sic! 2002 Ausgabe 2
FLORENT THOUVENIN*

Die Revision des Datenschutzgesetzes - Die Vernehmlassungsvorlage des Bundesrates unter der Lupe - Tagung des Schweizer Forum für Kommunikationsrecht vom 27. November 2001

Schweizer Forum für Kommunikationsrecht / Forum Suisse pour le Droit de Communication

Das geltende Datenschutzgesetz ist noch nicht einmal zehn Jahre alt, soll nun aber bereits revidiert werden. Die anstehende Teilrevision geht auf zwei parlamentarische Vorstösse zurück: eine Motion vom Januar 2000, welche die Transparenz bei der Erhebung von Personendaten verbessern will sowie eine Motion aus dem Jahre 1998 unter dem Titel «Erhöhter Schutz für Personendaten bei On-line-Verbindungen». Weiter soll das Datenschutzgesetz den Anforderungen angepasst werden, die das zur Unterzeichnung aufliegende «Zusatzprotokoll zum Übereinkommen zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten (STE Nr. 108) bezüglich Aufsichtsbehörden und grenzüberschreitende Datenübermittlung» stellt.
An der Tagung des Schweizer Forums für Kommunikationsrecht wurden unter der Leitung von Dr. Mathis Berger in drei Themenblöcken verschiedene Aspekte der Revision beleuchtet, um abschliessend in einem vierten Block die etwas provokative Frage in den Raum zu stellen, ob die Revision des Datenschutzgesetzes genügend ehrgeizig sei. Frau Monique Cossali Sauvain, die für die Revision zuständige Mitarbeiterin des Bundesamtes für Justiz, stellte jeweils die zu revidierenden Artikel vor und erläuterte die Änderungsvorschläge; danach erhielten die Teilnehmer des Diskussionspanels Gelegenheit zur Stellungnahme.

