Im April ging die Vernehmlassung zum Entwurf des neuen Datenschutzgesetzes zu Ende. Wird es so umgesetzt, erwartet die KMU-Wirtschaft ein wohl noch nie dagewesener Regulierungsschub. Der Vernehmlassungsentwurf beinhaltet viele Informations- und Handlungspflichten für Firmen und ist gespickt mit SwissFinish-Regulierungen, die im Vergleich zur europäischen Datenschutzgrundverordnung (EuDSGVO) und zur Konvention 108 des Europarates weit übers Ziel hinaus­schiessen.

Flut von Informationen

Der Entwurf des Datenschutzgesetzes beinhaltet wesentlich erweiterte Auskunfts- und Informationspflichten. Der Gesetzesentwurf besagt: «Der verantwortliche Datenbearbeiter hat die betroffene Person über die Beschaffung von Personendaten zu informieren. Diese Informationspflicht gilt auch, wenn die Daten bei Dritten beschafft werden. Er teilt der betroffenen Person spätestens bei der Beschaffung diejenigen Informationen mit, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann, und eine transparente Datenbearbeitung gewährleistet ist, insbesondere die Identität und die Kontaktdaten des verant­wort­lichen Datenbearbeiters, die bearbeiteten Personendaten und den Zweck der Bearbeitung. Werden Personendaten Dritten bekanntgegeben, so teilt er der betroffenen Person die Empfänger mit. Werden die Personendaten nicht bei der betroffenen Person beschafft, so muss die betroffene Person spätestens bei der Speicherung der Daten informiert werden.»

Diese umfassende Informationspflicht kann zur Folge haben, dass die betroffenen Personen mit einer Flut von Informationen eingedeckt werden, die weder im Sinne des Datenschutzes noch der betroffenen Personen sind. Ein vernünftiger Ansatz wäre, dass ein Unternehmen statt einer Mitteilung bei jeder einzelnen Beschaffung eine Information auf ihrer Webseite publiziert, wie und wofür die Daten erhoben werden. Stattdessen wird die angedachte Regelung beim Daten bearbeitenden Unternehmen einen riesigen administrativen Aufwand auslösen.

Datenschutz-Folgenabschätzung

Eine weitere Pflicht für das Unternehmen ist die Durchführung einer Datenschutz-Folgenabschätzung. Führt die vorgesehene Datenbearbeitung «voraussichtlich zu einem erhöhten Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person», so muss vorgängig eine 
Datenschutz-Folgenabschätzung durchgeführt werden. Sie umschreibt die geplante Bearbeitung, die Risiken für die Persönlichkeit oder die 
Grundrechte der betroffenen Person sowie die Massnahmen, die vorge­sehen sind, um das Risiko einer Verletzung der Persönlichkeit oder der Grundrechte der betroffenen Person zu verringern. Das Ergebnis ist dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen (EDÖB) mitzuteilen, der mögliche Einwände innert drei Monaten anmelden 
muss.

«ES WIRD EINE KULTUR DER VERUNSICHERUNG UND der ANGST in den firmen EINZIEHEN.»

In der Praxis wird diese Formulierung verunsichern und infolge der drakonischen Strafsanktionen zu vielen Meldungen an den EDÖB führen. Ein «erhöhtes Risiko» ist schnell lokalisiert. Eine dreimonatige Wartefrist für eine Einwilligung durch den EDÖB ist für Unternehmen, die im Markt agieren, schlicht unhaltbar.

Verunsicherung und Angst

Eine «unbefugte Datenbearbeitung» oder der «Verlust von Daten» ist dem EDÖB «unverzüglich» zu melden. Der verantwortliche Datenbearbeiter informiert ausserdem die betroffene Person, wenn es zum Schutz der betroffenen Person erforderlich ist oder der EDÖB es verlangt.

Von Amtes wegen oder auf Anzeige kann der EDÖB eine Untersuchung gegen eine private Person eröffnen, wenn Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte. Dies geht bis zu Haus­durch­suchungen. Die Forderung, dass jeder Datenschutzverstoss gemeldet werden soll, geht über die Anforderung der EuDSGVO hinaus. Die Strafsanktionen werden in der Praxis zur Folge haben, dass eine Kultur der Verunsicherung und Angst in den Unternehmen Einzug hält.

Völlig überrissene Sanktionen

Die Totalrevision des DSG darf nicht in einer Kriminalisierung der Unternehmen bzw. verantwortlichen Privatpersonen enden. Genau in diese Richtung aber geht der Gesetzesentwurf, der auch ein kostenloses Klagerecht für alle betroffenen Personen vorsieht.

Die vom Bundesrat beantragten Strafverschärfungen wie Bussen bis 500 000 Franken oder Freiheitsentzug bis zu drei Jahren für Zuwiderhandlungen gegen das DSG schiessen weit übers Ziel eines vernünftigen Sanktionssystems hinaus. Die Folge davon wird sein, dass die verantwortlichen Mitarbeiter in einer Unternehmung Entscheide juristisch absichern und eher zu viel als zu wenig melden mit der Konsequenz, dass dem Unternehmen Mehrkosten entstehen und betroffene Personen und der EDÖB mit einer Flut von Informationen eingedeckt werden. Ob das im Sinne des Gesetzgebers ist, ist zu bezweifeln.

Interessen der Wirtschaft 
ignoriert

Der Revisionsentwurf des Bundesrates orientiert sich einseitig an den potentiellen Risiken für die betroffenen Personen. Die Interessen der KMU-Wirtschaft spielen keine Rolle. Zu weit gehende, nicht praktikable Bestimmungen finden nicht nur keine Akzeptanz, sie schwächen die Unternehmen einmal mehr. Kein Wunder, dass in der Botschaft des Bundesrates eine aussagekräftige Regulierungs­folge­abschätzung, wie sie gesetzlich vorgeschrieben ist, fehlt. Aufgrund des mangel­haften Befunds einer vom Bund in Auftrag gegebenen Studie können mit Blick auf die Regulierungsfolgenabschätzung keine seriösen Aussagen gemacht werden. Das vom Bundesrat im Erläuterungsbericht präsentierte Ergebnis, die zu erwartenden Regulierungskostenfolgen seien «unbedeutend», kann in einer derart wichtigen Angelegenheit nicht zum Massstab genommen werden. Der Schweizerische Gewerbeverband sgv lehnt die Gesetzesrevision entschieden ab.

Dieter Kläy, 
Ressortleiter sgv