Keller-Sutter Karin · Bundesrat · 2019-12-18
Keller-Sutter Karin · Bundesrat · St. Gallen · 2019-12-18
Wortprotokoll
Ich habe schon noch etwas zu sagen. Ich danke Ihnen für das Wort. Auch wenn Eintreten, wie es scheint, unbestritten ist, scheint es mir doch wichtig darzulegen, auch wenn es zuhanden des Amtlichen Bulletins ist, welche Überlegungen den Bundesrat zu dieser Revision geführt haben.
Mit der Totalrevision des Datenschutzgesetzes verfolgt der Bundesrat ein Hauptziel: Er will den Schutz unserer Daten verbessern und an die technologische Realität der Gegenwart anpassen. Gleichzeitig will der Bundesrat sicherstellen, dass die Schweiz auch in der digitalen Welt am freien Datenverkehr teilhaben kann. Das ist für den Wirtschaftsstandort Schweiz von zentraler Bedeutung. Der freie Datenverkehr funktioniert aber nur mit einem gemeinsamen Datenschutzstandard. Dieser Standard ist heute vor allem am Europarat und an der EU orientiert.
Die Schweiz hat ein vitales Interesse daran, dass ihr Datenschutzniveau mit Blick auf das Recht in der EU äquivalent ist. Ich möchte das kurz erläutern. Die EU hat in den vergangenen Jahren verschiedene ihrer Datenschutzerlasse revidiert. Dazu gehört unter anderem die Schengen-relevante EU-Richtlinie 2016/680 zum Datenschutz in Strafsachen. Sie haben hier die nötigen Bestimmungen zur Umsetzung dieser Richtlinie bereits im Rahmen der ersten Etappe der Revision des Datenschutzes im September 2018 verabschiedet. Das betrifft insbesondere das neue Schengen-Datenschutzgesetz, das zusammen mit weiteren Bestimmungen am 1.[NB]März 2019 in Kraft getreten ist. Damit hat die Schweiz die Schengen-Verpflichtungen erfüllt.
Neben dieser spezifischen Richtlinie hat die EU im Mai 2018 mit der sogenannten Datenschutz-Grundverordnung ausserdem auch ihren allgemeinen Datenschutzrahmen modernisiert und gestärkt. Zwar handelt es sich bei der Datenschutz-Grundverordnung der EU nicht um eine Weiterentwicklung des Schengen-Besitzstandes. Sie muss daher von der Schweiz auch nicht zwingend übernommen werden. Aber eine Annäherung des schweizerischen Datenschutzrechts an die Datenschutz-Grundverordnung ist erforderlich, wenn die Schweiz von der EU weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkannt werden will.
Worum geht es hier? Nach dem EU-Recht dürfen Personendaten nur dann ohne zusätzliche Hürden in andere Staaten übermittelt werden, wenn diese Staaten ein Datenschutzniveau aufweisen, das demjenigen in der EU gleichwertig ist. Das heisst, dass nur mit einem Angemessenheitsbeschluss der EU schweizerische Unternehmen gegenüber den in der EU niedergelassenen Unternehmen gleich behandelt werden. Nur dann profitieren unsere Unternehmen auch von einem freien Datenfluss. Bei dieser Regelung handelt es sich nicht um eine Besonderheit der EU. Andere Staaten wie auch die Schweiz verfolgen bereits heute eine solche Praxis. Auch der Entwurf zur Totalrevision des Datenschutzgesetzes sieht in Artikel 13 vor, dass der Bundesrat eine Liste mit Staaten erstellt, die aus Sicht der Schweiz einen gleichwertigen [PAGE 1239] Datenschutz aufweisen. Insofern besteht also Reziprozität zwischen der Schweiz und der EU.
Zurzeit überprüft die EU das Datenschutzniveau der Schweiz und anderer Drittstaaten, die über einen Angemessenheitsbeschluss der EU verfügen. Diese Evaluation soll bis Ende Mai 2020 abgeschlossen werden.
Ein Verlust oder auch eine Sistierung des Angemessenheitsbeschlusses hätte für die schweizerische Wirtschaft erhebliche Nachteile zur Folge. In einem solchen Fall dürften Unternehmen aus der EU ihren schweizerischen Geschäftspartnern Personendaten nur noch unter erschwerten Voraussetzungen bekannt geben. Wenn Schweizer Unternehmen Daten liefern würden, müssten sie entsprechende Garantieerklärungen abgeben, wenn der Angemessenheitsbeschluss nicht mehr gelten würde. Das führte zu einem erheblichen administrativen Mehraufwand, vor allem für die KMU. Anders, als es auf den ersten Blick scheint, wären also nicht einfach nur international tätige Konzerne von Nachteilen betroffen - diese haben ja teilweise auch einen Sitz in einem EU-Staat, weshalb die Angemessenheit gegeben ist, während KMU das für sich nicht in Anspruch nehmen können.
Doch nicht nur für die Wirtschaft, sondern auch für die schweizerische Bevölkerung entstehen Nachteile. Wenn die Schweiz ihr Recht nicht an das europäische Datenschutzniveau anpassen würde, wäre die Privatsphäre der Bürgerinnen und Bürger in unserem Land weniger gut geschützt als im restlichen Europa.
Das Datenschutzrecht hat sich aber nicht nur in der EU verändert. Wie Sie wissen, hat auch der Europarat im letzten Jahr seine Datenschutzkonvention modernisiert. Für die Schweiz hat der modernisierte Rechtsakt des Europarates sowohl für den Schutz der Privatsphäre als auch für den internationalen Marktzugang grosse Bedeutung. Ausserdem kommt der Datenschutzkonvention 108 plus im Rahmen der Angemessenheitsprüfung durch die EU eine wichtige Rolle zu. Der Bundesrat hat die Datenschutzkonvention 108 plus deshalb am 21. November 2019 unterzeichnet. Ausserdem hat er an seiner Sitzung vom 6. Dezember die Botschaft zur modernisierten Konvention verabschiedet, sodass das Parlament möglichst bald über die Genehmigung entscheiden kann. Diese Schritte sind unter anderem auch ein wichtiges positives Signal mit Blick auf die Angemessenheitsprüfung der EU.