Erhöhung der Transparenz bei der Erhebung persönlicher Daten
Frau Cossali Sauvain wies in ihrer Einführung zunächst darauf hin, dass für die vorliegende Teilrevision anstelle einer eigentlichen Expertengruppe eine informelle Arbeitsgruppe eingesetzt worden und diese zum Schluss gekommen sei, dass keine Notwendigkeit für eine Totalrevision bestehe. Deshalb habe sich die Arbeitsgruppe darauf beschränkt, einige Verbesserungen im Sinn der Motionen und des Zusatzprotokolls auszuarbeiten. Umfassende Eurokompatibilität des Schweizer Datenschutzgesetzes sei nicht angestrebt worden.
Die Erhöhung der Transparenz bei der Erhebung persönlicher Daten und die Verbesserung der Verfahrensstellung der Betroffenen sollen mit verschiedenen Mitteln erreicht werden. Im Zentrum steht hier Art. 4 Abs. 4 E-DSG, nach welchem das Beschaffen von Personendaten und der Zweck der Bearbeitung für die Betroffenen erkennbar sein müssen.
Das Gesetz schreibt nicht vor, in welcher Form diese Erkennbarkeit für die Betroffenen zu erreichen ist; es wird vielmehr der Praxis überlassen, im Einzelfall konkrete Lösungen – beispielsweise ein entsprechender Hinweis auf einer Internetseite – zu finden. Entscheidend ist letztlich nur, dass die Betroffenen überhaupt merken, dass Daten über sie erhoben werden.
Weiter trifft den Inhaber einer Datensammlung nach Art. 7a E-DSG beim Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen neu eine Pflicht, die Betroffenen über die eigene Identität, den Zweck des Bearbeitens und – sofern eine Bekanntgabe der Daten vorgesehen ist – über die Kategorie der Datenempfänger zu informieren.
Beat Lehmann, Rechtsdienst der Alcan Holdings, Switzerland AG, Zürich, erklärt sich damit einverstanden, dass die betroffenen Personen um die Datenerhebung wissen müssen; dies sei die Grundlage des informationellen Selbstbestimmungsrechts. Er kritisiert aber, dass die Bestimmung von Art. 7a E-DSG nicht bei den Grundsätzen von Art. 4 DSG eingefügt wurde. Der Gesetzgeber sollte seiner Meinung nach prüfen, ob Art. 4 Abs. 4 E-DSG mit Art. 7a E-DSG zu einem Art. 4a E-DSG vereinigt werden könnte.
Für RA Dr. Gérald Page, Genf, Mitglied der informellen Arbeitsgruppe, ist das Prinzip der Erkennbarkeit die einzige Alternative zur Benachrichtigungspflicht, wie sie in der EU-Richtlinie vorgesehen ist. Dieses Prinzip sei keine grosse Last für die Wirtschaft und es ermögliche flexible Lösungen; insbesondere im Internet sei es sehr einfach, die Erkennbarkeit sicherzustellen. Auf dem Podium herrschte Einigkeit darüber, dass die Transparenz zu Recht das wichtigste Anliegen des Datenschutzes sei. In der Praxis würden sich dabei aber gewisse Probleme stellen. David Rosenthal, Konsulent, Zürich, weist darauf hin, dass die «privacy policy», die jede Website haben müsste, in der Praxis darauf hinausläuft, dass die Kunden zwar informiert werden, aber faktisch auf die ihnen soeben bekannt gewordenen Rechte auch gleich wieder verzichten müssten. Die Kunden wüssten dann zwar, dass sie keine Rechte hätten, das Schutzniveau steige dadurch aber natürlich nicht.
Bereits nach dem geltenden Recht kann der Betroffene klageweise verlangen, dass die über ihn erhobenen Personendaten berichtigt oder vernichtet werden oder dass ihre Bekanntgabe an Dritte gesperrt wird (Art. 15 Abs. 1 DSG). Neu soll er nun die Möglichkeit erhalten, dem Inhaber der Datensammlung Datenbearbeitung zu untersagen, worauf dieser die Bearbeitung unverzüglich einstellen muss (Art. 15a Abs. 1 E-DSG). Widersetzt sich der Inhaber der Datensammlung dieser Untersagung, so muss er einen Rechtfertigungsgrund geltend machen; der Betroffene kann dann innert zehn Tagen beim Richter die Sperre der Datenbearbeitung verlangen; tut er dies nicht, so gilt die Untersagung als zurückgezogen.
Für Herrn Lehmann ist Art. 15a E-DSG grundsätzlich misslungen, das Provozieren eines Klageverfahrens erscheint ihm kontraproduktiv. Dieser Meinung pflichtet auch Dr. Esther Hefti, Rechtsdienst Migros Genossenschaftsbund, Zürich, bei, die den Text für völlig unüberlegt hält; so heisse es in Art. 15a E-DSG, die Datenbearbeitung sei unverzüglich einzustellen, als Datenbearbeitung gelte nach dem Gesetz aber auch das blosse Aufbewahren von Daten, was bedeuten würde, dass die fraglichen Daten vorsorglich gelöscht werden müssten. Aufgrund der Begleitpapiere sei aber wohl davon auszugehen, dass das Gesetz lediglich eine Sistierung der Datenbearbeitung vorsehen wollte. Nach den Ausführungen von Fürsprecher Urs Belser, Safe + Legal AG, Bern, Vorstandsmitglied des Datenschutz-Forums Schweiz, war der vorliegende Art. 15a E-DSG schon in der Arbeitsgruppe zur Revision umstritten; seiner Meinung nach funktioniere die vorliegende Regelung so nicht. Fürsprecher Hans-Peter Thür, Eidgenössischer Datenschutzbeauftragter, kritisiert vor allem das richterliche Verfahren, das sich an die Untersagung anschliessen soll. Dieses berge zu grosse Kostenrisiken und sei für die Betroffenen zu aufwändig. Eine Alternative wäre ein einfaches Mediationsverfahren, das kundenfreundlich, rasch, unkompliziert und günstig sein müsste. Herr Rosenthal fügt hinzu, dass der Eidgenössische Datenschutzbeauftragte dieses Mediationsverfahren führen könnte.
Als Mitglied der Arbeitsgruppe weist Herr Page darauf hin, dass mit dem Einstellen im Sinn von Art. 15a E-DSG nicht ein Löschen der Daten, sondern nur eine Sistierung der Datenbearbeitung gemeint sei. Sollte der Betroffene nicht innert 10 Tagen den Richter anrufen, so führe dies im Übrigen keineswegs dazu, dass sein Recht verwirkt sei. Dies bestätigt Frau Cossali Sauvain; weiter bekräftigt sie, dass der Gesetzgeber die Betroffenen nicht verpflichten wolle, den Rechtsweg zu beschreiten, vielmehr solle deren Stellung verbessert werden. Sie räumt aber ein, dass es vielleicht Möglichkeiten gebe, diese Norm zu verbessern.
Die Position der Betroffenen könnte gemäss Herrn Belser auch dadurch verbessert werden, dass die im Datenschutz bisher ausgeschlossene Verbandsklage mit der vorliegenden Teilrevision eingeführt würde.

