Es ist ein komplexes Thema, das in der Schweiz spät in der grossen Politik angekommen ist: Der Nationalrat beugt sich am heutigen Dienstag erstmals über das neue Datenschutzgesetz. Wir beantworten die wichtigsten Fragen.
Das aktuelle Datenschutzgesetz stammt aus dem Jahr 1992. «Internet» war damals noch ein Fremdwort, und Smartphones gab es ebenso wenig wie Google oder Facebook. Die Totalrevision des Gesetzes soll nun die «technologischen und gesellschaftlichen Entwicklungen» der alles durchdringenden Digitalisierung berücksichtigen, wie es der Bundesrat formuliert. Ziel ist es einerseits, die Daten der Bürger besser zu schützen und deren Kontrollmöglichkeiten auszubauen. Andererseits soll mit der Revision auch der Schweizer Datenschutz ans europäische Recht angepasst werden.
Die Europäische Union prüft momentan, ob sie die Schweiz weiterhin als Drittstaat mit «angemessenen Datenschutz» anerkennt. Dieser Status ermöglicht hiesigen Firmen, Daten grenzüberschreitend auszutauschen und zu bearbeiten. Das aktuelle Datenschutzniveau der Schweiz ist nicht mehr gleichwertig. In der EU gilt seit 2018 die Datenschutz-Grundverordnung. Jeder Bürger hat dank ihr das Recht zu erfahren, welche Daten eine Firma über ihn gespeichert hat.
Seit sieben Jahren beschäftigen sich Beamte und Politiker mit der Revision. Nach Kritik verzichtete der Bundesrat auf seinen «Swiss finish». Die Folge: Der Datenschutz geht nicht über die EU-Vorschriften hinaus, sondern unterbietet diesen noch. Der oberste Grundsatz ist unbestritten: Die Auskunftsrechte werden ausgebaut.
Unternehmen, die Daten erheben, sollen die Betroffenen über die Erhebung informieren müssen. Die entsprechende Information kann über einen allgemeinen Hinweis auf der Website erfolgen. Werden Daten widerrechtlich bearbeitet, soll künftig deren Löschung eingefordert werden können. Ebenso werden die Kompetenzen des Eidgenössischen Datenschützers ausgebaut und die Sanktionen bei Verstössen verschärft.
Die staatspolitische Kommission des Nationalrats sprach sich nach langer Beratung nur knapp für das Gesetz aus. Ihr Entwurf enthält zahlreiche Abschwächungen. Umstritten ist insbesondere der Umgang mit «besonders schützenswerten» Personendaten. Die Kommission beschloss unter anderem, dass Daten über Sozialhilfemassnahmen und zu gewerkschaftlichen Aktivitäten nicht als «besonders schützenswert» gelten sollen. Ihr zufolge können Unternehmen mit weniger als 500 Angestellten ausgenommen werden von der Pflicht, ein Verzeichnis über die Datenbearbeitungen zu führen – in der EU liegt diese Grenze bei 250 Angestellten. Der Bundesrat wollte sie bei 50 ansetzen. Zudem will die Kommission eine Übergangsfrist von zwei Jahren verankern. Die Abschwächungen dürften in Brüssel nicht gut ankommen. Der Entwurf entspreche in einigen Punkten nicht dem Niveau der EU, kritisieren Datenschützer Adrian Lobsiger und das Bundesamt für Justiz einhellig.
Widerstand kommt von rechts und links. Die SVP beantragt, das Gesetz an den Bundesrat zurückzuweisen. Anpassungen an das EU-Recht soll es bloss dort geben, wo es unumgänglich ist. SP, Grüne und GLP geht die Anpassung an den EU-Standard nicht weit genug. Das Schutzniveau werde sogar noch gesenkt, kritisieren sie. Zwischen diesen Polen positionieren sich die CVP und die FDP, die grundsätzlich hinter dem Gesetz stehen.
Wirtschaftsvertreter lobbyieren für eine rasche Gesetzesreform, die den EU-Normen entspricht. Experten zeigen sich besorgt. «Weitere Verzögerungen führen zu grosser Unsicherheit, denn Tausende Schweizer Unternehmen sind auf eine EU-konforme Gesetzgebung angewiesen», warnt Klaus Krohmann, Rechtsanwalt und Experte für Datenschutzrecht bei der Unternehmensberatung BDO. Letztlich gehe es um internationale Minimalstandards des Datenschutzes. Das Internet mache vor Landesgrenzen nun mal nicht halt, sagt Krohmann. Unternehmen benötigten einheitliche Standards: «Jede Abweichung vom EU-Standard im Gesetz führt für sie zu einem Mehraufwand und oft auch zu einer Ungleichbehandlung von Konsumenten.»
Ob das Gesetz im Nationalrat eine Mehrheit findet, ist alles andere als sicher. Wie die NZZ nachgezeichnet hat, liefen deshalb in den vergangenen Tagen die Drähte zwischen den zuständigen Nationalräten heiss. Sie machten sich Zugeständnisse, um den Absturz der Vorlage zu verhindern. Die Freisinnigen wollen die Sozialhilfedaten nun doch – wie im geltenden Recht – als «besonders schützenswert» klassifizieren. Und sie wollen die Grenze, ab der Unternehmen ausnahmsweise nicht Buch über den Umgang mit Personendaten führen müssen, bei weniger als 250 Angestellten ansetzen. FDP-Nationalrat Matthias Jauslin hat einen entsprechenden Antrag eingereicht.
Offen ist die Frage, wie das Profiling reguliert werden soll. Dabei geht es um die automatisierte Auswertung von Personendaten. Websites verfolgen etwa per Tracking das Surfverhalten eines Nutzers, um ihm so Kaufempfehlungen zu unterbreiten. Laut dem Entwurf der vorberatenden Kommission kann die Einwilligung dazu auch stillschweigend erfolgen, was die Ratslinke ablehnt. Zur Diskussion steht deshalb die Unterscheidung zwischen zwei Arten von Profiling. Ob der Nationalrat sich zu einer Kompromisslösung durchringt, ist offen. Spätestens der Ständerat als Zweitrat müsse das Profiling nochmals vertieft prüfen, sagt Jauslin. «Das ist ein Schlüsselpunkt, der die Bürger direkt betrifft.» (aargauerzeitung.ch)
