«Das neue Gesetz bringt zu viel Bürokratie mit sich»

10. Oktober 2017 agvs-upsa.ch  Im September hat der Bundesrat den Entwurf und die Botschaft zur Totalrevision des Datenschutzgesetzes (DSG) verabschiedet. Die Vorlage ist für viele KMU mit bürokratischen Umtrieben verbunden. AGVS-Juristin Olivia Solari nimmt Stellung. 

 
SCO. Frau Solari, wie zufrieden ist der AGVS mit dem Entwurf zur Totalrevision des Datenschutzgesetzes?
Der AGVS hat bereits in der Stellungnahme zum Vorentwurf deutlich zum Ausdruck gebracht, dass eine über das Ziel hinausschiessende Regulierung nicht angezeigt ist. Die vom Bundesrat verabschiedete Botschaft beinhaltet u.a. Informations- und Handlungspflichten für unsere Mitglieder, die für ein Unternehmen aus der Sicht des AGVS zu viel Bürokratie mit sich bringen.

Wieso brauchte es überhaupt eine Totalrevision dieses Datenschutzgesetzes?
In der EU überarbeitet der Europarat die auch von der Schweiz ratifizierte Konvention 108 (K108) zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten. Der Verzicht auf eine Ratifikation dieser Konvention hätte nach Meinung des Bundesrates für die Schweiz erhebliche negative Auswirkungen auf den grenzüberschreitenden Datenverkehr. Mit der Revision des Schweizerischen Datenschutzgesetzes nähert sich die Schweiz den EU-Regeln an. Dadurch sei gemäss Bundesrat sichergestellt, dass die Europäische Kommission den Datenschutz in der Schweiz als genügend anerkennt. Dies ist notwendig, damit Schweizer Unternehmen auch in Zukunft mit EU-Staaten einen freien Datenaustausch führen können.
 
Im vorliegenden Entwurf ist von einem branchenspezifischen Verhaltenskodex die Rede, mit der geeignete Regeln für eine ganze Branche entworfen werden können. Das könnte die Sache für den einzelnen Gewerbebetrieb erheblich vereinfachen. Wird der AGVS für seine Mitglieder einen solchen Kodex erarbeiten?
Der AGVS arbeitet in diesem wichtigen und komplexen Projekt mit dem Schweizerischen Leasingverband (SLV) und auto-schweiz zusammen. Es sind bereits gemeinsame Bestrebungen vorhanden und angedacht, als Branche gemeinsam einen solchen Kodex auszuarbeiten. Wir werden unsere Mitglieder darüber laufend orientieren.
 
Konkret: Was ändert sich mit dem neuen Gesetz? Worauf muss der Garagist in seiner täglichen Arbeit achten?
Der Bundesrat plant, das revidierte Datenschutzgesetz Mitte 2018 in Kraft zu setzen. Das bedeutet, dass sich schon in naher Zukunft unsere Mitglieder bei jeder Verwendung von Daten überlegen müssen: «Darf ich diese Daten verwenden, weitergeben und weiss ich, was der Dritte dann mit den Daten macht?». Es wird zwingend nötig sein, dass der Kunde bei einem Besuch in der Garage, sei es beim Autokauf, Service oder Pneuwechsel, richtig über die Nutzung seiner Daten informiert wird und dass er vor allem in die Nutzung und Weitergabe einwilligt. Dies wird zwingend schriftlich erfolgen müssen, was ein Umdenken bei unseren Mitgliedern, aber auch bei unseren Kunden erfordern wird. Weiter müssen unsere Mitglieder beispielsweise bereits im Planungsstadium eines Projekts die Vorgaben des Datenschutzes berücksichtigen. Auch sollen sie Datenschutz-Folgeabschätzungen erstellen und Verletzungen des Datenschutzes oder Datenverlust aktiv an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen (EDÖB) liefern.
 