Bearbeitung von Daten durch Bundesbehörden im Pilotbetrieb
Art. 17a E-DSG geht auf die eingangs erwähnte Motion «Erhöhter Schutz für Personendaten bei On-line-Verbindungen» zurück. Diese Motion forderte, dass «bei der Errichtung von On-line-Verbindungen (…) auch für Pilotprojekte eine gesetzliche Grundlage vorzusehen» sei (Ziff. 1 der Motion). Dieses Begehren wurde und wird aber bereits vom geltenden Recht erfüllt; deshalb sollte die Motion auf Wunsch des Bundesrates in ein Postulat umgewandelt werden. Das Parlament entsprach diesem Begehren des Bundesrates aber nicht.
Der E-DSG greift das Thema der Motion auf und sieht nun in Art. 17a eine spezielle Regelung für Pilotprojekte bei der automatisierten Datenbearbeitung vor. Die automatisierte Bearbeitung von besonders schützenswerten Personendaten und Persönlichkeitsprofilen kann vom Bundesrat unter gewissen Bedingungen und nachdem er die Stellungnahme des Eidgenössischen Datenschutzbeauftragten eingeholt hat, schon vor Inkrafttreten einer formellen gesetzlichen Grundlage bewilligt werden. Die automatisierte Datenbearbeitung muss aber abgebrochen werden, wenn der Bundesversammlung nicht spätestens drei Jahre nach Inkrafttreten der die Pilotphase regelnden bundesrätlichen Verordnung ein Entwurf für ein formelles Gesetz vorliegt.
Für Herrn Thür ist diese Bestimmung eine sonderbare Geschichte, immerhin gehe es um besonders schützenswerte Personendaten. Er schlägt vor, dass der Bundesrat die Bewilligung für ein Pilotprojekt nicht gegen den Willen des Eidgenössischen Datenschutzbeauftragten erteilen dürfe; die in Art. 17a Abs. 1 E-DSG vorgesehene Konsultation des Datenschutzbeauftragten genüge nicht. Auch Herr Lehmann kritisiert, dass hier ein Prototyp mit Echtdaten betrieben werden soll, wenigstens müsste man anonymisierte Daten verwenden.
Frau Cossali Sauvain hält klarstellend fest, dass es eben nicht wie bei einem Prototypen um ein technisches Testen gehe; in der Pilotphase solle vielmehr eruiert werden, ob im Publikum ein Bedürfnis, beispielsweise für einen Onlinezugang, überhaupt besteht. Dr. Jean-Philippe Walter, Stellvertreter des Eidgenössischen Datenschutzbeauftragten, meldet sich aus dem Publikum und weist darauf hin, dass der Bundesrat bereits den in Art. 17a E-DSG vorgeschlagenen Weg beschreite, die vom Gesetz anvisierte Situation also bereits bestehe. Neu wäre lediglich, dass das Gesetz den Bundesrat zu einem solchen Vorgehen ermächtigen und die Zulässigkeit der automatisierten Datenbearbeitung vor Inkrafttreten einer formellen gesetzlichen Grundlage von gewissen Voraussetzungen (Art. 17a Abs. 1 E-DSG) abhängig machen würde.