Diese Schritte sind wichtig, damit auch die wesentlichen Kernanforderungen der EU an ein angemessenes Datenschutzniveau erfüllt werden können. Angemessen, das möchte ich betonen, heisst nicht, dass man sklavisch jedes Wort einer Verordnung übernehmen muss. Es geht vielmehr um eine Annäherung an diese Verordnung. Wir verfügen also durchaus über einen gewissen Handlungsspielraum auch jetzt, bei der Beratung unseres Datenschutzgesetzes.
Die Angemessenheit des schweizerischen Datenschutzniveaus war in der Debatte des Nationalrates ein wichtiger Punkt und wurde intensiv diskutiert. Die Mehrheit des Nationalrates war sich einig, dass die Schweiz ein Datenschutzniveau erreichen soll, das den europäischen Standards angemessen ist und den freien Datenverkehr gewährleistet. Trotzdem erfüllen einige Beschlüsse des Nationalrates den europäischen Mindeststandard nicht oder bieten einen geringeren Schutz als das heutige Recht. Der Nationalrat hat deshalb den Wunsch geäussert, dass die noch verbliebenen Punkte im Ständerat vertieft geprüft werden. Ihre vorberatende Staatspolitische Kommission hat diese Prüfung sehr sorgfältig durchgeführt, und ich möchte an dieser Stelle auch der ehemaligen Ständerätin und Kommissionspräsidentin, Frau Bruderer Wyss, herzlich für die zügige Beratung danken. Sie ist auch in Bezug auf die Angemessenheit, die ich jetzt ausführlich dargestellt habe, nicht unwesentlich.
Ihre Kommission beantragt Ihnen bei verschiedenen Punkten, von den Beschlüssen des Nationalrates abzuweichen, namentlich dort, wo die Fassung der grossen Kammer mit Blick auf das europäische Datenschutzrecht problematisch ist. Ihre Kommission hat ausserdem bei einigen zentralen Stellen der Vorlage Kompromisslösungen gefunden, um einen wesentlichen Rückschritt zum geltenden Recht zu vermeiden. Es ist nämlich der Fall, dass nach der Beratung im Nationalrat nun einige Bestimmungen hinter das heute geltende Datenschutzrecht zurückgehen. Dies betrifft insbesondere auch die Problematik des Profilings. Der Vorschlag Ihrer Kommission ist jetzt ausgewogen und für die Herausforderungen der digitalen Ära geeignet. Wir werden in der Detailberatung noch darauf zurückkommen.
Ich komme nun noch einmal kurz zu den wichtigsten Punkten der Revision, nachdem ich doch vor allem ausführlich über die Angemessenheit gesprochen habe.
Der Bundesrat wollte einen wirtschaftsverträglichen und flexiblen Entwurf, einen Entwurf, der risikobasiert ist, das heisst, der sich nicht nach der Grösse des Unternehmens, sondern nach der Art und Weise der bearbeiteten Daten richtet. Ein Unternehmen wie eine lokale Metzgerei oder eine Schreinerei haben ja kaum sensible Daten. Eine kleine Arztpraxis hingegen - es muss kein Konzern sein - kann durchaus sensible Daten über ihre Patientinnen oder Patienten haben. Es gibt beispielsweise auch Cloud-Dienstleister, die ein höheres Risiko aufweisen. Auf diese Weise kann auf Unternehmen Rücksicht genommen werden, bei denen die Datenbearbeitung nur eine untergeordnete Rolle spielt.
Weitere Zielsetzungen der Revision des Datenschutzgesetzes: Das Hauptziel der Revision, ich möchte dies in Erinnerung rufen, ist es, die Transparenz von Datenbearbeitungen zu erhöhen und den betroffenen Personen mehr Kontrolle über ihre eigenen Daten zu geben. Weiter will die Revision die Prävention und Eigenverantwortung der Datenbearbeiter fördern. Die Datenschutzaufsicht soll gestärkt werden. Das ist ein Punkt, der auch für die Angemessenheitsprüfung der EU besonders wichtig ist. Heute hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte weniger Befugnisse als die anderen Datenschutzbehörden in Europa. Schliesslich sollen auch strengere Strafbestimmungen eingeführt werden. Ich möchte Sie deshalb bitten, auf die Vorlage einzutreten.
In der Detailberatung kann sich der Bundesrat den meisten Anträgen Ihrer Staatspolitischen Kommission anschliessen. Er begrüsst es insbesondere, dass Ihre Kommission von verschiedenen Beschlüssen des Nationalrates abweichen will, die mit Blick auf die Angemessenheitsprüfung der EU kritisch sind oder die einen Rückschritt zum geltenden Recht bedeuten. Nun, ich bin zuversichtlich, dass wir mit der Vorlage Ihrer Kommission eine gute Grundlage haben, um die Privatsphäre unserer Bürgerinnen und Bürger besser zu schützen und gleichzeitig den freien Datenverkehr zu fördern.
Ich werde mich in der Detailberatung nur noch zu einzelnen Anträgen bzw. Minderheitsanträgen, beispielsweise jenen des Kommissionssprechers - ich glaube, es sind etwa[NB]drei, sofern die Minderheitsanträge aufrechterhalten werden -, äussern. Ansonsten werde ich mich der Kommission[NB]anschliessen.
[VS]