Datenschutzgesetz

29.05.2018

Für die Wirtschaft ist von Bedeutung, dass der Zugang zum und der Verkehr mit den Ländern der EU auch aus Sicht des Datenschutzes hindernislos gewährleistet ist.

Botschaft zur Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz; Geschäft-Nr.: 17.059; Behandlung im Nationalrat am 12. Juni 2018

 

Ausgangslage

Für die Wirtschaft ist von Bedeutung, dass der Zugang zum und der Verkehr mit den Ländern der EU auch aus Sicht des Datenschutzes hindernislos gewährleistet ist. Gegenüber der EU DSG VO überschiessende Regelungen gilt es zu vermeiden. Sonst werden die Schweizer Unternehmen unnötig in ihrer Wettbewerbsfähigkeit zurückgebunden und der Forschungs- und Entwicklungsstandort Schweiz geschwächt.

Leider wurden in der Vernehmlassung zur Totalrevision des DSG einige zentrale Anliegen der Wirtschaft, insbesondere der wertschöpfungsstarken und hoch innovativen sowie international tätigen Life Sciences-Industrie, nicht aufgenommen.

 

Anliegen

Wir bitten Sie, geschätzte Nationalrätinnen und Nationalräte deshalb untenstehende Änderungen im Bundesgesetz über den Datenschutz vorzunehmen und dem Antrag des Bundesrates – bis auf diese Ausnahmen – zu folgen.

  1. Art. 16 ist ersatzlos zu streichen.
  2. Änderungen Art. 17, Abs. 1:
    Ergänzung erster Satz: „Der Verantwortliche informiert die betroffene Person über die Beschaffung besonders schützenwerter Personendaten."
    Der zweite Satz „diese Informationspflicht gilt auch..." ist zu streichen.
  3. Einführung eines neuen Absatzes bei Art. 20:
    „Von der Erstellung einer Datenschutz-Folgenabschätzung ausgenommen sind Verantwortliche, die in Unternehmen arbeiten, die eine der folgenden Voraussetzungen erfüllen:
    1. Das Unternehmen hat weniger als 250 Mitarbeitende.
    2. Das Unternehmen benennt freiwillig einen betrieblichen Datenschutzbeauftragen."
  4. Art. 27 Abs. 2 lit. e. Ziff. 1 ist ersatzlos zu streichen.
  5. Art. 54, 55, 56 und 57: Die darin aufgeführten Bussenobergrenzen von jeweils 250'000 Franken sind auf maximal 50'000 Franken zu beschränken.
  6. Im Humanforschungsgesetz, Art. 42 Abs. 2 ist der Begriff „Nichtgenetische" zu streichen.

Argumentation

Zu a)

  • Weder die EU DSG VO noch die Konvention 108 des EU-Rechts regeln die Bearbeitung von Daten Verstorbener.
  • Nach Art. 31 des Zivilgesetzbuchs (ZGB) endet die Persönlichkeit mit dem Tod. Unter dem geltenden Recht muss auch der Persönlichkeitsschutz mit dem Tod enden.
  • Geschäftsdaten müssen gemäss spezifischen gesetzlichen Regelungen dokumentiert und archiviert werden. Ein pauschales Löschungsrecht für die Daten verstorbener Personen steht diesen spezifischen Regelungen entgegen und kann somit nicht umgesetzt werden.
  • Erben sind durch die erbrechtliche Universalsukzession (Gesamtrechtnachfolge) bereits ausreichend legitimiert, interessenwahrende Massnahmen ihrer verstorbenen Angehörigen und damit auch deren Daten vorzunehmen. Dies muss ergo nicht in Art. 16 erneut niedergeschrieben sein.

Zu b)

  • Die Informationspflichten auf alle Personendaten bringen Mehraufwand und führen aufgrund der daraus fliessenden Sanktionsfolgen zu Problemen in der Umsetzung. Durch die immense Menge an Informationen wird die betroffene Person „überfahren". Weiter bergen die vorgebrachten Sanktionsmodelle die Gefahr, dass sich Mitarbeitende gegenseitig anzeigen, um nicht selbst ins Visier zu geraten. Dies führt zu Unruhen im Unternehmen und Reputationsschäden. Mittelfristig könnte es schwierig werden, qualifiziertes Personal zu finden, das bereit ist, die Verantwortung zu tragen.
  • Die Informationspflicht bei indirekter Datenbeschaffung geht zu weit und verunmöglicht in der Praxis die Beschaffung von Daten bei Dritten. Der Verantwortliche hat oft gar keine Kenntnis über Eckwerte (z. B. die erste Speicherung der Daten).

Zu c)

  • Komplexe Geschäftsvorgänge werden mit der „Datenschutz-Folgenabschätzung" unnötig verkompliziert und behindern die Wirtschaft. Die „Datenschutz-Folgenabschätzung" soll erst ab einer Betriebsgrösse von mindestens 250 Mitarbeitenden, mit entsprechend grösseren Ressourcen zur Pflicht werden.
  • Der betriebliche Datenschutzbeauftragte ist als Option für Unternehmen vorzusehen. Dies würde eine Flexibilisierung und v. a. für grössere Unternehmen Erleichterungen mit sich bringen, ohne dass KMU belastet würden. Eine Definition des betrieblichen Datenschutzbeauftragten ist vergleichbar mit derjenigen gemäss EU DSG VO Art. 35 ff zu erstellen.

Zu d)
Das Humanforschungsgesetz hat Vorrang. Die Aussagen zur Bestimmung von Art. 27 Abs. 2lit. E Ziff. 1 sind zu relativieren. Sie gelten aufgrund der Lex specialis-Regelung nicht undsind überflüssig. Zudem ist die Anonymisierung der Daten bereits in Art. 5, Abs. 4 geregelt.

Zu e)
Eine Bussenobergrenze von 250'000 Franken für Privatpersonen ist unverhältnismässig. Injedem Unternehmen beschäftigen sich Mitarbeitende mit Personendaten. Für ein KMUkönnen solch hohe Bussen rasch den Konkurs bedeuten. V.a. aber werden solche Beträge aufPersonen, die ein Unternehmen gründen wollen, abschreckend wirken. Ein einziger Fall, derauf Unerfahrenheit im Umgang mit Personendaten und dem DSG beruht, könnte denKonkurs bedeuten.

Zu f)
Genetische gesundheitsbezogene Personendaten sind nicht anders als nichtgenetische Datenzu behandeln. Die Schweiz hat die Chance, sich in der „Precision Medicine" – welche aufgenetischen Daten basiert – als führenden Standort zu positionieren. Diese Chance darf nichtmit einschränkenden Gesetzen vertan werden. Insbesondere multinational tätigeUnternehmen sind darauf angewiesen, diese Daten ohne einschränkenden Zusatzaufwandins Ausland bekannt gegeben zu können.

Factsheet Datenschutzgesetz

Newsletter