Keller-Sutter Karin · Bundesrat · 2020-03-05
Keller-Sutter Karin · Bundesrat · St. Gallen · 2020-03-05
Wortprotokoll
Ich danke Ihnen für Ihre Arbeit. Sie sind in der Differenzbereinigung doch schon einige Schritte aufeinander zugegangen. Wir sind noch nicht ganz auf der Zielgeraden, aber ich bin zuversichtlich, dass die Folgearbeiten auch noch Kompromisse zeitigen werden.
Erlauben Sie mir, wie das die Vorrednerinnen und Vorredner auch gemacht haben, noch zu einigen Differenzen zu sprechen, zu Differenzen, die aus der Sicht des Bundesrates besonders wichtig sind. Ich möchte hier etwas detaillierter darauf eingehen.
Der erste Punkt betrifft die genetischen Daten, welche der Bundesrat in Artikel 4 Buchstabe c Ziffer 3 neu in den Katalog der besonders schützenswerten Personendaten aufgenommen hat. Der Nationalrat will dagegen nur genetische Daten, die eine natürliche Person eindeutig identifizieren, als besonders schützenswerte Personendaten qualifizieren. Aus Sicht des Bundesrates sprechen verschiedene Gründe gegen diese Lösung: Genetische Daten sagen viel über eine Person, dabei geht es aber nicht nur darum, dass sie eine Person eindeutig identifizieren können. Genetische Daten enthalten auch zahlreiche Informationen über den Gesundheitszustand einer Person. Ausserdem können sie Informationen über die Familie der betroffenen Person liefern. Ein strikter Schutz ist daher angebracht. Die Fassung des Nationalrates schafft hier Rechtsunsicherheit, denn der Umgang mit genetischen Daten wird vor allem mit Spezialgesetzen, wie z. B. dem Humanforschungsgesetz, geregelt. Auch in den europäischen Rechtsakten werden alle genetischen Daten ohne terminologische Einschränkung geschützt. Die vom Nationalrat beschlossene Fassung zu Artikel 4 Buchstabe c Ziffer 3 könnte deshalb bei der Überprüfung des Angemessenheitsbeschlusses der Schweiz durch die EU Fragen aufwerfen.
Im Übrigen konnte den Befürchtungen der Wirtschaft, dass die Schweiz Datenbearbeitungen im Forschungsbereich strenger reguliert als die EU, mit einer Kompromisslösung an anderer Stelle Rechnung getragen werden. Mit einer Änderung von Artikel 27 Absatz 2 Buchstabe e wird der besondere Rechtfertigungsgrund für die Forschung ausgeweitet.
Schliesslich möchte ich darauf hinweisen, dass der Bundesrat die genetischen Daten bei der Begriffsdefinition bewusst anders behandelt als die biometrischen Daten, welche nur dann als besonders schützenswert gelten, wenn sie die betroffene Person eindeutig identifizieren. Bei den biometrischen Daten ist eine solche Einschränkung notwendig. Ansonsten würden darunter auch Daten zu Körpermerkmalen fallen, die nicht besonders heikel sind, wie etwa eine gewöhnliche Fotografie, die Körpergrösse oder die Blutgruppe einer Person. Genetische Daten dagegen sind immer heikel, sobald sie personenbezogen sind. Ich bitte Sie aus diesen Gründen, bei Artikel 4 Buchstabe c Ziffer 3 die Minderheit Flach zu unterstützen und wie der Ständerat zur Fassung des Bundesrates zurückzukehren.
Ich komme zum zweiten Punkt, dem Profiling: Das Profiling ist für den Datenschutz eine zentrale Herausforderung. Die Diskussionen in National- und Ständerat haben gezeigt, dass der Entwurf des Bundesrates, in welchem das Profiling per se als problematisch betrachtet wird, als zu restriktiv angeschaut werden kann. Eine vollständige Streichung der qualifizierten Rechtsfolgen beim Profiling durch private Datenbearbeiter würde aber auch zu weit gehen. Eine solche Nichtregulierung würde einen wesentlichen Rückschritt im Vergleich zum geltenden Recht bedeuten, welches immerhin besondere Regeln für Persönlichkeitsprofile vorsieht. Da das Profiling im Bereich von Big Data und der künstlichen Intelligenz noch mehr an Bedeutung gewinnen wird - da werden dann aufgrund verschiedener Datenquellen Profile hergestellt -, sollte hier eine Schutzlücke vermieden werden.
