Nach einer dreijährigen Debatte ist die Modernisierung des Datenschutzgesetzes praktisch am Ziel. Der Nationalrat hat den höheren Hürden beim automatisierten Auswerten von Personendaten im letzten Moment zugestimmt. Ein Totalabsturz wurde so abgewendet.
Im November 2019 hatte
der Ständerat den Schutz persönlicher Daten verstärkt und insbesondere die Regeln für sogenanntes Profiling verschärft. Nun stimmte der Nationalrat Ja zum Kompromissvorschlag des Ständerats, wonach zwischen normalem Profiling und Profiling "mit hohem Risiko" unterschieden wird. Für Letzteres ist eine ausdrückliche Einwilligung der Betroffenen nötig.
Die Linken machten seit Beginn der Verhandlungen klar, dass sie am Schluss nur einem Gesetz zustimmen würden, das erstens mit der Datenschutzgrundverordnung der EU kompatibel sei und zweitens das heute geltende Schutzniveau in der Schweiz nicht unterschreite. Das ist mit der nun gefundenen Formulierung der Fall.
Wenn Firmen Daten von Personen sammeln, müssen sie sich dann an verschärfte Vorschriften halten, wenn mit der Datenverknüpfung wesentliche Aspekte der Betroffenen beurteilt werden können. Das heisst, wenn Daten verschiedener Herkunft systematisch verknüpft werden oder wenn sie Rückschlüsse auf unterschiedliche Lebensbereiche zulassen.
Bussen bis zu 250'000 Franken
Das neue Datenschutzgesetz will auch der Digitalisierung und Big Data vermehrt Rechnung tragen. Die Räte wollen etwa den Austausch von Daten innerhalb eines Grosskonzerns erleichtern. Die Unternehmen sollen bei der internen Datenweitergabe weniger strenge Regeln beachten müssen. Beim Passus handelt es sich um das sogenannte Konzernprivileg. Gleichzeitig soll die vorsätzliche Nichteinhaltung der Anforderungen an die Datensicherheit bestraft werden.
In Bezug auf die Höhe der Bussen hat das Parlament beschlossen, den vom Bundesrat vorgeschlagenen Höchstbetrag von 250'000 Franken beizubehalten, da es diesen für verhältnismässig und ausreichend abschreckend hält. Im EU-Recht sind Bussen von 10 Millionen Euro vorgesehen, im Fall von Unternehmen sogar bis zu 20 Millionen Euro.
Mehr Kompetenzen für Datenschützer
Ergänzt hat das Parlament die Vorlage mit einem Recht auf Datenportabilität. Dieses sieht vor, dass jede Person von einem Dienstleister verlangen kann, die sie betreffenden Personendaten in einem gängigen Format an sie herauszugeben, um diese Daten einem anderen Dienstleister übergeben zu können.
Weiter soll die Position des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten gestärkt werden. Künftig wird er – wie seine europäischen Amtskollegen – von Amtes wegen oder auf Anzeige hin eine Untersuchung gegenüber den Verantwortlichen und Auftragsbearbeitern eröffnen können. Bei deren Abschluss soll er eine verbindliche Verfügung wie die Sistierung und Unterlassung einer Datenbearbeitung oder die Löschung von Daten anordnen können.
EU-Entscheid zur Kompatibilität soll bald fallen
Die Schweiz hat mit dem nun verabschiedeten Gesetz gute Aussichten, dass sie weiterhin zum europäischen Datenraum zählen wird und der gegenseitige Datenverkehr ohne administrativen Mehraufwand fliessen kann. Die EU-Kommission wird voraussichtlich in den kommenden Monaten über die Kompatibilität des Schweizer Rechts mit dem EU-Recht entscheiden. Mit diesem Entscheid steht
auch einiges für die hiesige ICT-Wirtschaft auf dem Spiel.