Sie sind hier

Startseite / Entwurf schiesst weit über Ziel hinaus

Entwurf schiesst weit über Ziel hinaus

Totalrevision Datenschutzgesetz Entwurf schiesst weit über Ziel hinaus

Raoul Egeli, Präsident Creditreform International

Der Bundesrat hat einen Entwurf für ein neues Datenschutzgesetz vorgelegt. Ziel ist es, das Schweizer Recht mit jenem der EU und des Europarates zu harmonisieren. Der bundesrätliche Vorschlag geht jedoch deutlich zu weit. Statt die vorhandenen Spielräume auszuloten, werden den Schweizer Unternehmen unnötige Hürden auferlegt. Das trifft vor allem die KMU, findet Raoul Egeli in seinem Kommentar zum totalrevidierten Datenschutzgesetz.

«Für die Bearbeitung von besonders schützenswerten Personendaten und das Profiling muss die Einwilligung ausdrücklich erfolgen», heisst es im Artikel 5 Absatz 6 des bundesrätlichen Entwurfs für das totalrevidierte Datenschutzgesetz. Dieser Paragraph hätte, nebst vielen weiteren, das Zeug, der Schweizer Wirtschaft und namentlich den KMU die Verarbeitung von Personendaten faktisch zu verunmöglichen – mit fatalen Folgen insbesondere für die Beurteilung der Kundenbonität. Es lohnt sich, einen Blick auf ein Wort zu werfen, das nicht Klarheit, sondern Unklarheit bringt: Profiling. Es bezeichnet die Bewertung bestimmter Merkmale aufgrund einer automatisierten Bearbeitung von Personendaten, insbesondere der Arbeitsleistung, der wirtschaftlichen Verhältnisse, der Gesundheit, des Verhaltens, der Vorlieben, des Aufenthalts und der Mobilität, wie es in der Begriffserklärung im Gesetz heisst. So weit, so gut, könnte man meinen. Doch der Teufel steckt im Detail. Die KMU übernehmen in vielen Bereichen die Vorfinanzierung in Form eines Lieferantenkredites. Somit müssen sie beurteilen können, ob ein Kunde in der Lage ist zu zahlen. Sie fallen aber aufgrund der Formulierung der wirtschaftlichen Verhältnisse unter das Profiling. Insbesondere der Aufenthaltsort einer Person ist für jeden Vertragspartner eine wichtige Grundlage für eine spätere Durchsetzung einer Forderung oder eines Vertrages. Diese Einschränkung bedeutet deshalb auch die Einschränkung der Vertragsfreiheit. Die in Artikel 19 geregelte Informationspflicht bei automatisierten Einzelentscheidungen bezieht auch das Profiling mit ein. Den betroffenen Personen sei dabei auch die Möglichkeit zu eröffnen, «ihren Standpunkt darzulegen», heisst es im Gesetzestext. Dazu kommt eine extrem eng gefasste Regelung der Ausnahmen, denn diese sollen nur gelten, wenn die Entscheidung in einem «unmittelbaren Zusammenhang» mit dem Abschluss oder der Abwicklung eines Vertrages steht. Das ist nicht hilfreich. Entweder steht die Entscheidung im Zusammenhang mit einem Vertrag oder nicht.

Spielraum nicht ausgeschöpft

Mit der Vermischung der Begriffe der «automatisierten Einzelentscheidung» und des «Profiling» schiesst der bundesrätliche Gesetzesvorschlag auch über das Ziel hinaus, das Schweizer Recht jenem der Europäischen Union anzugleichen. Die neue Datenschutzgrundverordnung (DSGVO) der EU tritt im Mai in Kraft. Sie ist für alle Mitgliedsstaaten verbindlich, entfaltet ihre Wirkung aber auch auf die Schweiz. Hiesige Unternehmen, die ihr Angebot an in der EU ansässige Personen richten oder Daten dieser Personen bearbeiten, sind der DSGVO unterstellt. Auch der Europarat hat das Datenschutzübereinkommen (CON-108) erneuert. Mit der Revision des Schweizer Datenschutzgesetzes sollen nun zwei Fliegen mit einer Klappe geschlagen werden: die Ratifizierung der CON-108 und das von der EU für den zukünftigen Austausch von Personendaten verlangte «angemessene» Niveau der Datenschutzgesetzgebung. Doch der «Swiss Finish» geht, nicht nur beim Profiling, viel zu weit. Statt den Handlungsspielraum auszuschöpfen und die Angemessenheit der DSGVO zu prüfen, wird diese möglichst wortgetreu übernommen, bei einigen Punkten gar noch verschärft. Denn gerade jene Schweizer Unternehmen, die die Europäische Union interessieren, weil sie Daten von in der EU lebenden Personen bearbeiten, sind ja schon der DSGVO unterstellt. Der Schweizer Übereifer ist nicht angebracht.
Das gilt auch für die KMU. Ihnen werden administrative Hürden auferlegt, die in keinem Verhältnis zum Nutzen stehen. So wird das Führen eines Verzeichnisses der Bearbeitungstätigkeiten verlangt. Zwar wurde nach der Vernehmlassung eine Ausnahmeregelung eingeführt, die es dem Bundesrat erlaubt, Firmen mit weniger als 50 Mitarbeitenden von dieser Aufgabe zu entbinden. Diese Grenze ist willkürlich, berücksichtigt sie doch das tatsächliche Risiko einer Persönlichkeitsverletzung nicht. Die Unternehmen sollen auch zu einer Datenschutzfolgeabschätzung verpflichtet werden, sofern eine Bearbeitung ein «hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann». Mit der vorliegenden Definition des Profiling ist davon auszugehen, dass sehr viele Unternehmen eine Datenschutzfolgeabschätzung vorzunehmen hätten. Das bringt vor allem für KMU einen enormen Verwaltungsaufwand ohne erkennbaren Nutzen für die betroffenen Personen. Unberücksichtigt bleibt für die Risikobewertung die Umsetzung anderer Massnahmen in den Unternehmen.

