Das am 25. September 2020 verabschiedete Datenschutzgesetz (DSG) soll durch eine engmaschige Verordnung (VDSG) ergänzt werden. Die Vernehmlassung hat gezeigt: In wesentlichen Punkten hat die Verordnung im Gesetz keine Grundlage. Beispiele dafür sind die Protokollierungspflicht, das Bearbeitungsreglement, die Informationspflicht sowie Aufbewahrungs- und Dokumentationspflichten.

Unrealistische Schutzziele, ...

Die Verordnung zum Datenschutzgesetz will Ziele erreichen, die nicht in der alleinigen Verantwortung jener Person liegen können, die in den Unternehmungen für den Datenschutz zuständig sind. Beispiel Transportkontrolle: Sie kann durch viele externe Faktoren gefährdet werden, für welche der einzelne oder die Verantwortlichen gar nicht einstehen können. Verantwortlichkeiten werden hier vollumfänglich auf den Betrieb abgewälzt, was nicht akzeptabel ist.

... bürokratische Protokollierungspflichten ...

Es ist weiter fraglich, wo die in der Verordnung vorgesehene Protokollierungspflicht – Protokolle sollen zwei Jahre lang aufbewahrt werden – ihre Grundlage im Gesetz hat. Klar ist einzig: Diese Pflicht steht in keinem Verhältnis zum Nutzen.

Und es geht noch bürokratischer: Unternehmen und andere privatrechtliche Organisationen, die am Anfang eines Jahres weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen, sowie natürliche Personen sind von der Pflicht befreit, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Es sei denn, eine der folgenden Voraussetzungen ist erfüllt: Es werden umfangreich besonders schützenswerte Personendaten bearbeitet, oder es wird ein Profiling mit hohem Risiko durchgeführt. Zu präzisieren ist: Die allfällige Pflicht eines KMU (unter den beiden genannten Voraussetzungen) erstreckt sich nicht auf sämtliche Bearbeitungen, sondern nur auf diejenigen, die in den Voraussetzungen explizit erwähnt sind. Hier braucht es eine klare Abgrenzung für die Ausnahmefälle: Was genau sind «umfangreich besonders schützenswerte Personendaten»? Werden hier keine messbaren Präzisierungen gemacht, so kann – und dürfte – das zu grossen Rechtsunsicherheiten führen.

... und exorbitante Gebühren

Und nun wirds auch noch teuer. Der eidgenössische Datenschutzbeauftragte (EDÖB) erledigt seine Tätigkeit im Interesse der Gesellschaft und Öffentlichkeit. Es gibt keinen nachvollziehbaren Grund, weshalb jemand, der Dienstleistungen von ihm benötigt, um sich datenschutzkonform zu verhalten, auch noch über die Gebühr zur Kasse gebeten werden sollte. Weder kann es sein, dass die Gebühren nach Zeitaufwand berechnet werden – die Privatperson hat keinen Einfluss auf die Effizienz der Leistungserbringung durch den Datenschützer – noch sind die Stundensätze von bis zu 350 Franken (!) angemessen. Die Gebührenordnung ist vollständig zu überdenken.

Mindestens zwei Jahre

Die Totalrevision des Datenschutzgesetzes bringt weitgehende Änderungen und hat neue, zusätzliche und umfangreiche Verpflichtungen für die Unternehmen zur Folge. Eine angemessene Umsetzungsfrist ist deshalb gefragt. Konkret bedeutet dies: Für die Umsetzungsarbeiten in den Unternehmen ist ein Zeitraum von mindestens einem Jahr notwendig.

Der Schweizerische Gewerbeverband sgv, aber auch viele seiner Mitglieder, haben den Entwurf der Verordnung zum Datenschutzgesetz aufgrund der erwähnten und noch zahlreicher weiterer Begründungen abgelehnt. Sollte der Bundesrat dennoch am Entwurf festhalten, so könnte – ja eigentlich müsste – das Parlament darin einen weiteren Grund sehen, endlich ein wirksames Verordnungsveto einzuführen. Wie das Beispiel zeigt, ist die Zeit dafür mehr als reif.

Dieter Kläy, Ressortleiter sgv