Lexipedia

Keller-Sutter Karin · Bundesrat · 2019-09-24

Keller-Sutter Karin · Bundesrat · St. Gallen · 2019-09-24

Wortprotokoll

Als das aktuelle Datenschutzgesetz des Bundes im Juli 1993 in Kraft getreten ist, steckte das Internet noch in den Kinderschuhen, und wir alle wissen: Seither ist die technologische Entwicklung rasant fortgeschritten. Die Digitalisierung ermöglicht es, grosse Mengen von Daten über Personen zu speichern, zu verknüpfen und zu analysieren. Im Vergleich zum analogen Zeitalter haben Datenbearbeitungen exponentiell zugenommen und sind intransparenter geworden. Online hinterlassen wir Tag für Tag unzählige Datenspuren und geben dabei, ob bewusst oder unbewusst, viel über unser Leben preis. Auch Meldungen über Datenlecks und Hackerangriffe sorgen immer wieder für Aufsehen, bereiten uns aber auch Sorgen.

Mit der Totalrevision des Datenschutzgesetzes verfolgt der Bundesrat deshalb ein Hauptziel: Er will den Schutz unserer Daten verbessern und an die neue technologische Realität anpassen. Gleichzeitig will der Bundesrat sicherstellen, dass die Schweiz auch in der digitalen Welt am freien Datenverkehr teilhaben kann. Dies ist für den Wirtschaftsstandort Schweiz zentral. Der freie Datenverkehr funktioniert aber nur mit einem gemeinsamen Datenschutzstandard, und dieser Standard orientiert sich heute vor allem am Europarat und an der Europäischen Union. Darüber hinaus gibt es weitere Gründe, dass sich das schweizerische Datenschutzrecht an den europäischen Standards orientiert: Es geht zunächst um die Anpassung an das Schengen-Recht. Ferner hat die Schweiz ein vitales Interesse, dass das schweizerische Datenschutzniveau mit Blick auf das Recht in der EU äquivalent ist.

Lassen Sie mich das kurz ausführen. Die EU-Richtlinie 2016/680 zum Datenschutz in Strafsachen gehört zum Schengen-Besitzstand. Sie haben die nötigen Bestimmungen zur Umsetzung der Richtlinie bereits im Rahmen der ersten Etappe der Revision des Datenschutzgesetzes im September 2018 verabschiedet. Dazu gehört insbesondere das neue Schengen-Datenschutzgesetz, welches zusammen mit weiteren Bestimmungen am 1. März 2019 in Kraft getreten ist. Damit hat die Schweiz ihre Verpflichtungen aus der Schengener Zusammenarbeit mit nur geringfügiger Verspätung erfüllt.

Das Schengen-Datenschutzgesetz ist jedoch lediglich als Übergangslösung konzipiert. Aus diesem Grund muss es jetzt im Rahmen der Totalrevision des Datenschutzgesetzes wieder aufgehoben und durch das allgemeine Datenschutzgesetz ersetzt werden. Ich bitte Sie deshalb, bei der Detailberatung auch hier daran zu denken, dass das revidierte Datenschutzgesetz stets auch den Anforderungen des Schengen-Datenschutzrechtes entsprechen muss.

Die EU hat im Mai 2018 mit der sogenannten Datenschutz-Grundverordnung (DSGVO) ihren allgemeinen Datenschutzrahmen modernisiert und gestärkt. Zwar handelt es sich bei der Verordnung nicht um eine Weiterentwicklung des Schengen-Besitzstandes, sie muss daher von der Schweiz auch nicht zwingend übernommen werden. Aber eine Annäherung des schweizerischen Datenschutzrechtes an die DSGVO ist erforderlich, wenn die Schweiz von der EU weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkannt werden will. [PAGE 1782]

Worum geht es hier? Nach dem EU-Recht dürfen Personendaten nur dann ohne Weiteres in andere Staaten übermittelt werden, wenn diese Staaten ein Datenschutzniveau aufweisen, das demjenigen in der EU gleichwertig ist. Dies ist keine Besonderheit der EU. Auch andere Staaten verfolgen eine solche Praxis, so auch die Schweiz. Dies gilt schon heute, und auch der Ihnen nun vorliegende Entwurf sieht in Artikel 13 vor, dass der Bundesrat eine Liste mit Staaten erstellt, welche aus Sicht der Schweiz einen gleichwertigen Datenschutz aufweisen. Insofern besteht also Reziprozität zwischen der Schweiz und der EU.

