Die Fahne der Totalrevision des Datenschutzgesetzes sowie der Änderung weiterer Erlasse zum Datenschutz hat 258 Seiten. Der Ständerat arbeitete am Mittwoch effizient und beriet die Vorlage in anderthalb Stunden. Der Nationalrat hatte in der Herbstsession dafür fast sieben Stunden gebraucht.
Das hohe Tempo in der kleinen Kammer dürfte den klaren Mehrheitsverhältnissen in der Staatspolitischen Kommission (SPK) geschuldet sein. Dort sei der neue Schutzstandard von Standard zwar ebenfalls kontrovers diskutiert worden, sagte Sprecher Daniel Fässler (CVP/AI). Schliesslich hätten aber immer Kompromisse mit komfortablen Mehrheiten gefunden werden können.
Mindestens gleich hoher Schutz
Der Ständerat nahm das Datenschutzgesetz mit 29 zu 4 Stimmen an. Die laut Justizministerin Karin Keller-Sutter nun «ausgewogene Vorlage» geht zurück an den Nationalrat.
Dort dürften die Änderungen erneut zu langen Diskussionen Anlass geben. Der Ständerat hat das Gesetz gegenüber der nationalrätlichen Version klar verschärft. Die kleine Kammer verfolgte dabei drei Prämissen: ein mindestens gleiches Schutzniveau wie heute, ein mit EU-Recht kompatibles Gesetz, zudem ein Kompromiss beim sogenannten Profiling.
Gewerkschaftliche Arbeit geschützt
Stillschweigend beschloss die kleine Kammer etwa, die Daten über gewerkschaftliche Ansichten oder Tätigkeiten wieder in die Liste der besonders schützenswerten Personendaten aufzunehmen. Ebenfalls oppositionslos beschloss der Ständerat, die Ausnahme von der Informationspflicht bei unverhältnismässigem Aufwand aufzuheben, die vom Nationalrat eingeführt worden war.
Ebenfalls ohne Gegenantrag sieht die kleine Kammer zudem davon ab, einen abschliessenden Katalog der bei der Ausübung des Auskunftsrechts zu erteilenden Informationen einzuführen. Auch punkto strafrechtliche Sanktionen will der Ständerat weiter gehen als der Nationalrat. So soll - wie vom Bundesrat vorgeschlagen – die vorsätzliche Nichteinhaltung der Anforderungen an die Datensicherheit bestraft werden.
Kompromiss beim Profiling
Am umstrittensten waren im Ständerat die Regeln bezüglich Profiling. Ein solches liegt vor, wenn vollständig automatisiert – insbesondere durch einen Algorithmus – personenbezogene Daten ausgewertet werden, um daraus Lebensumstände, Persönlichkeitsmerkmale und Verhaltensweisen einer Person abzuleiten oder vorherzusagen.
Die SP und die Grünen hatten bereits im Nationalrat eine ausdrückliche Einwilligung der Betroffenen für ein Profiling im Gesetz festschreiben wollen, waren mit diesem Vorhaben aber deutlich gescheitert. Nun schlug der Ständerat mit 19 zu 14 Stimmen bei einer Enthaltung einen Kompromiss bei dieser Art der Datenbearbeitung vor.
Risikobasierte Regelung
Demnach soll der Begriff «Profiling mit hohem Risiko» in das Datenschutzgesetz aufgenommen werden. Dies soll gelten, wenn Daten verschiedener Herkunft systematisch verknüpft werden oder wenn Rückschlüsse auf verschiedene Lebensbereiche möglich sind. In solchen Fällen braucht es eine ausdrückliche Einwilligung. Bei tiefen Risiken braucht es das nicht.
Eine Kommissionsminderheit wollte an der ursprünglichen Version des Bundesrats festhalten, die einen generell erhöhten Schutz beim Profiling vorsieht und auf eine Differenzierung in der Risikodefinition verzichtet.
Der Ständerat will im Datenschutzgesetz auch die Rechte jener Personen stärken, die einer Bonitätsprüfung unterzogen werden.
Konkret will sie die Bearbeitung von Daten einschränken, die älter als fünf Jahre sind oder Minderjährige betreffen.
Druck von innen und aussen
Unbestritten im Parlament ist, dass die 27 Jahre alten Regeln zum Datenschutz ein Update benötigen. Für die SP und die Grünen geht das Gesetz in der vorliegenden Form aber zu wenig weit. Die SVP wiederum lehnt das Gesetz wegen des Drucks aus der EU ab. Zusammen könnten sie die Vorlage am Schluss noch zu Fall bringen.
Das wäre insofern fatal, als dass die Schweiz der Diskussion bereits einige Jahre hinterherhinkt. Die EU überprüft bis im Mai 2020, ob der Datenschutz in der Schweiz noch gleichwertig ist mit ihrem eigenen.
Ändert die Schweiz ihre Bestimmungen nicht, drohen hiesigen Unternehmen grosse Wettbewerbsnachteile, wie Justizministerin Karin Keller-Sutter zu bedenken gab. Für die Firmen würde ein Austausch von Daten mit Betrieben in der EU schwierig. (sda)