Der Entwurf spricht von Maximalbussen von 250‘000 Franken bei Verstössen gegen das DSG. Muss sich der Garagist auf existenzbedrohende Rechtsstreitigkeiten gefasst machen?
Der Entwurf verzichtet zwar auf die Einführung von Verwaltungssanktionen, stattdessen soll die strafrechtliche Verantwortung der mit Datenbearbeitungen befassten natürlichen Personen massiv ausgebaut und verschärft werden. Die vom Bundesrat beantragten Strafverschärfungen wie Bussen bis zu 250'000 Franken bei Vorsatz oder gar Freiheitsentzug von bis zu drei Jahren für Widerhandlungen können für den Garagisten als natürliche Person also tatsächlich existenzbedrohend werden. Neu richten sich die Sanktionen primär an die für die Datenbearbeitung verantwortliche natürliche Person und nicht an das Unternehmen, in dessen Interesse die Datenbearbeitungen erfolgen sollen. Handelt es sich bei unserem Mitglied also um eine juristische Person, zum Beispiel um eine AG oder GmbH, wird die Straftat den Vertretern der Geschäftsorgane zugerechnet.
 
Die ganze Sache ist enorm kompliziert. Nur schon die erste Analyse, die der AGVS und der SLV gemeinsam vorgenommen haben, ist für Nicht-Juristen schwer verdaulich. Wie soll sich der einzelne Garagist durch dieses juristische Unterholz schlagen?
Es handelt sich tatsächlich um ein sehr komplexes Thema. Und die trockene Juristensprache macht die Angelegenheit auch nicht unterhaltsamer. (lacht) Aber nichtsdestotrotz wird dieses neue Gesetz kommen und je früher wir uns damit beschäftigen, desto besser. Mein Rat an unsere Mitglieder: Studieren Sie die sechs Seiten unserer Analyse; bei Fragen steht der Rechtsdienst des AGVS gerne zur Verfügung. Zusätzlich empfehle ich unseren Mitgliedern, sich bei internen Abläufen bereits jetzt zu hinterfragen, ob wohl alle Einwilligungen usw. vorhanden sind. Es muss nun eine schrittweise Sensibilisierung erfolgen, wobei der AGVS seine Mitglieder laufend unterstützen wird. 
 


Revision des Datenschutzgesetzes (DSG) – Erste Analyse von Entwurf und Botschaft

Nachdem der Bundesrat am 21. Dezember 2016 einen Vorentwurf zur Totalrevision des Datenschutzgesetzes (VE-DSG) in die Vernehmlassung geschickt hatte, haben der AGVS und der Schweizerische Leasingverband (SLV) und mit Unterstützung von auto-schweiz Schwerpunkte innerhalb dieses Projekts definiert, eine detaillierte Analyse des Vorentwurfs vorgenommen und eine Stellungnahme für beide Verbände erarbeitet.

In der Stellungnahme wurde klar zum Ausdruck gebracht, dass der Ausbau des Datenschutzes in dieser Form zum einen nicht nötig ist und zum anderen für die Unternehmen neue Pflichten mit sich bringt, die eine unverhältnismässige administrative Belastung zur Folge haben, teilweise schlicht nicht umsetzbar und zudem mit drastischen Sanktionsdrohungen belastet sind.
Nun hat der Bundesrat am 15. September 2017 den Entwurf (E-DSG) und die Botschaft zur Totalrevision des Datenschutzgesetzes verabschiedet. Die nachfolgende erste Analyse des Gesetzesentwurfs und der Botschaft legt die Anpassungen zum Vorentwurf in den von uns definierten Schwerpunktthemen dar. Den detaillierten sowie weiteren Anpassungsbedarf werden wir noch genauer analysieren.
 
1.         Kein Datenschutz für Daten juristischer Personen
Der Entwurf für das neue Datenschutzgesetz verzichtet auf den Schutz von Daten juristischer Personen. Dieser Verzicht war bereits im Vorentwurf enthalten und ist aus Sicht des AGVS sinnvoll, da er bereits heute von geringer praktischer Bedeutung ist, aber oftmals die Bekanntgabe von Daten ins Ausland behindert.

2.         Profiling
Der vorgeschlagene Begriff „Profiling“ meint die Bewertung bestimmter Merkmale einer Person auf der Grundlage von automatisiert bearbeiteten Personendaten, insbesondere um die Arbeitsleistung, die wirtschaftlichen Verhältnisse, die Gesundheit, das Verhalten, die Vorlieben, den Aufenthaltsort oder die Mobilität zu analysieren oder vorherzusagen.
Damit soll gemäss Botschaft jede Auswertung von Personendaten mit Hilfe von computergestützten Analysetechniken erfasst sein.

Die vom AGVS und vielen weiteren Vernehmlassungsteilnehmern geforderte Beschränkung auf elektronische Aktivitäten wurde im Entwurf berücksichtigt. Allerdings wurde der Begriff gegenüber dem Vorentwurf dahingehend ausgeweitet, dass nicht nur die Analyse von „wesentlichen persönlichen Merkmalen“ erfasst wird, sondern generell die „Bewertung bestimmter Merkmale einer Person“, womit der Begriff sehr weit verstanden wird.

