Datenschutz

Nationalrat stimmt Profiling-Regeln in letzter Minute doch noch zu

24. September 2020, 08:51 Uhr
Das geltende Schweizer Datenschutzgesetz ist überholt. Nach dreijähriger Debatte hat das Parlament nun einer umfassenden Modernisierung zugestimmt. (Themenbild)
© KEYSTONE/GAETAN BALLY
Nach einer dreijährigen Debatte ist die Modernisierung des Datenschutzgesetzes praktisch am Ziel. Der Nationalrat hat am Donnerstag den höheren Hürden beim automatisierten Auswerten von Personendaten im letzten Moment zugestimmt. Ein Totalabsturz wurde so abgewendet.

In den drei Beratungsrunden wehrte sich eine bürgerliche Mehrheit in der grossen Kammer jeweils stark gegen strengere Regeln beim Profiling, mit welchem durch Verknüpfen von verschiedenen Daten Verhaltensmuster und Persönlichkeitsprofile erstellt werden können. Ein Beispiel sind Onlineshops, die das Surfverhalten von Nutzern und Nutzerinnen analysieren und diesen dann Kaufempfehlungen unterbreiten.

Der Wirtschaft sollten bezüglich Profiling keine engen Schranken gesetzt werden, argumentierten SVP, FDP und ein grosser Teil der Mitte-Fraktion. Befürchtet wurde ein «Swiss finish», der negative Folgen für die Schweizer Wirtschaft haben könnte. Vertreterinnen und Vertreter der SP, Grünen und GLP warnten lange Zeit vergeblich, dass eine solche Regelung die Nutzerinnen und Nutzer eben gerade nicht vor dem Missbrauch ihrer Daten schützen würde.

Die Fronten waren verhärtet. Die Einigungskonferenz musste sich mit der Vorlage befassen. Nun ist die FDP- und die Mitte-Fraktion auf ihren Entscheid zurückgekommen. Selbst einzelne SVP-Vertreter stimmten Ja zum Kompromissvorschlag des Ständerats, wonach zwischen normalem Profiling und Profiling «mit hohem Risiko» unterschieden wird. Für Letzteres ist eine ausdrückliche Einwilligung der Betroffenen nötig.

Mit EU-Recht kompatibel

Hauptgrund für den Sinneswandel war der drohende Absturz des Datenschutzgesetzes bei der Schlussabstimmung. SP und Grüne drohten, mit der SVP - die grundsätzlich nichts mit dem modernisierten Datenschutzgesetz anfangen kann - eine Nein-Allianz einzugehen und die Vorlage im letzten Moment bachab zu schicken.

Die Linken machten seit Beginn der Verhandlungen klar, dass sie am Schluss nur einem Gesetz zustimmen würden, das erstens mit der Datenschutzgrundverordnung der EU kompatibel sei und zweitens das heute geltende Schutzniveau in der Schweiz nicht unterschreite. Das ist mit der nun gefundenen Formulierung der Fall.

Wenn Firmen Daten von Personen sammeln, müssen sie sich dann an verschärfte Vorschriften halten, wenn mit der Datenverknüpfung wesentliche Aspekte der Betroffenen beurteilt werden können. Oder anders gesagt: wenn Daten verschiedener Herkunft systematisch verknüpft werden oder Rückschlüsse auf unterschiedliche Lebensbereiche zulassen.

Überholtes Gesetz

Neben dem Profiling gaben weitere Pfeiler des neuen Datenschutzgesetzes im Verlauf der Ratsdebatten zu reden. Die Fahne der Totalrevision des Datenschutzgesetzes sowie der Änderung weiterer Erlasse zum Datenschutz umfasste zu Beginn 258 Seiten. Hauptziel der Vorlage des Bundesrats ist es, die 28 Jahre alten Regeln zum Datenschutz einem Update zu unterziehen und jenen der EU anzugleichen.

Im Grundsatz ist sich die Politik einig, dass es gewisse Anpassungen braucht. Kommissionssprecher Matthias Jauslin (FDP/AG) brachte es am Schluss der Debatte auf den Punkt: «Die Schweiz braucht dringend ein neues Datenschutzgesetz.» Der Datenaustausch sei heute so vielfältig, dass die Regelung aus dem Jahr 1992 nicht mehr standhalte.

Bussen bis zu 250'000 Franken

Der Digitalisierung inklusive Big Data soll vermehrt Rechnung getragen werden. Die Räte wollen etwa den Austausch von Daten innerhalb eines Grosskonzerns erleichtern. Die Unternehmen sollen bei der internen Datenweitergabe weniger strenge Regeln beachten müssen. Beim Passus handelt es sich um das sogenannte Konzernprivileg. Gleichzeitig soll die vorsätzliche Nichteinhaltung der Anforderungen an die Datensicherheit bestraft werden.

In Bezug auf die Höhe der Bussen hat das Parlament beschlossen, den vom Bundesrat vorgeschlagenen Höchstbetrag von 250'000 Franken beizubehalten, da es diesen für verhältnismässig und ausreichend abschreckend hält. Im EU-Recht sind Bussen von 10 Millionen Euro vorgesehen, im Fall von Unternehmen sogar bis zu 20 Millionen Euro.

Mehr Kompetenzen für Datenschützer

Ergänzt hat das Parlament die Vorlage mit einem Recht auf Datenportabilität. Dieses sieht vor, dass jede Person von einem Dienstleister verlangen kann, die sie betreffenden Personendaten in einem gängigen Format an sie herauszugeben, um diese Daten einem anderen Dienstleister übergeben zu können.

Weiter soll die Position des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten gestärkt werden. Künftig wird er - wie seine europäischen Amtskollegen - von Amtes wegen oder auf Anzeige hin eine Untersuchung gegenüber den Verantwortlichen und Auftragsbearbeitern eröffnen können.

Bei deren Abschluss soll er eine verbindliche Verfügung wie die Sistierung und Unterlassung einer Datenbearbeitung oder die Löschung von Daten anordnen können. Nach dem Willen des Parlaments soll er jedoch auch in Zukunft keine Verwaltungssanktionen aussprechen dürfen. Dies bleibt den Gerichten vorbehalten.

EU-Prüfung steht aus

Die Schweiz hat nun gute Aussichten, dass sie weiterhin zum europäischen Datenraum zählen wird und der gegenseitige Datenverkehr ohne administrativen Mehraufwand fliessen kann. Die EU-Kommission wird voraussichtlich in den kommenden Monaten über die Kompatibilität des Schweizer Rechts mit dem EU-Recht entscheiden.

Die SVP ging während der gesamten Beratungen im Parlament in die Fundamentalopposition. Das neue Datenschutzgesetz sei ein Papiertiger und komme - wieder einmal - nur wegen des Drucks vonseiten der EU aufs Tapet. «Wir haben langsam genug davon, jeden Unsinn zu übernehmen», sagte Gregor Rutz (SVP/ZH).

Quelle: sda
veröffentlicht: 24. September 2020 08:20
aktualisiert: 24. September 2020 08:51