Der Ständerat hat sich ausführlich mit dem Profiling auseinandergesetzt und sich für einen differenzierten Umgang damit ausgesprochen. Danach sollen nicht für jedes Profiling, sondern nur für ein Profiling mit hohem Risiko strengere Rechtsfolgen gelten. Profiling mit hohem Risiko wird aber [PAGE 147] nicht verboten. Was unter einem Profiling mit hohem Risiko zu verstehen ist, hat der Ständerat in einer neuen Legaldefinition in Artikel 4 Buchstabe fbis präzisiert. Zwar lässt sich nicht abschliessend festhalten, in welchen Fällen Profiling ein hohes Risiko mit sich bringt, denn der rasche technologische Wandel führt dazu, dass immer wieder auf neue Herausforderungen reagiert werden muss. Dem Ständerat ist es aber gelungen, exemplarisch zwei in der Praxis wichtige Konstellationen zu nennen, in welchen Profiling besonders riskant ist. Mit dem Konzept des Ständerates kann ein vergleichbares Schutzniveau wie heute mit den Vorschriften zum Persönlichkeitsprofil erreicht werden. Es geht nicht darum, dass man über das Ziel hinausschiesst, aber es geht darum, das heutige Schutzniveau festzuhalten.
Die Minderheit II (Jauslin) will dem risikobasierten Konzept des Ständerates folgen, schlägt aber eine andere Legaldefinition des Profilings mit hohem Risiko vor. Demnach soll ein Profiling mit hohem Risiko nur dann vorliegen, wenn es zu besonders schützenswerten Daten führt. Eine solche Legaldefinition ist aus Sicht des Bundesrates nicht sinnvoll, denn basiert ein Profiling auf besonders schützenswerten Personendaten oder sollen solche Daten im Rahmen eines Profilings hergeleitet werden, so kommen ohnehin die qualifizierten Rechtsfolgen zur Anwendung, die bei der Bearbeitung von besonders schützenswerten Personendaten gelten. Mit der Minderheit II (Jauslin) würde also kein zusätzlicher Schutz bei riskantem Profiling entstehen. Ich sage das einfach, damit Ihnen bewusst ist, dass wir hier nicht auf der Linie des Ständerates sind. Ich bitte Sie deshalb, hier die Minderheit I (Glättli) zu unterstützen und damit auch den Kompromissvorschlag des Ständerates zu stärken.
Der dritte Punkt betrifft die Informationspflicht bei der Beschaffung von Personendaten. Hier geht es um einen zentralen Pfeiler des Datenschutzrechts, der für die Beibehaltung der Angemessenheit von wesentlicher Bedeutung ist. Es ist deshalb wichtig, auch beim Ausnahmeregime in Artikel 18 mindestens die Anforderungen der Datenschutzkonvention 108 des Europarates einzuhalten. Diese Anforderungen werden mit der Fassung des Nationalrates in Artikel 18 Absatz 1 Buchstabe e nicht erfüllt. Gemäss Nationalrat soll die Ausnahme des unverhältnismässigen Aufwands auch dann zur Anwendung kommen, wenn die Personendaten direkt bei der betroffenen Person beschafft werden. Der Entwurf des Bundesrates und das europäische Datenschutzrecht lassen diesen Ausnahmetatbestand dagegen nur für den Fall zu, dass die Daten bei einer Drittperson beschafft werden. Diese Lösung ist folgerichtig. Vor diesem Hintergrund bitte ich Sie, den Antrag der Minderheit Rutz Gregor abzulehnen und bei Artikel 18 Absatz 1 Buchstabe e dem Ständerat zu folgen.
