Gigantischer Regulierungsschub

05.05.2017

Im April ging die Vernehmlassung zum Entwurf des neuen Datenschutzgesetzes zu Ende. Wird es so umgesetzt, erwartet die KMU Wirtschaft einen wohl noch nie dagewesenen Regulierungsschub. Der Vernehmlassungsentwurf beinhaltet viele Informations- und Handlungspflichten für Firmen und ist gespickt mit SwissFinish Regulierungen, die im Vergleich zur europäischen Datenschutzgrundverordnung (EuDSGVO) und zur Konvention 108 des Europarates weit übers Ziel hinausschiessen.

 

Der Entwurf des Datenschutzgesetzes beinhaltet wesentlich erweiterte Auskunfts- und Informationspflichten. Der Gesetzesentwurf besagt: «Der verantwortliche Datenbearbeiter hat die betroffene Person über die Beschaffung von Personendaten zu informieren. Diese Informationspflicht gilt auch, wenn die Daten bei Dritten beschafft werden. Er teilt der betroffenen Person spätestens bei der Beschaffung diejenigen Informationen mit, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann, und eine transparente Datenbearbeitung gewährleistet ist, insbesondere die Identität und die Kontaktdaten des verantwortlichen Datenbearbeiters, die bearbeiteten Personendaten und den Zweck der Bearbeitung. Werden Personendaten Dritten bekanntgegeben, so teilt er der betroffenen Person die Empfänger mit. Werden die Personendaten nicht bei der betroffenen Person beschafft, so muss die betroffene Person spätestens bei der Speicherung der Daten informiert werden.»
Diese umfassende Informationspflicht kann zur Folge haben, dass die betroffenen Personen mit einer Flut von Informationen eingedeckt werden, die weder im Sinne des Datenschutzes noch der betroffenen Personen sind. Ein vernünftiger Ansatz wäre, dass ein Unternehmen statt einer Mitteilung bei jeder einzelnen Beschaffung eine Information auf ihrer Webseite publiziert, wie und wofür die Daten erhoben werden. Stattdessen wird die angedachte Regelung beim Daten bearbeitenden Unternehmen einen riesigen administrativen Aufwand auslösen.

 

Datenschutz Folgenabschätzung

Eine weitere Pflicht für das Unternehmen ist die Durchführung einer Datenschutz Folgenabschätzung. Führt die vorgesehene Datenbearbeitung «voraussichtlich zu einem erhöhten Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person», so muss vorgängig eine Datenschutz Folgenabschätzung durchgeführt werden. Sie umschreibt die geplante Bearbeitung, die Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen, die vorgesehen sind, um das Risiko einer Verletzung der Persönlichkeit oder der Grundrechte der betroffenen Person zu verringern. Das Ergebnis ist dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen (EDÖB) mitzuteilen, der mögliche Einwände innert drei Monaten anmelden muss. In der Praxis wird diese Formulierung verunsichern und infolge der drakonischen Strafsanktionen zu vielen Meldungen an den EDÖB führen. Ein «erhöhtes Risiko» ist schnell lokalisiert. Eine dreimonatige Wartefrist für eine Einwilligung durch den EDÖB ist für Unternehmen, die im Markt agieren, schlicht unhaltbar.    

 

Datenschutzverstösse sind zu melden

Eine «unbefugte Datenbearbeitung» oder der «Verlust von Daten» ist dem EDÖB «unverzüglich» zu melden. Der verantwortliche Datenbearbeiter informiert ausserdem die betroffene Person, wenn es zum Schutz der betroffenen Person erforderlich ist oder der EDÖB es verlangt. Von Amtes wegen oder auf Anzeige kann der EDÖB eine Untersuchung gegen eine private Person eröffnen, wenn Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte. Dies geht bis zu Hausdurchsuchungen. Die Forderung, dass jeder Datenschutzverstoss gemeldet werden soll, geht über die Anforderung der EuDSGVO hinaus. Die Strafsanktionen werden in der Praxis zur Folge haben, dass eine Kultur der Verunsicherung und Angst in den Unternehmen Einzug hält.

 

Überrissene Strafsanktionen

Die Totalrevision des DSG darf nicht in einer Kriminalisierung der Unternehmen bzw. verantwortlichen Privatpersonen enden. Genau in diese Richtung aber geht der Gesetzesentwurf, der auch ein kostenloses Klagerecht für alle betroffenen Personen vorsieht. Die vom Bundesrat beantragten Strafverschärfungen wie Bussen bis 500'000.- oder Freiheitsentzug bis 3 Jahre für Zuwiderhandlungen gegen das DSG schiessen weit übers Ziel eines vernünftigen Sanktionssystems hinaus. Die Folge davon wird sein, dass die verantwortlichen Mitarbeiter in einer Unternehmung Entscheide juristisch absichern und eher zu viel als zu wenig melden mit der Konsequenz, dass dem Unternehmen Mehrkosten entstehen und betroffene Personen und der EDÖB mit einer Flut von Informationen eingedeckt werden. Ob das im Sinne des Gesetzgebers ist, ist zu bezweifeln.

 

Interessen der Wirtschaft werden ignoriert

Der Revisionsentwurf des Bundesrates orientiert sich einseitig an den potentiellen Risiken für die

betroffenen Personen. Die Interessen der KMU Wirtschaft spielen keine Rolle. Zu weitgehende, nicht praktikable Bestimmungen finden nicht nur keine Akzeptanz, sie schwächen die Unternehmen einmal mehr. Kein Wunder, dass in der Botschaft des Bundesrates eine aussagekräftige Regulierungsfolgeabschätzung, wie sie gesetzlich vorgeschrieben ist, fehlt. Aufgrund des mangelhaften Befunds einer vom Bund in Auftrag gegebenen Studie können mit Blick auf die Regulierungsfolgeabschätzung keine seriösen Aussagen gemacht werden. Das vom Bundesrat im Erläuterungsbericht präsentierte Ergebnis, die zu erwartenden Regulierungskostenfolgen seien «unbedeutend», kann in einer derart wichtigen Angelegenheit nicht zum Massstab genommen werden. Der sgv lehnt die Gesetzesrevision ab.

 

Dieter Kläy, Ressortleiter