen, ob voraussichtlich ein erhöhtes Risiko vorliegt (richtig wäre: ein “hohes” Risiko). Dieser erste Schritt ist schon zur Gewährleistung der Datensicherheit erforderlich, kann aber formfrei erfolgen und ist nicht Teil einer eigentlichen DSFA.
- Eine eigentliche DSFA, die wohl Gegenstand der Dokumentationspflicht nach Art. 19 lit. a VE sein wird, sollte aber nur dann erforderlich sein, wenn eine erste, formfreie Prüfung ergeben hat, dass ein ausreichendes Risiko (das “hoch”, nicht nur “erhöht” sein sollte) vorliegt. Immer eine solche DSFA zu verlangen, wäre nicht nur unpraktikabel, sondern ginge auch weit über Art. 35 Abs. 1 DSGVO hinaus.
- Es wird klargestellt, dass der Schutz der Grundrechte, den Art. 16 Abs. 1 VE-DSG als Schutzziel festschreibt, aus der Sicht der kantonalen Datenschutzbeauftragten (wie schon nach heutigem Recht) nur für öffentliche Stellen gilt. Private müssen demzufolge nur die Persönlichkeit betroffener Personen wahren.
- Die Vorabkontrolle (d.h. die Konsultation des EDÖB) sei unzureichend. Zumindest bei Bundesorganen müsse die DSFA (inkl. geplanter Massnahmen) zwingend dem EDÖB vorgelegt werden. Zu begrüssen wäre jedenfalls, dass die DSFA dem EDÖB nur dann zu melden ist, wenn sie ergibt, dass trotz der getroffenen oder geplanten Massnahmen voraussichtlich ein hohes Risiko verbleibt. Andernfalls gibt es für den EDÖB nichts zu prüfen. Die DSGVO folgt ebenfalls diesem Ansatz (Art. 36 Abs. 1).
Privacy by Design / by Default
Hier stellen die kantonalen Datenschutzbeauftragten die sehr berechtigte Frage, ob die in Art. 18 Abs. 1 VE (Privacy by Design) angedeuteten Pflichten nicht bereits nach Art. 11 VE (Datensicherheit) bestehen. Bei Art. 18 Abs. 2 VE (Privacy by Default) stellt privatim die analoge Frage mit Bezug auf den Verhältnismässigkeitsgrundsatz.In der Tat ist nicht ersichtlich, dass bzw. inwiefern Art. 18 VE mehr verlangt als Art. 4 und 11 VE.
privatim bezweifelt ferner die Angemessenheit der für eine Verletzung von Art. 18 VE vorgesehenen Strafdrohung, wohl mit Blick auf das verfassungsmässige Bestimmtheitsgebot, dem eine solche Sanktionsdrohung tatsächlich kaum standhalten könnte, jedenfalls nicht ohne eine starke Einschränkung durch die Gerichte bei der Rechtsanwendung (dass die notwendige Bestimmtheit einer Norm nicht nur durch den Gesetzgeber, sondern auch durch die Gerichte herbeigeführt werden kann, mag erstaunen, ist aber anerkannt).
Datenportabilität und Recht auf Löschung
privatim empfieht, das Recht auf Datenübertragbarkeit (Datenportabilität) nach dem Vorbild der DSGVO (Art. 20 DSGVO; vgl. dazu das Arbeitspapier der Art.-29-Datenschutzgruppe) in das Gesetz aufzunehmen, allerdings ohne auf Inhalt und Natur dieses Rechts näher einzugehen. Letzteres ist insofern schade, als dieses Recht im europäischen Gesetzgebungsverfahren stark umstritten war. Das europäische Parlament hatte es aus seiner Entwurfsfassung sogar gestrichen. Die Kritik geht zum einen darauf zurück, dass ein Anspruch auf Datenübertragbarkeit nicht datenschutzrechtlicher, sondern eher immaterialgüter- und v.a. kartellrechtlicher Natur ist. Zum anderen wird befürchtet, dass die für die Übertragung erforderliche Datenstrukturierung zu neuen Sicherheitsrisiken führt und insofern sogar kontraproduktiv ist. Auch ergeben sich Abgrenzungsfragen zwischen “provided data”, die dem Verantwortlichen übergeben wurden und die Gegenstand der Portabilität sind, und “derived data”, wie vom Verantwortlichen generiert wurden und die vom Anspruch auf Portabilität ausgenommen sind.
privatim empfiehlt ferner, ebenfalls nach dem Vorbild der DSGVO (Art. 17) auch ein Recht auf Datenlöschung festzuschreiben. Ein solches Recht ergibt sich allerdings schon aus Art. 23 Abs. 2 lit. b des Vorentwurfs, wonach die Bearbeitung entgegen der Willenserklärung der betroffenen Person widerrechtlich ist. Dass Rechtfertigungsmöglichkeiten bleiben, ändert daran nichts; ein Recht auf Löschung kann ohnehin nicht unbedingt sein, und ist es auch nach Art. 17 DSGVO nicht.
Prozessuale Fragen
privatim begrüsst ferner die vorgeschlagene Kostenbefreiung von datenschutzrechtlichen Verfahren. Erforderlich sei aber zudem eine Beweislastumkehr, weil es betroffenen Personen in vielen Fällen gar nicht möglich sei, den Beweis für unbefugtes Bearbeiten zu erbringen. Letzteres mag zwar zutreffen. Man muss sich aber fragen, ob eine Beweislastumkehr verbunden mit der Kostenlosigkeit des Verfahrens nicht zu Missbräuchen geradezu einlädt. Bestehen keine Anhaltspunkte für Datenschutzverletzungen, braucht es auch keinen Anreiz für Verfahren. Bestehen aber Anhaltspunkte, dann müssten die prozessualen Mitwirkungspflichten des Bearbeiters (Art. 160 ff. ZPO) eigentlich genügen. EIen Vewrletzung der Mitwirkungspflicht kann einer Umkehr der Beweislast in der Praxis nahekommen (vgl. Art. 164 und 167 ZPO). Es wäre höchstens zu prüfen, ob eine fakultative Beweislastumkehr im Einzelfall nach dem Vorbild von Art. 13a Abs. 1 UWG gerechtfertigt sein kann (wobei dort die Ausgangslage eine andere ist).