Nun zum vierten Punkt, den Konzernen: Ich möchte hier auf das Konzept des Ständerates eingehen, welches bei der Einschränkung der Informationspflicht und des Auskunftsrechts sowie beim Rechtfertigungsgrund des wirtschaftlichen Wettbewerbs als Kompromisslösung eine Spezialregelung für Konzerne vorsieht. Nach dem Entwurf des Bundesrates kann ein privater Datenbearbeiter seine Informationspflicht bzw. das Auskunftsrecht der betroffenen Person bei überwiegenden eigenen Interessen nur dann einschränken, wenn er die Personendaten nicht Dritten bekannt gibt. Ihr Rat hat ursprünglich beschlossen, die Voraussetzung der Datenbekanntgabe an Dritte zu streichen. Diese Streichung würde aber zu einer Schwächung des geltenden Datenschutzrechts führen. Der Ständerat hat deshalb eine Kompromisslösung gefunden, die von Ihrer Kommissionsmehrheit unterstützt wird. Der Ständerat hat hier das berechtigte Anliegen Ihres Rates berücksichtigt, dass sich der Entwurf des Bundesrates insbesondere in Konzernverhältnissen störend auswirken könnte. Aus Kohärenzgründen gehört auch der Rechtfertigungsgrund des wirtschaftlichen Wettbewerbs in Artikel 27 Absatz 2 Buchstabe b zum Konzept des Ständerates. Hier wird allerdings nur die herrschende Lehre im Gesetzestext abgebildet.
Abschliessend sind mir zu diesem Konzept noch folgende Hinweise wichtig: Die Lösung des Ständerates ist keine Blankovollmacht für den Austausch von Personendaten innerhalb eines Konzerns. Die allgemeinen Datenschutzgrundsätze und das Erfordernis eines Rechtfertigungsgrundes bei einer Persönlichkeitsverletzung gelten weiterhin. Ausserdem lässt das Konzept des Ständerates ein differenziertes Vorgehen zu.
Fazit: Zwar hat der Entwurf des Bundesrates hier den Vorteil, dass er dem geltenden Recht entspricht und somit auch zu keiner Schwächung des Datenschutzes führt. Aber auch das Konzept des Ständerates in Artikel 18 Absatz 3 Buchstabe c und Absatz 4 stellt eine gangbare Kompromisslösung dar, welcher der Bundesrat zustimmen kann.
Nun zum Punkt der Kreditwürdigkeitsprüfung: In der Fassung des Bundesrates kommt der Rechtfertigungsgrund nur dann in Betracht, wenn die Daten, die bei der Kreditwürdigkeitsprüfung bearbeitet werden, nicht älter als fünf Jahre sind. Der Bundesrat will damit sicherstellen, dass die Richtigkeit und Aktualität von Bonitätsdaten gegeben ist. Die Mehrheit Ihrer Staatspolitischen Kommission beantragt Ihnen dagegen, mit einer leichten Modifikation an der Fassung des Nationalrates festzuhalten. Danach sollen Bonitätsdaten bearbeitet werden dürfen, solange sie nicht älter als zehn Jahre sind. Natürlich ergibt sich die Kreditwürdigkeit einer Person vor allem aus den Zahlungserfahrungen in der Vergangenheit. Es ist aber auch zu berücksichtigen, dass sich die wirtschaftliche Situation einer Person verändern kann. In den vom Nationalrat beschlossenen zehn Jahren kann sich wirtschaftlich nun wirklich sehr viel entwickeln und verändern. Die vom Bundesrat beantragte zeitliche Limitierung auf fünf Jahre erlaubt dagegen, Bonitätsdaten zu haben, die etwas über die aktuelle wirtschaftliche Situation aussagen.
Mit dem Einzelantrag Schneeberger soll für Personendaten aus öffentlich zugänglichen staatlichen Registern eine Ausnahme von der Altersgrenze eingeführt werden. Dabei ist vor allem an das Handelsregister zu denken. Nicht von der Ausnahme erfasst würden dagegen Register, bei welchen für die Einsichtnahme ein Interessennachweis verlangt wird. Rein rechtlich gesehen sprechen keine Gründe gegen eine solche Ausnahme. Allerdings bitte ich Sie zu beachten, dass Sie damit auch das Schutzniveau der betroffenen Person senken.
