Das sagt der EDÖB zum neuen Datenschutzgesetz

Was halten Sie persönlich vom neuen Datenschutzgesetz?

Adrian Lobsiger: Entgegen der semantischen Bedeutung des Wortes "Datenschutz" bezweckt das Datenschutzgesetz nicht den Schutz von Daten, sondern der menschlichen Persönlichkeit. Diese bildet den Kern des eigenwilligen Strebens jedes Individuums nach einem privaten und selbstbestimmten Leben, das die schweizerische Rechtsordnung durch ein Grundrecht auf Privatsphäre und informationelle Selbstbestimmung garantiert. An diesem Schutzobjekt und Schutzanliegen ändert der Übergang vom alten zum neuen Datenschutzgesetz nichts. Die schon 1992 kodifizierte Vorgabe, Daten mit Rücksicht auf die Persönlichkeit der betroffenen Personen transparent, verhältnismässig und zweckgebunden zu bearbeiten, bildet auch das Rückgrat des neuen Datenschutzgesetzes von 2020 (nDSG). 

Warum war die Revision trotzdem nötig?

Mit dem Smartphone und der permanenten Verbindung mit dem Internet, über das die digitale Gesellschaft von heute die Verrichtungen des Alltags vom Banking bis zum Dating online abwickelt, haben sich Umfang, Geschwindigkeit und Intensität der Personendatenbearbeitung um Potenzen erhöht. Und mit dem Einsatz immer leistungsfähigerer Algorithmen bis hin zu neuronalen Netzwerken und künstlicher Intelligenz hat sich die Nachvollziehbarkeit und Transparenz der Bearbeitung verringert. In diesem digitalen Wandel das Recht auf ein privates und selbstbestimmtes Leben effizient und rechtsstaatlich zu schützen, betrachte ich denn auch als die zentrale Zielsetzung des neuen Gesetzes, aus dem sich der Auftrag an meine Aufsichtsbehörde ableitet.

Welchen Aspekt des Datenschutzrechts verbessert die Revision?

Ich sehe den wichtigsten Mehrwert in den sogenannten risikobasierten Arbeitsinstrumenten, mit denen der Gesetzgeber die berechtigten Erwartungen der Schweizer Bevölkerung an einen glaubwürdigen Persönlichkeitsschutz in der digitalen Realität erfüllen will. Diese Instrumente verpflichten die datenbearbeitenden Akteure der Wirtschaft und der Bundesverwaltung, frühzeitig die Auswirkungen digitaler Applikationen auf die Privatsphäre und Selbstbestimmung der Betroffenen zu analysieren und dokumentieren. Diese verpflichtenden Instrumente stellen das präventive Handeln dieser Akteure und die eigenverantwortliche Wahrung des reputationskritischen Bürger- und Kundenschutzes in den Vordergrund; nicht die Furcht vor Sanktionen. Letztere wurde zwar verschärft, stellten für den Gesetzgeber indessen kein zentrales Revisionsanliegen dar. Die Revision von 2020 beruht auf einer nüchternen Einschätzung der digitalen Realität. 

Wie meinen Sie das? 

Der Gesetzgeber ist nicht davon ausgegangen, dass sich die Risiken von digitalen Datenbearbeitungsvorhaben auf eine gesetzlich definierte Schranke deckeln lassen. Bei den risikobasierten Arbeitsinstrumenten wie der Datenschutzfolgenabschätzung (DSFA) ging es ihm vorab darum, dass die Bearbeitungsverantwortlichen hohe systemische Risiken und die zu deren Senkung führenden Massnahmen transparent dokumentieren. Bei Applikationen der Wirtschaft sollen dann die Kundinnen und Kunden durch eine benutzerfreundliche Nutzung digitaler Wahlmöglichkeiten entscheiden können, welche der so offen gelegten Restrisiken der Applikation sie auf sich nehmen. Bei staatlichen Applikationen müssen diese Entscheidungen die politischen Organe stellvertretend für die Bürgerinnen und Bürger treffen. Sie tun dies, indem sie sich bei der Beurteilung der gesetzlichen Grundlagen, die den digitalen Transformationsprojekten der Bundesverwaltung zu Grunde liegen, die Ergebnisse der Risikoanalysen berücksichtigen, die ihnen die Verwaltung nach dem nDSG vorzulegen hat. 