Nur mit einem Angemessenheitsbeschluss der EU werden schweizerische Unternehmen gegenüber den in der EU niedergelassenen Unternehmen gleichbehandelt und profitieren von einem freien Datenfluss. Zurzeit überprüft die EU das Datenschutzniveau von allen Drittstaaten, die heute über einen solchen Angemessenheitsbeschluss verfügen, darunter also auch der Schweiz. Diese Evaluation soll bis Ende Mai 2020 abgeschlossen werden. Ein Verlust oder eine Sistierung des Angemessenheitsbeschlusses hätte für die schweizerische Wirtschaft erhebliche Nachteile zur Folge. In einem solchen Fall dürften Unternehmen aus der EU ihren schweizerischen Geschäftspartnern Personendaten nur noch unter erschwerten Voraussetzungen bekanntgeben. Die schweizerischen Unternehmen müssten sich etwa durch geeignete Garantien verpflichten, das europäische Datenschutzniveau zu wahren. Wenn man also von bürokratischem Mehraufwand spricht, dann muss man auch darüber sprechen, dass gerade diese Garantieerklärung einen erheblichen bürokratischen und administrativen Mehraufwand generieren würde. Ausserdem könnten Wettbewerbsnachteile entstehen. EU-Unternehmen könnten Schweizer Geschäftspartner meiden, weil sie die administrativen Hürden scheuen oder eben keine Verstösse gegen die EU-Regelung in Kauf nehmen wollten.

Anders als es auf den ersten Blick scheint, wären nicht nur grosse Unternehmen oder international tätige Konzerne von den Nachteilen betroffen. Sie wissen, diese haben sich längst arrangiert: Sie haben einen Sitz in der EU, sie haben Compliance-Abteilungen. Betroffen wären vor allem KMU, die standortgebunden in der Schweiz sind. Denn diese sind ebenfalls darauf angewiesen, dass sie mit ihren Geschäftspartnern in der EU effizient und unbürokratisch Daten über Lieferanten, Daten über Kunden, über Mitarbeitende austauschen können. Dazu kommt, dass die kleinen und mittleren Unternehmen meistens eben nicht über ausgebaute Compliance-Abteilungen verfügen, wie das bei grossen Firmen der Fall ist, und beim Aushandeln von individuellen Datenschutzlösungen sogar noch stärker belastet sein könnten. Schliesslich könnten auch aussereuropäische Länder wie Japan zusätzliche Massnahmen für den grenzüberschreitenden Datenverkehr mit der Schweiz verlangen.

Nicht nur für die Wirtschaft, sondern auch für die schweizerische Bevölkerung entstehen Nachteile, wenn die Schweiz ihr Recht nicht dem europäischen Datenschutzniveau anpasst. Dann wäre nämlich die Privatsphäre der Bürgerinnen und Bürger in der Schweiz weniger gut geschützt als im restlichen Europa. Verschiedene, vor allem grössere Unternehmen haben inzwischen beschlossen, dass sie für die Kundinnen und Kunden der Schweiz freiwillig das europäische Datenschutzregime anwenden. Andere Unternehmen werden dagegen vorerst zwischen Kunden aus der Schweiz und Kunden aus dem europäischen Ausland unterscheiden.

Das Datenschutzrecht hat sich nicht nur in der EU verändert, sondern auch im Rahmen des Europarates. Wie Sie wissen, hat der Europarat im letzten Jahr seine Datenschutzkonvention modernisiert - es ist die Datenschutzkonvention 108 plus. Diese Konvention ist das erste verbindliche völkerrechtliche Instrument im Bereich des Datenschutzes und hat eine internationale Ausstrahlung über Europa hinaus. Die Schweiz hat die Konvention in ihrer ursprünglichen Fassung am 2.[NB]Oktober 1997 ratifiziert. Für die Schweiz hat der modernisierte Rechtsakt des Europarates sowohl für den Schutz der Privatsphäre als auch für den internationalen Marktzugang grosse Bedeutung. Auch im Rahmen der Angemessenheitsprüfung durch die EU kommt der Datenschutzkonvention 108 plus grosse Tragweite zu. Die EU berücksichtigt jeweils, ob die entsprechenden Drittstaaten der Konvention beigetreten sind. Ausserdem nimmt das Interesse aussereuropäischer Staaten an einem Beitritt zur Konvention zu.

Wie ich die Präsidentin und den Präsidenten Ihrer Staatspolitischen Kommissionen informiert habe, werde ich dem Bundesrat deshalb beantragen, dass er die Datenschutzkonvention 108 plus im Herbst 2019 unterzeichnet und Ihnen anschliessend eine Botschaft vorlegen wird, damit Sie über die Genehmigung entscheiden können. Die Unterzeichnung der Konvention 108 plus ist ein wichtiges Bekenntnis der Schweiz zu einem international anerkannten Datenschutzstandard und ein positives Signal mit Blick auf die Angemessenheitsüberprüfung der EU. Der Beitritt der Schweiz zur Konvention 108 plus ist in der Vernehmlassung übrigens weitgehend unbestritten geblieben.

Vor diesem Hintergrund ist es wichtig, dass die Totalrevision des Datenschutzgesetzes inhaltlich mindestens den Standard der Datenschutzkonvention 108 plus gewährleistet, wie dies der Bundesrat in seinem Entwurf schon vorgesehen hat. Damit lassen sich auch die wesentlichen Kernforderungen der EU an ein angemessenes Datenschutzniveau erfüllen. Wir werden noch darauf zurückkommen.

