Im Grundsatz ist sich die Politik einig, dass es gewisse Anpassungen braucht, denn das aktuelle Datenschutzgesetz stammt noch aus der Vor-Internet-Zeit. Kommissionssprecher Matthias Jauslin (FDP/AG) brachte es zu Beginn der Debatte auf den Punkt: «Das Smartphone hat uns überholt, die IT ist allgegenwärtig, Datenaustausche sind heute so vielfältig, dass die Regelung aus dem Jahr 1992 nicht mehr standhält.»
Schweizerdatenschutz der EU anpassen
Überdies soll das Schweizer Datenschutzrecht demjenigen der Europäischen Union angeglichen werden. Die EU hat seit vergangenem Jahr neue Regeln. Die EU überprüft bis im Mai 2020, ob der Datenschutz in der Schweiz noch gleichwertig ist mit ihrem eigenen. Das wäre derzeit nicht der Fall.
Ändert die Schweiz ihre Bestimmungen nicht, drohen hiesigen Unternehmen grosse Wettbewerbsnachteile, wie Justizministerin Karin Keller-Sutter zu bedenken gab. Für die Firmen würde ein Austausch von Daten mit Betrieben in der EU schwierig.
Erste Hürde ist genommen
Das Reformprojekt ist komplex: Über neunzig Bundesgesetze sollen insgesamt geändert werden. Fast sieben Stunden brütete die grosse Kammer am Dienstag und Mittwoch über der Vorlage. In der Gesamtabstimmung stimmte sie mit 98 zu 68 Stimmen bei 27 Enthaltungen für die Totalrevision des Datenschutzgesetzes. Nein sagte die SVP, die Enthaltungen kamen von links-grüner Seite.
Damit hat die Vorlage die erste Hürde genommen. Mehrere weitere folgen. Als nächstes beugt sich die ständerätliche Kommission über das Gesetzesprojekt. Auch dort dürften die Meinungen auseinandergehen. Die Nationalratsdebatte zeigte die tiefen Gräben zwischen links und rechts auf.
Grüne und Linke wollen Korrekturen
Für die SP und die Grünen geht der nun verabschiedete Entwurf noch viel zu wenig weit. Sie fordern mindestens die Erhaltung des heutigen Standards sowie die Erfüllung der Europaratskonvention zum Datenschutz. Der Ständerat müsse «zwingend notwendige Korrekturen anbringen», hiess es verschiedentlich.
Über allem schwebt die Drohung, das ganze Paket am Ende abzulehnen. Balthasar Glättli (Grüne/ZH) hielt fest, dass sich das Links-Grün-Lager in der Schlussabstimmung alle Optionen offenhalte: «Wir werden mit keiner Wimper zucken, das Gesetz bachab zu schicken, wenn es so unbrauchbar ist wie jetzt.» Cédric Wermuth (SP/AG) dachte bereits an ein allfälliges Referendum: «Die aktuelle Vorlage hätte vor dem Volk keine Chance.» Das Parlament müsse noch auf den «Pfad der Vernunft» kommen.
Die Ratslinke fand viele Gründe für den Unmut. In fast allen Punkten lehnte der Nationalrat Forderungen für mehr Datenschutz ab. Angaben zu gewerkschaftlichen Tätigkeiten sollen beispielsweise nicht mehr als «besonders schützenswert» gelten.
Profiling-Antrag abgelehnt
Erfolglos war Rot-Grün auch mit den Anträgen betreffend Profiling. Dabei geht es um eine automatisierte Datenbearbeitung, mit welcher bestimmte Merkmale einer Person bewertet werden. Die SP und die Grünen wollten eine ausdrückliche Einwilligung der Betroffenen für ein Profiling im Gesetz festschreiben, scheiterten mit diesem Vorhaben aber deutlich.
SVP kritisiert bürokratischen Aufwand
Die SVP dagegen ging während der ersten Beratung im Parlament in die Fundamentalopposition. Das neue Datenschutzgesetz sei ein Papiertiger und komme - wieder einmal - nur wegen des Drucks vonseiten der EU aufs Tapet. «Wir haben langsam genug davon, jeden Unsinn zu übernehmen», sagte Gregor Rutz (SVP/ZH).