Welche Neuerungen sind aus Ihrer Sicht sonst noch wichtig? 

Der zweite zentrale Fortschritt liegt in der Erweiterung der Befugnisse der Datenschutzaufsicht des Bundes. Neu kann meine Behörde rechtswidrige Datenbearbeitungen mittels Verfügung aufschieben, einschränken oder verbieten. Ich muss nicht mehr, wie nach dem geltenden Recht, vor dem Bundesverwaltungsgericht Klage führen. Indem der Gesetzgeber bei hohen Risiken Vorlage- und Meldepflichten gegenüber meiner Behörde eingeführt hat, wird auch die Visibilität dieser Risiken verstärkt.

Wo besteht nach wie vor Handlungsbedarf?

Das neue Recht verstärkt die berechtigten Erwartungen der Bevölkerung an einen zeitgemässen Datenschutz und einer effizienten Aufsicht. Wir haben neun zusätzliche Stellen erhalten. Das neu rekrutierte Personal wird mir erlauben, die Aufsichtstätigkeit zu intensivieren und die Anzahl der Untersuchungen ab Inkraftsetzung des neuen Rechts schrittweise zu erhöhen, zumal wir mit einer Zunahme an Anzeigen rechnen. Der Ausbau unserer Aufsichtstätigkeit muss effizient, aber auch rechtstaatlich erfolgen. Der Gesetzgeber hat den Ausbau meiner Befugnisse mit einer Formalisierung des Untersuchungsverfahrens und einem Ausbau der Parteirechte verbunden, was sich auf die Verfahrensdauer auswirken wird. Will eine Datenschutzaufsichtsbehörde eine glaubwürdige Gesamtwirkung entfalten, ist es deshalb wichtig, dass sie einerseits die verbesserten Mittel der Aufsicht entschlossen nutzt, anderseits aber auch die Beratungstätigkeit nicht vernachlässigt. Im Dialog, den meine Stellvertreterin und ich mit den Datenschutzverantwortlichen der privaten Unternehmen in allen Sprachregionen der Schweiz pflegen, können Fachfragen angesprochen, Positionen frühzeitig geklärt und spätere Konflikte vermieden werden. Diese Aspekte unserer Tätigkeit werden in der Öffentlichkeit und den Medien wenig wahrgenommen, obwohl wir auch darüber in unserem Tätigkeitsbericht informieren. 

Welche Veränderung wird wohl am meisten zu reden geben?

Erstens sind es die grossen digitalen Transformationsprojekte der Bundesverwaltung, die wir mit den neuen Arbeitsinstrumenten beaufsichtigen. Als Beispiel kann ich das ebenso umfangreiche wie umstrittene Transformationsprojekt "DAZIT" der eidgenössischen Zollverwaltung nennen. Hier hat meine Behörde das Bundesamt zur Erarbeitung einer umfassenden DSFA angehalten und dadurch auf die datenschutzkonforme Ausgestaltung der geplanten Bearbeitung hingewirkt – dies war möglich, weil die Regeln des nDSG für Behörden, die Aufgaben im Rahmen des Schengener Übereinkommens wahrnehmen, bereits 2019 in Kraft getreten sind. Zweitens ist davon auszugehen, dass meine Behörde aufgrund ihrer neuen Befugnisse viele anspruchsvolle Vorhaben der Privatwirtschaft beurteilen wird und so zu deren Datenschutzkonformität beitragen kann. Nötigenfalls werden wir nicht vertretbar riskante Applikationen untersagen müssen, was je nach Umfang eines Projekts ein mediales Echo nach sich ziehen kann.    