3.         Möglichkeit eines branchenspezifischen Verhaltenskodex
Berufs- und Wirtschaftsverbänden soll es möglich sein, dem öffentlichen Datenschutzbeauftragten einen von ihnen erstellten Verhaltenskodex vorzulegen. Der Datenschutzbeauftragte nimmt zu einem solchen Kodex Stellung und veröffentlicht seine Stellungnahme. Dies stellt eine Neuerung im Vergleich zum Vorentwurf dar.
Für die Mitglieder des AGVS aber auch für den SLV bietet die Möglichkeit der Erstellung eines solchen Kodex eine grosse Chance, um für die Branche geeignete Regeln zu entwerfen. Wenngleich aus einer positiven Stellungnahme des Datenschutzbeauftragten keine Rechte abgeleitet werden können, so darf in der Regel davon ausgegangen werden, dass ein dem Verhaltenskodex entsprechendes Verhalten keine Verwaltungsmassnahmen nach sich ziehen wird. Dies ist jedenfalls die Meinung des Bundesrates in der Botschaft. Zudem bringt die Beachtung eines Verhaltenskodex auch in Zusammenhang mit der Datenschutz-Folgenabschätzung Erleichterungen (vgl. unten).

4.         Freiwilliger Datenschutzberater
Der (interne) Datenschutzberater ist schon im bisherigen DSG vorgesehen. Es handelt sich dabei um eine vom Verantwortlichen ernannte Person, die primär für die Überwachung der Einhaltung der Datenschutzvorschriften und die Beratung des Verantwortlichen in Datenschutzbelangen zuständig sein dürfte. Der Entwurf sieht keine Pflicht zur Ernennung eines solchen Beraters vor, räumt aber den Verantwortlichen die Möglichkeit ein, durch Einsetzung und Konsultation eines Datenschutzberaters bei Datenschutz-Folgenabschätzungen auf die Konsultation des öffentlichen Datenschutzbeauftragten verzichten zu können.

5.         Informationspflichten bleiben deutlich erweitert
Der Entwurf sieht weiterhin eine gegenüber dem geltenden Recht deutlich erweiterte Informationspflicht vor, welche grundsätzlich jede Datenbeschaffung erfasst. D.h., die betroffene Person muss grundsätzlich immer informiert werden, wenn Daten über sie beschafft werden. Dies soll ausdrücklich auch dann gelten, wenn die Daten nicht bei der betroffenen Person selbst beschafft werden. Die vorsätzliche Verletzung der Informationspflichten hat gemäss dem Entwurf strafrechtliche Sanktionen zur Folge (vgl. unten).

Die vom AGVS geforderte risikobasierte Transparenzpflicht fand keinen Eingang in den Entwurf. In der Botschaft wird zur Informationspflicht aber immerhin ausgeführt, eine allgemeine Information könne genügen, wenn die Personendaten bei der betroffenen Person selbst beschafft werden. Als Beispiele werden Datenschutzerklärungen auf einer Website sowie Symbole und Piktogramme, soweit sie die nötigen Informationen wiedergeben, genannt.

Immerhin sieht der Entwurf im Vergleich zum Vorentwurf eine Bestimmung vor, wonach der Verantwortliche auf die Information verzichten kann, wenn überwiegende eigene Interessen dies erfordern und er die Personendaten nicht Dritten bekannt gibt. Gemäss Botschaft ist ein solches überwiegendes Interesse aber nicht leichthin anzunehmen. Das Interesse der betroffenen Person, über eine bestimmte Datenbearbeitung informiert zu werden, um ihre Rechte geltend machen zu können, ist sorgfältig abzuwägen gegenüber allfälligen Interessen des Verantwortlichen.

