Datenschutzgesetz: SVV unterstützt Revision – Anpassungen nötig

Positionen30. Januar 2018

Mit der Revision des Datenschutzgesetzes will der Bundesrat den Datenschutz an das Internet-Zeitalter anpassen und die Stellung der Bürgerinnen und Bürger stärken. Parallel dazu gleicht er das Schweizer Recht an die Entwicklungen in der EU und im Europarat an. So stellt er sicher, dass die freie Datenübermittlung zwischen Schweizer Unternehmen und solchen in der EU weiterhin möglich bleibt. Die Botschaft des Bundesrates zum Datenschutzgesetz geht nun in die parlamentarische Beratung.

Anliegen der Versicherungswirtschaft wurden berücksichtigt

Der SVV begrüsst, dass verschiedene Anliegen der Versicherungsbranche – wie die Einführung einer Datenschutzberaterin oder eines Datenschutzberaters, die Beschränkung auf Vorsatzdelikte oder eine andere Regelung des Profilings – berücksichtigt wurden.

Ausufernde Informations- und Handlungspflichten

Damit die Unternehmen das neue Datenschutzgesetz in der Praxis sinnvoll anwenden können, sind Anpassungen nötig. Noch immer sind zu viele Informations- und Handlungspflichten für Unternehmen vorgesehen. Dazu gehören:

  • Wenn Unternehmen ihre Kundinnen und Kunden bei Datenlieferungen ins Ausland, über jeden Staat informieren müssen, in den diese Daten gehen, führt das zu einem enormen Verwaltungs- und Complianceaufwand ohne Mehrwert für die betroffenen Personen.
  • Eine obligatorische Datenschutz-Folgenabschätzung für alle Profilings ist nicht sachgerecht. Viele Profilings sind harmlos oder sogar im Interesse der betroffenen Personen (z.B. zur Betrugsprävention).

Weitere Korrekturen bei Strafbestimmungen nötig

Der SVV begrüsst, dass der Bundesrat auf Fahrlässigkeitsdelikte verzichtet. Bei den Strafbestimmungen sind jedoch weitere Korrekturen nötig:

  • Die Strafbarkeit sollte die Verantwortlichen (Unternehmen) und nicht die Arbeitnehmer als deren Hilfspersonen treffen. Die Strafbestimmungen sollten sich deshalb – im Gleichlauf mit den zivilrechtlichen Haftungsnormen (OR 55/101) – gegen die Unternehmen (Arbeitgeber) richten. Das unter Vorbehalt von kriminellen Machenschaften von Arbeitnehmerinnen und Arbeitnehmern (wie z.B. Datendiebstahl). Eine Bestrafung der Arbeitnehmer, wie es die Botschaft vorsieht, ist in Unternehmen mit mehreren Hierarchiestufen nicht praktikabel. Eine strafrechtliche Verantwortung der Arbeitnehmer hemmt zudem unternehmerisches Handeln. Das belastet die Standortattraktivität der Schweiz.
  • Wie bisher sollte die berufliche Schweigepflicht des Datenschutzgesetzes nur greifen, wenn geheime besonders schützenswerte Personendaten betroffen sind. Viele Personendaten werden ohnehin bereits durch besondere Geheimnisbestimmungen geschützt (z.B. Arztgeheimnis).

Übergangsfrist von mindestens zwei Jahren nötig

Unternehmen benötigen einen Zeitraum von mindestens zwei Jahren zwischen der Verabschiedung der Revision im Parlament und dem Inkrafttreten des neuen Gesetzes, um ihre Organisation anzupassen.

Fehlende Harmonisierung mit der Sozialversicherungsgesetzgebung

Im Unfallversicherungsgesetz UVG sind das Profiling und automatisierte Einzelentscheidungen zulässig. Diese Regelung ist – nicht zuletzt wegen der Nähe des BVG zum UVG und der damit verbundenen Koordination – auch für die berufliche Vorsorge vorzusehen.

Weiter ist im Zuge der Revision des Datenschutzgesetzes im UVG eine gesetzliche Grundlage für Case-Management-Massnahmen (d.h. die Wiedereingliederung von Verunfallten in den Arbeitsprozess) zu verankern.