Sanktionen
Zu begrüssen ist die Stellungnahme von privatim zu den geplanten Sanktionen. Es sei falsch, “Vollzusdefizite auf das Strafrecht abzuwälzen”:
Mit den neuen Bestimmungen tritt der Strafrichter in Konkurrenz zur Datenschutzaufsichtsbehörde, was weder institutionell noch sachlich sinnvoll ist. Zahlreichen der neuen Strafbestimmungen fehlt die Bestimmtheit, so dass sie dem Grundsatz «Nulla poena sine lege» widersprechen. Zudem werden mit den umschriebenen Strafbestimmungen die Vorgaben gemäss Richtlinie (EU) 2016/680 und Art. 12bis Abs. 2 lit.c E‑SEV 108 nicht vollständig umgesetzt. Die EU sowie der Europarat verlangen ausdrücklich auch Verwaltungssanktionen, die der Beauftragte verhängen kann.
Der EDÖB müsse vielmehr administrative Sanktionen verhängen können, auch wenn das einen Ausbau der Ressourcen des EDÖB verlangt. Die Organisation des EDÖB sei ggf. nach jener der Weko anzupassen.
Weitere Bestimmungen
Die Stellungnahme von privatim geht auf weitere Punkte ein, u.a. die folgenden:
- Anwendungsbereich: Das DSG soll während laufender Verfahren nicht auf die Parteien anwendbar sein – das ist heute schon so und sicher richtig; andernfalls wird das Auskunftsrecht noch mehr als Ersatz für die vorsorgliche Beweisführung nach Art. 158 ZPO.
- Besondere Personendaten: “Rasse” sei zu streichen. “Biometrische” Daten sei dagegen zu weit gefasst – ein Foto bspw. solle nicht erfasst werden. privatim schlägt eine alternative Definition vor.
- Profiling: Die Definition des “Profilings” wird nicht kritisiert (auch nicht den Einbezug der nicht-automatisierten Profilierung mit Sachdaten) – im Gegenteil: “Allerdings ist es völlig ungenügend, wenn dann im bereichsspezifischen Datenschutzrecht (in den anzupassenden Bundesgesetzen) mit Blankettermächtigungen das Profiling quasi «durchgewinkt» wird. Verlangt ist, dass klare und strenge Rahmenbedingungen für das Profiling in den Bundesgesetzen konkretisiert werden”.
- Einwilligung: Das Erfordernis der “Eindeutigkeit” wird begrüsst. Was “ausdrücklich” bedeutet, sei aber in der Botschaft zu klären.
- Empfehlungen der guten Praxis: Dieses Institut, das in Wirtschaftskreisen eher begrüsst wird, sofern es wirklich die interessierten Kreise sind, die solche Empfehlungen ausarbeiten, wird kritisch beurteilt. U.a. komme in Art. 9 VE zu wenig zum Ausdruck, “dass es sich bei der Einhaltung der Empfehlungen der guten Praxis lediglich um eine gesetzliche Vermutung der Einhaltung der Datenschutzvorschriften handelt”.
- Datensicherheit: Es seien Datenschutzziele zu definieren.
- Daten einer verstorbenen Person: Die Regelung von Art. 12 VE wird im Grundsatz begrüsst, im Einzelnen aber kritisch beurteilt. U.a. sei die Ausschaltung der Amts- und Berufsgeheimnisse “äusserst problematisch”.
- Automatisierte Einzelfallentscheidungen: Für den privaten Bereich wird der vorgeschlagene Art. 15 VE begrüsst.
- “Breach notification”: Hier wird verlangt, die Datenschutzverletzung, die eine Pflicht zur Mitteilung auslöst, zu definieren. Vorgeschlagen wird folgende Definition:
Eine Datenschutzverletzung liegt vor, wenn die Sicherheit so verletzt wird, dass bearbeitete Personendaten unwiederbringlich vernichtet werden oder verloren gehen, unbeabsichtigt oder unrechtmässig verändert oder offenbart werden oder dass Unbefugte Zugang zu solchen Personendaten erhalten.»
Diese Beschränkung auf qualifizierte Verletzungen der Datensicherheit ist zu begrüssen. Eine Meldepflicht auch bei anderen unbefugten Bearbeitungen wie bspw. einer zu späten Löschung wäre nicht nur unpraktikabel, sondern auch verfassungsrechtlich zweifelhaft (“nemo tenetur”). Auch die DSGVO beschränkt die Meldepflicht auf Sicherheitsverletzungen (Art. 34 Abs. 1 i.V.m. Art. 4 Nr. 12 DSGVO).
- Dokumentationspflicht: Im Anschluss an das Anliegen der Beweislastumkehr verlangt privatim, die Dokumentationspflicht betreffe die Einhaltung des Datenschutzes insgesamt. Das dürfte allerdings unmöglich sein. Auch ein zertifiziertes Datenschutzmanagementsystem kann weder die Einhaltung des Datenschutzes noch eine entsprechende Dokumentation sicherstellen. Es sollten nur definier- und messbare Parameter dokumentationspflichtig sein.