6.         Automatisierte Einzelentscheidung: weiterhin Informations- und Anhörungspflicht

6.1       Definition
Der Entwurf sieht im Falle automatisierter Einzelentscheidungen weiterhin eine Informations- und Anhörungspflicht der betroffenen Person vor. Eine automatisierte Einzelentscheidung ist (i) die inhaltliche Beurteilung und Entscheidung eines Sachverhaltes ohne Dazutun einer natürlichen Person ([ii] inkl. Profiling), die für die betroffene Person mit einer (iii) Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt

(i) Massgebend ist auch gemäss Botschaft, inwieweit eine natürliche Person eine inhaltliche Prüfung vornehmen und darauf aufbauend eine endgültige, allenfalls vom automatischen Ergebnis abweichende Entscheidung fällen kann. Eine automatisierte Einzelentscheidung kann somit selbst dann vorliegen, wenn die Entscheidung nach ihrer Fällung durch eine natürliche Person mitgeteilt wird, diese die automatisch gefällte Entscheidung aber nicht mehr beeinflussen kann. In der Botschaft wird vorgebracht, eine automatisierte Einzelentscheidung liege nur dann vor, wenn die Entscheidung eine gewisse Komplexität aufweise. Reine „Wenn-Dann-Entscheidungen“ seien vom Begriff nicht erfasst. Als Beispiel einer solchen „Wenn-Dann-Entscheidung“ wird der Bancomatbezug genannt, bei dem der Geldbetrag ausgegeben werde, wenn die Kontodeckung genügend sei. Nachdem jede automatisierte Entscheidung letztlich immer auf (oftmals mehreren) „Wenn-Dann-Entscheidungen“ beruht, ist der Anwendungsbereich dieser Regelung hinlänglich unklar. Allerdings wird gerade die Kreditfähigkeitsprüfung in der Botschaft als möglicher Anwendungsfall automatisierter Einzelentscheidungen angeführt.

(ii) Erfasst wird auch ein Profiling, wenn dieses zu einer Entscheidung führt, welche für die betroffene Person mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt. Als Beispiel nennt die Botschaft den Fall, in dem die betroffene Person ausschliesslich aufgrund eines negativen Kreditscorings keinen Kreditvertrag abschliessen kann.

(iii) Auch die Begriffe „Rechtsfolge“ und „erhebliche Beeinträchtigung“ bringen Rechtsunsicherheit mit sich. Die Entscheidung – so wiederum die Botschaft – sei mit einer Rechtfolge verbunden, wenn sie unmittelbare, rechtlich vorgesehene Konsequenzen für die betroffene Person nach sich ziehe. Dies sei im privatrechtlichen Bereich namentlich beim Abschluss eines Vertrages oder dessen Kündigung, nicht jedoch bei einem Verzicht auf einen Vertragsabschluss der Fall. Eine erhebliche Beeinträchtigung der betroffenen Person ist demgegenüber anzunehmen, wenn diese auf nachhaltige Weise z.B. in ihren wirtschaftlichen oder persönlichen Belangen eingeschränkt ist. Massgebend sollen die konkreten Umstände des Einzelfalls sein. Je nach den konkreten Auswirkungen kann ein nicht abgeschlossener Vertrag daher eine erhebliche Beeinträchtigung der betroffenen Person darstellen oder nicht.

6.2       Informations- und Anhörungspflicht
Auf Antrag muss der betroffenen Person die Möglichkeit eingeräumt werden, ihren Standpunkt darzulegen. Sie kann verlangen, dass die automatisiert durchgeführte Entscheidung von einer natürlichen Person überprüft wird. Die Anhörung kann vor oder nach der Entscheidung erfolgen.

6.3       Ausnahmen
Die Informations- und Anhörungspflicht gilt nicht, wenn (i) die Entscheidung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person steht und ihrem Begehren stattgegeben wird oder (ii) die betroffene Person ausdrücklich eingewilligt hat, dass die Entscheidung automatisiert erfolgt.

i. Gemäss Botschaft wird einem Begehren stattgegeben, wenn der Vertragsabschluss genau zu den Konditionen erfolgt, wie sie z.B. in der Offerte dargestellt wurden oder wie sie die betroffene Person verlangt hatte. So werde z.B. ihrem Begehren stattgegeben, wenn ein Leasingvertrag zum im Angebot aufgeführten Zins abgeschlossen wird. Anderes gelte, wenn der Leasingvertrag zwar abgeschlossen werde, aber aufgrund eines schlechten Kreditratings der betroffenen Person zu einem weniger vorteilhaften Zins als im Angebot genannt. Abzustellen sei dabei darauf, ob gesamthaft den Begehren der betroffenen Person stattgegeben worden sei. Es reiche nicht aus, wenn dies nur in Bezug auf einzelne Elemente der Fall sei.

ii. Die Pflicht zur Information und Anhörung entfällt auch dann, wenn die betroffene Person ausdrücklich eingewilligt hat, dass eine Entscheidung automatisiert erfolgt. Diese Ausnahme sei folgerichtig, hält die Botschaft fest, weil die betroffene Person bereits informiert werden müsse, um rechtsgültig einzuwilligen. Besonders ist darauf hinzuweisen, dass die Bestimmung des Vorentwurfs, wonach die Informations- und Anhörungspflicht nicht gilt, wenn ein Gesetz eine automatisierte Einzelentscheidung vorsieht, aus dem Entwurf gestrichen wurde.