Aus diesen Gründen bitte ich Sie, bei Artikel 27 Absatz 2 Buchstabe c Ziffer 3 die Minderheit Wermuth zu unterstützen und wie der Ständerat zum Entwurf des Bundesrates zurückzukehren.
Nun noch zum letzten Punkt, der Verletzung von Sorgfaltspflichten im Bereich der Datensicherheit: Ich möchte hier auf die Strafbestimmung in Artikel 55 Buchstabe c zu sprechen kommen, welche die Verletzung von Sorgfaltspflichten im Bereich der Datensicherheit sanktioniert. Die Kommissionsminderheit Rutz Gregor beantragt Ihnen, am Beschluss des Nationalrates festzuhalten und diesen Straftatbestand zu streichen. Nach ihrer Ansicht ist Artikel 55 Buchstabe c zu unbestimmt formuliert. Die Vorbehalte der Kommissionsminderheit sind aus Sicht des Bundesrates unbegründet. Zwar wird der Begriff der Datensicherheit im Datenschutzgesetz nicht abschliessend definiert. Allerdings wird der Bundesrat in Artikel 7 Absatz 3 verpflichtet, Mindestanforderungen an die Datensicherheit auf Verordnungsstufe festzulegen. Das ist auch die Frage, die Herr Silberschmidt gestellt hat. Der Bundesrat ist also in der Festlegung der Mindestanforderungen nicht einfach frei. Er ist an wichtige Leitplanken des Gesetzgebers gebunden. Zum Beispiel wird in Artikel 7 Absatz 1 vorgegeben, dass die Datenbearbeiter durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit gewährleisten müssen. Diese Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden. Was unter Verletzung der Datensicherheit zu verstehen ist, wird wiederum in Artikel 4 Buchstabe g definiert. Mit anderen Worten: Die Datensysteme müssen gegen verschiedene Gefahren geschützt werden wie den Verlust, die Vernichtung oder die Veränderung von Personendaten oder den unbefugten Zugriff auf sie.
Die durch den Bundesrat festzulegenden Sicherheitsanforderungen müssen also die genannten Vorgaben des Gesetzgebers konkretisieren. Wie in der heutigen Verordnung zum Datenschutzgesetz kommen beispielsweise Zugriffskontrollen, Speicherkontrollen oder Bekanntgabekontrollen als Sicherheitsmassnahmen infrage. Es ist sinnvoll, dass diese [PAGE 148] Mindestanforderungen an die Datensicherheit vom Bundesrat auf Verordnungsstufe konkretisiert werden. Das ist auch aufgrund des technologischen Wandels so; es geht dann auch schneller, wenn man die Verordnung ändern will oder muss. Es ist selbstverständlich klar, dass solche Verordnungsänderungen in Ihrer Staatspolitischen Kommission konsultiert werden können.
Schliesslich noch zu den Strafbestimmungen im technischen Bereich: Es ist nicht unüblich, dass man bei Strafbestimmungen in technischen Bereichen auf Konkretisierungen angewiesen ist. Dabei sind diese Konkretisierungen zum Teil nicht einmal in bundesrätlichen Verordnungen festgelegt. Ich kann Ihnen hier ein Beispiel geben: Artikel 229 Absatz 1 StGB, wonach mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft wird, wer vorsätzlich bei der Leitung oder Ausführung eines Bauwerks oder eines Abbruchs die anerkannten Regeln der Baukunde ausser Acht lässt und dadurch wissentlich Leib und Leben von Mitmenschen gefährdet. Wenn Sie den Straftatbestand von Artikel 55 Buchstabe c streichen, könnte dies für die Angemessenheit des schweizerischen Datenschutzniveaus problematisch sein. Ich bitte Sie deshalb, hier Ihrer Kommissionsmehrheit zuzustimmen und den Minderheitsantrag Rutz Gregor abzulehnen.
Bei allen weiteren Differenzen, die ich jetzt nicht erwähnt habe, bitte ich Sie, der Kommissionsmehrheit zu folgen. Ich danke Ihnen für Ihre Geduld.