Zudem stösst sich die Partei daran, dass Unternehmen weniger gut geschützt würden als bisher. Diese brauchten ein «Maximum an Freiheiten und Flexibilität». Andreas Glarner (SVP/AG) bezeichnete die aktuelle Vorlage als «Minenfeld für KMU» und «Konjunkturprogramm für Anwälte».
Bei den weiteren Beratungen der Gesetzesrevision nach den Parlamentswahlen wird es weiterhin an den Mitteparteien liegen, einen mehrheitsfähigen Kompromiss zu finden. Für einige Nationalräte aus der FDP, CVP, BDP und GLP ist der Weg dazu nicht mehr weit. Das Gewerbe sei zufrieden, die Äquivalenz mit den EU-Bestimmungen sei in vielen Punkten hergestellt, lautete der Tenor.
Die Mehrheit in der grossen Kammer war in der ersten Runde der Beratungen bestrebt, das von der Schweiz übernommene EU-Recht nicht noch zusätzlich zu verschärfen. «Wir wollen keinen 'Swiss Finish'», war immer wieder zu hören. Beat Flach (GLP/AG) plädierte derweil dafür, den Ball flach zu halten.» Viele Punkte, die wir heute diskutieren, gibt es schon.» Niemand habe sich dagegen beschwert.
«Es ist eine Vorlage, die durchaus bearbeitbar ist», fasste Kommissionssprecher Jauslin am Schluss der Beratungen im Nationalrat die Mehrheitssicht zusammen. Es sei ein gutes Gesetz für Bürgerinnen und Bürger, aber auch für die Wirtschaft.
Änderungen am Bundesratsentwurf
In den Details änderte die grosse Kammer einiges am Entwurf des Bundesrats und folgte bis auf wenige Ausnahmen ihrer vorberatenden Kommission. Beispielsweise beschloss sie, keine gesonderte Regelung für den Umgang mit den Daten verstorbener Personen vorzusehen. Dieser Entscheid fiel mit 134 zu 63 Stimmen.
Dafür hat der Nationalrat in Ergänzung der bundesrätlichen Vorlage ein Recht auf Datenportabilität eingeführt. Dieses sieht vor, dass jede Person von einem Dienstleister verlangen kann, die sie betreffenden Personendaten in einem gängigen Format an sie herauszugeben, um diese Daten einem anderen Dienstleister übergeben zu können.
Ebenfalls neu schlägt die grosse Kammer vor, den Datenschutz- und Öffentlichkeitsbeauftragten von der Bundesversammlung wählen zu lassen. Heute entscheidet der Bundesrat mit anschliessender Genehmigung durch die Bundesversammlung.
Dem Bundesrat gefolgt ist der Nationalrat bei der geplanten Verschärfung der strafrechtlichen Sanktionen. Dies bedeutet, dass bei Verstössen gegen das Datenschutzgesetz nur natürliche Personen, namentlich die Führungskräfte eines Unternehmens, juristisch belangt werden können. Unternehmen können nur in einigen klar definierten Fällen sanktioniert werden.
In Bezug auf die Höhe der Bussen hat die grosse Kammer beschlossen, den vom Bundesrat vorgeschlagenen Höchstbetrag von 250'000 Franken beizubehalten, da sie diesen für verhältnismässig und ausreichend abschreckend hält. Im EU-Recht sind Bussen von 10 Millionen Euro vorgesehen, im Fall von Unternehmen sogar bis zu 20 Millionen Euro.
Datentransfer zwischen Schweiz und EU muss sichergestellt sein
In weiser Voraussicht, dass das Datenschutzgesetz noch lange zu reden geben wird, hatte das Parlament weniger umstrittene Punkte in zwei Entwürfen vorgezogen und bereits vor einem Jahr verabschiedet. Es handelte sich um Vorgaben der EU-Richtlinie 2016/680, die innerhalb einer vorgegebenen Frist umgesetzt werden mussten.
Mit der Anpassung der Gesetzgebung ans europäische Recht wurde sichergestellt, dass die grenzüberschreitende Datenübermittlung zwischen der Schweiz und den EU-Staaten ohne zusätzliche Hürden möglich bleibt - zumindest vorerst. Das Seilziehen geht weiter. (SDA)