Bundesrechtliches Schutzniveau bei der Bearbeitung eidgenössischer Daten durch kantonale Behörden oder andere Dritte
Bearbeiten kantonale Organe beim Vollzug von Bundesrecht Personendaten, so sind – wenn keine kantonalen Datenschutzvorschriften bestehen – bereits nach dem geltenden Art. 37 Abs. 1 DSG eine Vielzahl von Bestimmungen des eidgenössischen Datenschutzgesetzes anwendbar. Der E-DSG sieht diese Anwendbarkeit des Bundesrechts neu auch dann vor, wenn zwar kantonale Datenschutzvorschriften bestehen, diese aber keinen angemessenen Schutz gewährleisten. Frau Cossali Sauvain führt aus, dass auf diesem Weg beim Vollzug von Bundes- recht ein minimales Schutzniveau in der ganzen Schweiz erreicht werden soll.
Dr. Bruno Baeriswyl, Datenschutzbeauftragter des Kantons Zürich, geht davon aus, dass der Kanton Zürich kein Problem mit dem Datenschutzniveau hat. Er stellt aber die Frage, ob der Bund hier nicht ohne Kompetenz legiferiere. Herr Thür meint, dass Art. 37 Abs. 1 DSG nicht in den Hoheitsbereich der Kantone eingreife, sondern nur diejenigen Bereiche erfasse, in denen die Kantone entweder Bundesrecht vollziehen oder mit dem Bund zusammenarbeiten würden. Er betont weiter, dass gewisse Kantone nur über rudimentäre Datenschutzbestimmungen verfügten und daher ein Bedürfnis nach Rechtsvereinheitlichung und einheitlichem Schutzniveau nicht von der Hand zu weisen sei. Herr Belser und Herr Baeriswyl fordern ein Gegenrecht für die Kantone; diese müssten zumindest wissen, was mit ihren Daten beim Bund geschehe. Herr Page wirft die Frage auf, wer denn entscheide, ob die kantonalen Datenschutzvorschriften einen angemessenen Schutz gewährleisten. Auch Herr Lehmann und Herr Thür vermissen hier eine Antwort des Gesetzes.
Die Teilnehmer des Panels sind sich darin einig, dass das eigentliche Problem bei denjenigen Kantonen liegt, die über kein angemessenes Schutzniveau verfügen; der Hebel müsse hier angesetzt werden. Frau Cossali Sauvain weist darauf hin, dass es mit einer entsprechenden kantonalen Regelung allein noch nicht getan sei. In gewissen Kantonen wäre die rechtliche Grundlage für einen angemessenen Datenschutz an sich gegeben, es fehle aber teilweise an den personellen Ressourcen, um das kantonale Recht auch durchzusetzen.

Ist die Revision des Datenschutzgesetzes genügend ehrgeizig?
Das geltende Gesetz beruht auf der Datenschutzphilosophie der 70er Jahre, die zu Recht einen von der Technologie unabhängigen Ansatz verfolgt, so Herr Thür; die Revision ändere daran nichts. Dieses Konzept biete eine gewisse Flexibilität und erlaube eine bessere Anpassung an die technologische Entwicklung, der insbesondere auch mit technischen Mitteln (Datenschutz durch Technik) entgegengetreten werden könne. Für Herrn Baeriswyl muss Datenschutz auch ein Technikgestaltungsrecht werden; Datenschutz sei nicht nur mit rechtlichen Instrumenten, sondern ebenso mit Mitteln der Verschlüsselungstechnik, mit anonymer Nutzung von Systemen, mit Datenvermeidung und Datensparsamkeit möglich. Er bedauert, dass der Revision ein konzeptioneller Ansatz fehlt. So werde insbesondere die Frage ausgeklammert, welche Bedeutung der Schutz der Privatheit für die Gesellschaft habe.
Herr Lehmann und Herr Thür sind sich einig, dass die bürokratischen Auflagen im DSG noch mehr reduziert werden sollten. Herr Rosenthal begrüsst die Ansätze und Motive der Revision, wünscht sich aber schärfere Sanktionen und klarere Regeln, die bei den Betroffenen den Leidensdruck erhöhen würden. Ziel müsse es sein, bei den Betroffenen den Eindruck zu hinterlassen, dass Datenschutz notwendig sei.
Bis zum Schluss blieb offen, ob die Zeit für eine Totalrevision des Datenschutzgesetzes bereits reif ist. Die Teilnehmer des Panels sind sich aber einig, dass die vorliegende Teilrevision angesichts ihrer Entstehungsgeschichte weder ein grosser Wurf sein wollte noch konnte.



* lic. iur., wiss. Assistent am Lehrstuhl für Technologie- und Informationsrecht an der ETH Zürich



Fenster schliessen