Was glauben Sie: Wie gross ist der Anteil der hiesigen KMUs, die ­aktuell noch nicht bereit sind für die neuen Bestimmungen? 

Die digitalen Dienste, die KMUs erbringen, sind meistens auch Kundinnen und Kunden mit Aufenthalt in der EU zugänglich. Aufgrund der extraterritorialen Wirkung, die das EU-Recht beansprucht, haben diese Unternehmen deshalb ihre Datenbearbeitungen schon vor Jahren an die Standards des modernen Datenschutzes angepasst. Auf unserer neuen Webseite finden KMUs und Privatpersonen im Übrigen alle nötigen Informationen, um sich über die Vorgaben des nDSG zu informieren. Das Angebot wird laufend ausgebaut und ergänzt. Auch im Rahmen unserer täglichen Hotline beantworten wir zurzeit viele Anfragen von KMUs zum neuen Recht.

Was müssen KMUs bei der Umsetzung der Vorgaben beachten?

Die Basis jeder datenschutzrechtlichen Einschätzung ist der Überblick über die bearbeiteten Daten. Wenn ein Unternehmen nicht weiss, welche Daten es zu welchen Zwecken bearbeitet, wird es schwierig, die gesetzlichen Anforderungen zu erfüllen. Sind in einem Unternehmen das gesetzlich vorgeschriebene Datenverzeichnis aktuell und vollständig, die Datenbearbeitung auf einer benutzerfreundlichen Website erklärt, die Zuständigkeiten und Abläufe im Unternehmen organisiert und auch die Ausbildung und Instruktion der Mitarbeitenden sichergestellt, holt es die zentralen Erwartungen seiner Kundinnen und Kunden ab und kann so zum Beispiel Auskunftsgesuche gesetzeskonform erfüllen.

Auf welche Probleme können Unternehmen bei der Anwendung der neuen Vorschriften stossen?

Die schweizerische Gesetzgebung beschränkt sich auf Wichtiges und regelt es generell-abstrakt und technologieneutral. Der Vorteil dieser Rechtsetzungskultur ist, dass ihre Anwendung nicht in erster Linien Wissen, sondern Denken voraussetzt. Mit der Bereitschaft, sich gedanklich in die Haut der Kundinnen und Kunden zu versetzen und mit einer Prise gesundem Menschenverstand kann jedes Unternehmen mit dem knapp gehaltenen Text von Gesetz und Verordnung vertretbare Lösungen finden. Unsere Webseite enthält keine 100-seitige Manuale, sondern bürgerverständliche Präzisierungen des neuen Rechts sowie digitale Meldeportale, die jedermann in jeder gängigen Sprache zugänglich sind. Probleme werden jene Unternehmen und Behörden mit den neuen Vorschriften beklagen, die sich hinter einer Mauer von langatmigen Nutzungsreglementen und Haftungsausschlüssen verstecken, statt die Schutzinteressen der Bürgerinnen und Bürger resp. Kundinnen und Kunden ernst zu nehmen und pragmatisch zu realisieren. Meine Botschaft an sie ist, nicht bis zum 1. September zuzuwarten. Meine Behörde wird den Unternehmen bei der Anwendung des neuen Gesetzes den nötigen Gestaltungsspielraum gewähren. Mit der Zeit werden sich in der Wirtschaft Best Practices etablieren und seitens meiner Aufsichtsbehörde und der Bundesgerichte die Rechtsprechung verdichten.

Die Revision des DSG wäre wohl nicht möglich gewesen ohne die EU-DSGVO. Was hat die Europäische Datenschutz-Grundverordnung in der Schweiz sonst noch bewirkt? 