6.4       Auskunftspflichten
Die Regelung der Auskunftspflicht wurde angepasst. Der Entwurf sieht nun vor, dass gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht, mitzuteilen sind. Gemäss Botschaft müssten nicht unbedingt die Algorithmen mitgeteilt werden, die Grundlage der Entscheidung sind, weil es sich dabei regelmässig um Geschäftsgeheimnisse handle. Vielmehr müssten die Grundannahmen der Algorithmus-Logik genannt werden, auf der die automatisierte Einzelentscheidung beruht. Das bedeute beispielsweise, dass die betroffene Person Auskunft darüber erhalte, dass sie aufgrund eines negativen Scoring-Resultats einen Vertrag zu schlechteren Konditionen abschliessen könne, als dies offeriert wurde. Darüber hinaus müsse sie aber auch über die Menge und die Art der für das Scoring herangezogenen Informationen sowie deren Gewichtung informiert werden. Eingriffe in relevante Geschäftsgeheimnisse dürften mit dieser Regelung nach wie vor möglich sein.

7.         Datenschutz-Folgenabschätzung
Mit dieser gesetzlichen Pflicht setzt der Entwurf mit dem Datenschutz bereits in der eigentlichen Planungsphase einer Bearbeitung an. Der Verantwortliche erstellt vorgängig eine solche Abschätzung, wenn eine Bearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Bestätigt sich im Rahmen der Abschätzung ein solches hohes Risiko für den Fall, dass keine Massnahmen getroffen würden, ist der öffentliche Datenschutzbeauftragte zu involvieren.

Diese Konsultation des Beauftragten kann durch die Einsetzung eines (internen) Datenschutzberaters verhindert werden. Gerade Unternehmen von einer gewissen Grösse werden zu evaluieren haben, ob die Einsetzung eines solchen Datenschutzberaters in Frage kommt.

Die Pflicht zur Datenschutz-Folgenabschätzung trifft sodann jene nicht, die sich einer Zertifizierung unterzogen haben oder einen bestehenden Verhaltenskodex beachten. Damit bietet die Möglichkeit zur Erstellung eines branchenweiten Verhaltenskodex auch in Zusammenhang mit der Datenschutz-Folgenabschätzung eine grosse Chance.

8.         Sanktionen
Der Entwurf bleibt beim stark kritisierten Sanktionensystem über den Weg des Strafrechts. Die Höhe der Maximal-Busse für natürliche Personen wurde von CHF 500‘000 auf CHF 250‘000 gesenkt und eine fahrlässige Begehung ist nicht mehr strafbewehrt.

Die Botschaft hält fest, dass die in der Vernehmlassung geäusserte Sorge, dass jeder beliebige Angestellte eines Unternehmens bestraft werden könnte, unbegründet sei. In der Schweiz werde die Einhaltung verwaltungsrechtlicher Pflichten mit dem Verwaltungsstrafrecht sichergestellt, dessen Normadressaten natürliche Personen seien. Es verhalte sich so, dass die verwaltungsrechtliche Pflicht dem Unternehmen obliege und ihre Verletzung dessen (natürlichen) Leitungspersonen zugerechnet werde.

Zeitplan
Der Entwurf kommt nun ins Parlament. Der Nationalrat wird sich als Erstrat mit dem DSG befassen. Die Vorberatung wird in der Staatspolitischen Kommission stattfinden, wobei die Termine auf 26./27. Oktober und 9./10. November 2017 angesetzt sind. Aufgrund der Schengen-Verpflichtungen wäre ein Inkrafttreten bis zum 1. August 2018 notwendig und der Bundesrat verfolgt dieses Ziel auch. Rein theoretisch und bei schnellstmöglicher und reibungsloser Behandlung im Parlament wäre das zwar möglich, aber doch sehr unwahrscheinlich.
Feld für switchen des Galerietyps
Bildergalerie