Einladung zum Missbrauch

Auch die vorgeschlagene Meldepflicht bei Verletzung der Datensicherheit ist in dieser Form nicht zielführend. Anstatt quantitativer Vorgaben wird die Meldung jeder einzelnen Verletzung verlangt. Ein Nutzen ist weder für Konsumenten noch Unternehmen zu erkennen. Zum Missbrauch lädt das erweiterte Auskunftsrecht betroffener Personen ein. Es ist nicht klar, ob nur über die gespeicherten Daten oder auch über die eigentlichen Dokumente Auskunft erteilt werden muss. Damit könnten rechtsmissbräuchlich Beweismittel beschafft werden.
Von grösster Bedeutung sind die in Artikel 27 gelisteten Rechtfertigungsgründe für die Bearbeitung von Personendaten. Unbestritten ist die schon bisher geltende Einschränkung, dass keine besonders schützenswerten Personendaten bearbeitet werden dürfen. Durch die Hintertür wird dieser Katalog nun mit der Einführung des Profiling erheblich ausgeweitet. In vielen Fällen dürfte eine Datenbearbeitung damit gar nicht mehr möglich sein. Unnötig eingeschränkt wird die Datenbearbeitung auch zur Ermittlung der Kreditwürdigkeit. Nicht nachvollziehbar ist die Einführung einer Frist für die Datenbearbeitung von fünf Jahren. Das ist praxisfremd.
Fragwürdig sind mehrere der neuen Kompetenzen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). So kann dieser Untersuchungen schon bei Anzeichen eines Verstosses durchführen. Das geht zu weit. Ein begründeter Verdacht muss vorliegen. Nicht in den Kompetenzbereich einer Aufsichtsbehörde gehören zudem Sanktionen. Das ist Sache der Strafbehörde. Dem EDÖB steht es auch nicht zu, Leitfäden und Arbeitsinstrumente für die betrieblichen Datenschutzverantwortlichen zu erstellen. Der Beauftragte erhält hier quasi eine gesetz- geberische Kompetenz. Der Beauftragte soll seine Aufwendungen den Unternehmen in Form einer Gebühr in Rechnung stellen dürfen. Der Staat darf aber keine Gebühren für vorgeschriebene Aufgaben einer beaufsichtigten Person verlangen. Völlig überrissen ist auch der Bussenrahmen von 250 000 Franken. Das Strafgesetzbuch sieht für Übertretungen eine maximale Busse von 10 000 Franken vor. Zudem wird die Verjährungsfrist auf fünf Jahre ausgeweitet. Gemäss Art. 109 StGB beträgt diese für Übertretungen nur drei Jahre. Diese Ausweitung der Kompetenzen bedeutet auch eine Personalaufstockung. Der EDÖB stellt schon in Aussicht, dass er mehr Personal benötigen wird.
Unverständlich bleibt das in der Zivilprozessordnung vorgeschlagene kostenlose Klagerecht bei Verletzung des Datenschutzes. Zu befürchten ist eine Flut von unnötigen Klagen. Und es ist auch nicht einzusehen, dass die Kosten dieser Klagen der Allgemeinheit überwälzt werden.
Das Fazit: Eine Überarbeitung des Gesetzesentwurfs tut dringend not. Es gilt, nach einer angemessenen Lösung zu suchen, die den Unternehmen keine unnötigen Belastungen aufbürdet und den Spielraum gegenüber der EU und dem Europarat auslotet. Der wirtschaftliche Wettbewerb ist schon hart genug.

Begrüssenswerte Aufteilung angesichts der grossen Mängel

Die Staatspolitische Kommission des Nationalrats hat sich anlässlich der Sitzung vom 11./12. Januar 2018 für eine Aufteilung der Revision des Datenschutzgesetzes ausgesprochen. In einem ersten Schritt soll das Gesetz aufgrund der Schengen-Verträge europakompatibel gemacht werden, um darauf die Totalrevision ohne Zeitdruck angehen zu können. Diese Etappierung ist angesichts der grossen Mängel des Entwurfs sehr zu begrüssen.

Zur Person

Raoul Egeli (49) ist seit 2008 Präsident des Schweizerischen Verbands Creditreform und seit 2014 Präsident von Creditreform International sowie Mitglied der Gewerbekammer des SGV. Zudem ist er Geschäftsführer der Creditreform Egeli Gesellschaften in Basel, St. Gallen und Zürich. 2009 bis 2013 war er Zentralpräsident von TREUHAND|SUISSE. Er ist Autor mehrerer Fachbücher rund um das Thema Kredit- und Forderungsmanagement.

Diese Beiträge könnten
Sie ebenfalls interessieren:

Arbeitgeber Staat: Stellen und Löhne wachsen überdurchschnittlich
IHKresearch ZOOM
Handlungsbedarf in der Altersvorsorge steigt
Wahl- und Abstimmungssonntag
IHK begrüsst Pläne zum Zubringer Güterbahnhof
Engpassbeseitigung St.Gallen
Touchpoint IHK: Start-up-Spirit
Die Ostschweiz wählte für eine starke Wirtschaft
Eidgenössische Wahlen 2023