Die Datenschutz Grundverordnung der EU (EU-DSGVo) erachte ich wegen ihrer internationalen Ausstrahlung und sensibilisierenden Wirkung als Erfolg. Teile dieses weltbekannten Erlasses der EU dienten auch als Vorlage für das nDSG. Letzteres ist jedoch keine Kopie der EU-DSGVO, die sich - aufgrund der unterschiedlichen Rechtsetzungskultur- hinsichtlich Ausführlichkeit und Terminologie vom nDSG der Schweiz abhebt. 5 Jahre nach Inkrafttreten der EU-DSGVO sehen wir, dass auch die Datenschutzbehörden in der EU – trotz medial beachteten Einzelfällen mit hohen Bussen – beim Vollzug der Datenschutzgesetzgebung mit ihren Ressourcen an Grenzen stossen. In den Mitgliedstaaten der EU führen bei weitem nicht alle Anzeigen zu Sanktionen. So gibt es z.B. nationale Ausführungsgesetze zur EU-DSGVO, die den Bearbeitungsverantwortlichen die Möglichkeit geben, rechtswidrige Bearbeitungen vor Abschluss des Verfahrens noch zu korrigieren. 

Wie unterscheidet sich das revidierte DSG von der EU-DSGVO?

Generell kann man sagen, dass sich beiden Erlasse nicht widersprechen und Bearbeitungsverantwortliche, welche die DSGVO beachten, auch das neue DSG erfüllen. Dennoch gibt es inhaltliche Unterschiede. So geht z.B. das nDSG vom Grundsatz aus, dass Private personenbezogene Daten bearbeiten dürfen, während die DSGVO dies Privaten nur zugesteht, wenn besondere Rechtsfertigungsgründe dies erlauben. Sehr unterschiedlich geregelt sind die Sanktionen. Während die Datenschutzbehörden der EU-Länder hohe Bussen gegen Unternehmen aussprechen können, kommen meiner Behörde auch nach dem neuen Recht keine Sanktionskompetenzen zu. Das Verhängen von Bussen nach dem nDSG bleibt Sache der ordentlichen Strafbehörden von Bund und Kantonen. Da sich die Bussen nach dem nDSG primär gegen natürliche Personen richten, die eine höhere Strafempfindlichkeit als juristische Personen aufweisen, fallen sie mit einer Obergrenze von CHF 250‘000.— deutlich tiefer aus als die Bussen, welche die Datenschutzbehörden der EU-Staaten nur gegen Unternehmen ausfällen können. Der wesentlichste Unterschied besteht indessen in den gänzlich verschiedenen Geltungsansprüchen der beiden Erlasse: Die EU-DSGVO hat das Datenschutzrecht EU-weit vergemeinschaftet und Koordinationsmechanismen zwischen den Aufsichtsbehörden der Mitgliedstaaten eingeführt, die diesen Erlass als Vollzugsorgane der EU supranational vollziehen. Demgegenüber ist das nDSG der Schweiz ein Bundesgesetz, das die Bundesbehörden und die Unternehmen der Privatwirtschaft verpflichtet; nicht so aber die kantonalen Behörden, deren Bearbeitungstätigkeit meine Kolleginnen und Kollegen in den Kantonen und Gemeinde beaufsichtigen. Die Zusammenarbeit zwischen den Datenschutzbehörden von Bund und Kantonen und unsere fachlichen Austausche im Rahmen des Vereins privatim funktionieren ausgezeichnet. Sie unterscheiden sich indessen hinsichtlich ihres Umfangs und ihrer Verbindlichkeit wesentlich vom Zusammenwirken der Aufsichtsbehörden der EU-Länder im Europäischen Datenschutz Ausschuss. In Letzterem ist meine Behörde aufgrund der assoziierten Mitgliedschaft der Schweiz beim Schengener Übereinkommen in sehr beschränktem Mass vertreten.

Im revidierten DSG sind Bussen gegen natürliche Personen von bis zu 250 000 Franken vorgesehen. Für welche Art von Vergehen wäre so eine Busse fällig? 

Das Gesetz sieht Bussen bei der Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten vor. Weiter bei der Missachtung von Sorgfaltspflichten, so etwa bei der Bekanntgabe von Personendaten ins Ausland, bei der Bearbeitung im Auftrag oder wenn Vorgaben zur technischen Datensicherheit nicht eingehalten werden. Eine Busse wird nur ausgefällt, wenn diese Pflichten vorsätzlich verletzt wurden und ein Strafantrag vorliegt. 