Erlauben Sie mir nach dieser Auslegeordnung, noch kurz auf die wichtigsten Revisionspunkte zu sprechen zu kommen. Vorweg möchte ich betonen, dass der Bundesrat bei seinem Entwurf darauf geachtet hat, dass er wirtschaftsverträglich ist und den Unternehmen so viel Flexibilität wie möglich belässt. Wir haben es gehört, Herr Nationalrat Fluri hat auf den Gewerbeverband hingewiesen, der das Ergebnis Ihrer Beratung nun unterstützt.

Der Gesetzentwurf folgt auch einem risikobasierten Ansatz. Das heisst, die Unternehmen sind unterschiedlich stark von der Totalrevision des Datenschutzgesetzes betroffen. Für Unternehmen wie eine lokale Metzgerei, eine Schreinerei oder eine Papeterie, die kaum sensible Daten haben, gelten weniger strenge Regeln als für Unternehmen, die mit vielen oder eben mit heiklen Daten arbeiten wie etwa mit Gesundheitsdaten. Auf diese Weise kann auf Unternehmen Rücksicht genommen werden, bei denen die Datenbearbeitung nur eine untergeordnete Rolle spielt. Das Risiko einer Datenbearbeitung hat im Übrigen nichts mit der Grösse eines Unternehmens zu tun, denn auch ein kleines Unternehmen wie zum Beispiel eine Arztpraxis oder ein Cloud-Dienstleister kann mit sensiblen Daten arbeiten.

Es gibt in der Totalrevision des Datenschutzgesetzes vier zentrale Punkte:

1.[NB]Die Transparenz von Datenbearbeitungen soll erhöht werden, und die betroffenen Personen sollen die Kontrolle über ihre eigenen Daten haben.

2.[NB]Die Revision will die Eigenverantwortung der Datenbearbeiter und die Prävention fördern. Datenbearbeitungen sollen von Anfang an technisch so ausgestaltet werden, dass die Datenschutzvorschriften eingehalten und so wenige Daten wie möglich bearbeitet werden.

3.[NB]Die Datenschutzaufsicht soll gestärkt werden. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte in der Schweiz hat heute weniger Befugnisse als die anderen Datenschutzbehörden in Europa.

4.[NB]Es soll strengere Strafbestimmungen zwecks besserer Einhaltung des Datenschutzgesetzes geben.

Der Bundesrat ist sich bewusst, dass diese Neuerungen - und das wurde beim Eintreten auch kritisiert - einen gewissen Mehraufwand mit sich bringen werden. Es ist entscheidend, hier einen sinnvollen Ausgleich zwischen dem individuellen Datenschutz und den Interessen der Wirtschaft zu finden. Allerdings würde auch der Verzicht auf eine Revision des Datenschutzrechts einen Mehraufwand für die Unternehmen schaffen, denn anstatt einer allgemeinen Regelung auf Gesetzesstufe müssten dann eben individuelle Garantieerklärungen ausgehandelt werden. Der Datenschutz ist nicht nur ein Verhinderungsinstrument, sondern auch eine Chance: Wenn das Vertrauen in die digitalen Technologien und ihre Anbieter fehlt, dann wird die Bevölkerung zögern, neue Angebote und Dienstleistungen in Anspruch zu nehmen. Insgesamt handelt es sich beim Gesetzentwurf des Bundesrates um eine ausgewogene Vorlage. [PAGE 1783]

Ich möchte Sie zuletzt noch bitten, den Rückweisungsantrag der Kommissionsminderheit I (Rutz Gregor) abzulehnen.

Ich habe Ihnen die Sicht des Bundesrates bereits dargelegt. Die Vorlage des Bundesrates ist aus unserer Sicht wirtschaftsverträglich ausgestaltet. Sie geht nicht weiter, als es das europäische Recht für ein angemessenes Datenschutzniveau verlangt, und nutzt den Handlungsspielraum für die Schweiz. Es geht auch nicht um eine sklavische Eins-zu-eins-Umsetzung, sondern um ein angemessenes Datenschutzniveau. Im Übrigen kann ein moderner Datenschutz nicht nur für international ausgerichtete Unternehmen, sondern auch für Betriebe, die ausschliesslich in der Schweiz tätig sind, zum Marktvorteil werden. Ich habe bereits ausgeführt, dass es in diesem Bereich auch eine Reziprozität gibt.

Eine Rückweisung an den Bundesrat würde bedeuten, dass rund zwei weitere Jahre verstreichen würden. Das wäre tatsächlich eine Verzögerung, da eine Botschaft auszuarbeiten und eine Vernehmlassung durchzuführen wären.

Ich werde im Rahmen der Detailberatung - das wurde von Ihrer Kommission so gewünscht - explizit auf diejenigen Mehrheits- und Minderheitsanträge Ihrer Kommission eingehen, die mit Blick auf das europäische Datenschutzrecht problematisch sein könnten oder das heutige Datenschutzniveau in der Schweiz wesentlich schwächen würden. Sodann werde ich auf Wunsch Ihrer Kommission zuhanden der Materialien zu gewissen Artikeln Stellung nehmen.

Ich möchte Sie bitten, jetzt einzutreten und dann die Detailberatung durchzuführen.