Der Bundesrat schwächt das geplante Datenschutzgesetz in wesentlichen Punkten ab. Nach Kritik in der Vernehmlassung kommt er vor allem der Wirtschaft entgegen. Er setzt auf mehr Selbstregulierung und will schwächere Sanktionen.

Das heutige Datenschutzgesetz stammt aus dem Jahr 1993, als das Internet noch in den Kinderschuhen steckte. Eine Totalrevision soll nun die technologischen und gesellschaftlichen Entwicklungen berücksichtigen. Der Digitalisierung inklusive Big Data und den damit verbundenen Cyberrisiken sollen vermehrt Rechnung getragen werden.

Der Bundesrat will das Datenschutzgesetz deshalb erstmals komplett überarbeiten. Die Daten der Bürgerinnen und Bürger würden besser geschützt, und die Kontrollmöglichkeiten über die Daten würden verbessert, sagte Justizministerin Simonetta Sommaruga am Freitag vor den Bundeshausmedien.

Mit der Revision möchte der Bundesrat das Datenschutzgesetz auch ans europäische Recht anpassen. Das sei Voraussetzung dafür, dass die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkenne, betonte Sommaruga. Andernfalls könnten Schweizer Unternehmen und jene in der EU keine Daten mehr austauschen.

Am Freitag hat der Bundesrat die Botschaft dazu verabschiedet. Nach Widerstand aus Wirtschaftskreisen und von bürgerlichen Parteien schwächte er den Gesetzesentwurf in mehreren Punkten ab. Die Kritiker hatten vor einem "Bürokratiemonster" mit unverhältnismässigem Aufwand gewarnt.

Die Gesetzesänderung orientiere sich stark an den Bedürfnissen der Wirtschaft, räumte Sommaruga ein. Es sei ein Versuch, der Wirtschaft entgegenzukommen. Die Anpassungen gingen nicht weiter als es das europäische Recht vorschreibe. Auf einen Swiss Finish habe der Bundesrat bewusst verzichtet.

Nicht berücksichtigt hat er dagegen Forderungen der schweizerischen Datenschutzbeauftragten (privatim) und Konsumentenschützer, denen die Reform zu wenig weit geht. Sie verlangten vom Bundesrat eine vollständige Angleichung an den EU-Standard im Bereich Datenschutz.

Die gewichtigste Änderung gegenüber dem Vorentwurf betrifft die Strafbestimmungen. Der Bundesrat hatte vorgeschlagen, den Höchstbetrag der Bussen von heute 10'000 auf 500'000 Franken zu erhöhen. Diesen will er nun auf 250'000 Franken begrenzen. Zum Vergleich: Im EU-Recht sind Bussen von bis 10 Millionen Euro vorgesehen, im Fall von Unternehmen sogar bis zu 20 Millionen Euro.

Gekürzt hat der Bundesrat auch den Katalog strafbarer Verhaltensweisen. Die Verletzung der beruflichen Schweigepflicht soll nur noch als Übertretung gelten und nicht mit einer Freiheitsstrafe geahndet werden können. Gar nicht mehr bestraft werden soll fahrlässiges Handeln. Im Katalog nicht mehr erfasst wird zudem die Bekanntgabe von Daten, die zu kommerziellen Zwecken bearbeitet wurden.

Festhalten will der Bundesrat dagegen an den neuen Kompetenzen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten. Dessen Unabhängigkeit und Position soll mit der Revision gestärkt werden. Vorgesehen ist, dass der Datenschützer - wie seine europäischen Amtskollegen - von Amtes wegen oder auf Anzeige hin eine Untersuchung gegenüber den Verantwortlichen und Auftragsbearbeitern eröffnen kann.

Bei deren Abschluss soll er eine verbindliche Verfügung wie die Sistierung und Unterlassung einer Datenbearbeitung oder die Löschung von Daten anordnen können. Nach dem Willen des Bundesrates soll er jedoch auch in Zukunft keine Verwaltungssanktionen aussprechen dürfen. Dies bleibt den Gerichten vorbehalten.

Neu müssen Unternehmen, die Daten erheben, die betroffene Person über die Erhebung von jeglicher Art von Daten informieren. Die betroffene Person hat bereits heute den Anspruch, dass die über sie bearbeiteten Daten korrekt sind. Andernfalls kann sie die Berichtigung verlangen.

Werden die Daten widerrechtlich bearbeitet, kann die Person auch auf deren Löschung pochen. Im neuen Gesetz ist ausdrücklich das Recht auf Löschung von Daten festgehalten, während dies im aktuellen Gesetz nur implizit erwähnt ist. Allerdings gilt das Recht nicht absolut. Ausgenommen sind etwa Bestände öffentlicher zugänglicher Bibliotheken und Bildungseinrichtungen.

Die Revision will auch die Selbstregulierung bei den Verantwortlichen fördern, indem Unternehmen einen branchenspezifischen Verhaltenskodex erarbeiten. Zusätzlich müssen sie bereits im Planungsstadium eines Projektes die Vorgaben des Datenschutzes berücksichtigen. (sda/hjm)