Warum sind im neuen DSG nur natürliche Personen strafrechtlich haftbar und nicht Unternehmen wie in der DSGVO? 

Es sind wohl primär kompetenzrechtliche Gründe: Während der EU meines Wissens bezüglich Strafen gegen natürliche Personen keine Rechtsetzungskompetenz zukommen, fehlt es der Eidgenossenschaft auf Stufe des Bundes an einem allgemeinen Unternehmensstrafrecht. Das nDSG sieht aber immerhin eine subsidiäre Bussenpflicht für Unternehmen vor, wenn sich dort mit verhältnismässigem Aufwand kein Täter finden lässt. Die Obergrenze fällt mit CHF 50‘000.— indessen bescheiden aus.

Wie viele Bussen werden in den kommenden drei Jahren Ihrer Einschätzung nach verhängt?

Das Strafrecht hat eine exemplarische Funktion. Wer sich über die Persönlichkeitsrechte und die Privatsphäre der Bürgerinnen und Bürger oder Kundinnen und Kunden hinwegsetzt, indem er bei der Bearbeitung deren Daten vorsätzlich das nDSG verletzt und so die Betroffenen und den Ruf seiner Behörde oder seines Unternehmens schädigt, wird im Falle einer strafrechtlichen Verurteilung gebüsst und im Strafregister eingetragen. Wie oft und in welcher Höhe Bussen verhängt werden, muss die zukünftige Rechtsprechung der zuständigen Strafbehörden zeigen.

Seit Anfang Jahr finden KI-Chatbots immer mehr Verbreitung. Insbesondere die Art, wie solche Programme trainiert werden, etwa durch willkürliches Durchsuchen von Internetseiten, dürfte datenschutzrechtlich problematisch sein. Was sagen Sie dazu? 

Wer Programme zum Einsatz bringt, die nicht öffentliche Daten, wie zum Beispiel Gesichtsbilder auf sozialen Netzwerken kopieren, verstösst gegen die Nutzungsbedingungen der Betreiber wie beispielsweise Meta. Letztere sind rechtlich verpflichtet, ihre Nutzungsbedingungen mit technischen Massnahmen durchzusetzen, die zu einer sofortigen Aufdeckung solcher Programme und Verhinderung von Datenabflüssen führen. 

Gibt es im revDSG Änderungen, die auch den Einsatz von Chatbots wie ChatGPT & Co. betreffen?

Das nDSG ist technologieneutral formuliert. Mit Blick auf technische Entwicklung hat der Gesetzeger aber im neuen Recht Grundsätze wie "Privacy by Design" und "Privacy by Default" verankert, welche die Bearbeitungsverantwortlichen verpflichten, bereits bei der Entwicklung und dem geplanten Einsatz neuer Technologien sicherzustellen, dass den Nutzerinnen und Nutzern ein Höchstmass an digitaler Selbstbestimmung zukommt. Hersteller und Anbieter von KI müssen gemäss dem nDSG zunächst einmal die Zwecke und Funktionsweise ihrer Programme transparent machen. Im Falle direkt mit den Nutzerinnen und Nutzer kommunizierender Applikationen, haben Erstere ein Recht, unter anderem zu wissen, ob sie mit einer Maschine texten oder sprechen und ob ihre Userdaten zur Verbesserung selbstlernender Programme weiterverwendet werden. Diese Informationsansprüche lassen sich aus den datenschutzrechtlichen Prinzipien der Transparenz und von Treu und Glauben nach Art. 6 nDSG herleiten. In den Guidlines des Europarats zu AI und Datenschutz vom 25.1.2019 und dem zurzeit vieldiskutierten Entwurf der EU-Kommission zu einem Gesetz über KI werden diese Informationsansprüche bekräftigt. Mit dem Recht auf Transparenz eng verknüpft ist das Recht, gegen gewisse Fragen der automatischen Datenbearbeitung Widerspruch einzulegen oder zu verlangen, dass automatisierte Entscheidungen durch einen Menschen überprüft werden, wie dies im erneuerten Datenschutzrecht der EU und auch dem nDSG der Schweiz bereits vorgesehen ist. Bezüglich der Geltendmachung von Mitbestimmungsrechten wird oft übersehen, dass das Datenschutzrecht bei Geschäftsmodellen, die im Gegenzug zu Gratisdiensten Daten verlangen, den Usern eine gewisse Selbstverantwortung auferlegt. Dies gerade bei verzichtbaren Diensten im Bereich von Unterhaltung und Sport. 

Wird es Ihrer Meinung nach in Zukunft nötig sein, solche Chatbots speziell zu regulieren, um den Datenschutz zu gewährleisten?

Es sind gegenwärtig in Europa zwei Strömungen zur Regulierung von KI erkennbar: einerseits die Bestrebungen, den Einsatz von KI zu beschränken oder zumindest von behördlichen Genehmigungen abhängig zu machen, wenn dieser mit potenziell hohen Risiken für die Persönlichkeitsrechte der Bevölkerung verbunden ist. So der zurzeit vielbeachtete Entwurf der EU-Kommission vom 21. April 2021 für eine Rahmengesetzgebung zur Kontrolle des Einsatzes künstlicher Intelligenz mit hohen Risiken. Solche Risiken können sich zum Beispiel aus dem inhaltlichen Wahrheitsgehalt von KI-Leistungen ergeben, zu dem sich aus dem Datenschutzrecht indessen wenig ableiten und demzufolge – nach schweizerischem Rechtsverständnis – auch keine Zuständigkeit der Datenschutzaufsicht ableiten lässt. Zudem verfügen die Datenschutzbehörden von Bund und Kantonen heute weder über die rechtlichen Befugnisse noch die nötigen Spezialkenntnisse und Mittel, um KI-Applikationen zu bewilligen. Mittelfristig stellt sich aber auch für die Schweiz die Frage nach einer Ergänzung der Datenschutzgesetzgebung insbesondere mit Blick auf eine Inpflichtnahme der KI-Hersteller zu einer gesetzlich verankerten "transperancy by design". Dies auch, weil die erwähnte Regelung der EU eine sich auch auf die Schweiz erstreckende, extraterritoriale Wirkung beansprucht. Nebst den Rechtsetzungsvorhaben, die darauf abzielen, den Einsatz künstlicher Intelligenz einzuschränken, gibt es in Europa leider auch Projekte, die den Einsatz von KI zu Zwecken der Überwachung der privaten Kommunikation und der Bewegung der Bevölkerung im öffentlichen Raum vorantreiben sollen. So der vom französischen Gesetzgeber für die Durchführung der olympischen Spiele 2024 vorgesehene Einsatz von Gesichtserkennungstechnologie im öffentlichen Raum. Oder der von der Kommission am 11. Mai 2022 publizierte Entwurf zur Überwachung der Individualkommunikation der Bürgerinnen und Bürger zwecks Verhinderung von Kindsmissbrauch. In beiden Fällen haben die zuständigen EU-Datenschutzbehörden Bedenken formuliert, welche ich gut nachvollziehen kann. Obwohl solche Eingriffe in die Privatsphäre und Selbstbestimmung der Bevölkerung in der Schweiz unzulässig sind und von der Gesetzgebung auch nicht vorgesehen werden, wäre die Verankerung eines generellen Verbots solcher Praktiken im Bundesrecht aus meiner Sicht willkommen. Wie die öffentliche Diskussion der letzten Wochen zum geplanten Einsatz von Sensoren in den Bahnhöfen der SBB zeigte, besteht in der Schweizer Bevölkerung zu Recht eine hohe Sensibilität gegen den Einsatz von KI und Gesichtserkennungs-Software im öffentlichen Raum.