Die SVP kann der Vorlage nicht zustimmen. Aus Sicht der SVP wäre zum einen der Geltungsbereich des Gesetzes auf juristische Personen auszudehnen. Weiter ist auf jede Art von «Swiss Finish» zu verzichten, d.h. sämtliche Bestimmungen, die weitergehen als die jeweiligen internationalen Vorgaben, sind zu streichen. Die Stellung des Eidgenössischen Datenschutzbeauftragten ist aus Sicht der SVP grundsätzlich zu stark ausgefallen und entsprechend zu korrigieren. Dass strafrechtliche Sanktionen nur von den zuständigen Gerichten und nicht vom Eidgenössischen Datenschutzbeauftragen ausgesprochen werden können, ist angezeigt. Die vorgeschlagenen Strafandrohungen sind jedoch unverhältnismässig hoch und jede Art untersuchungsrichterlicher Kompetenz des Eidgenössischen Datenschutzbeauftragen ist abzulehnen. Überdies ist zu beanstanden, dass die Vorlage zu viele bürokratische Vorgaben beinhaltet. Diese sind wirtschaftsfeindlich und bringen auch dem Bürger keinen eigentlichen Mehrwert.
Totalrevision des Datenschutzgesetzes
Mit der Totalrevision soll das Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG) totalreviert werden. Namentlich soll:
Schutz juristischer Personen
Art. 2 Abs. 1 des Vorentwurfs zum Bundesgesetz über die Totalrevision des Datenschutzgesetzes (nachfolgend VE-DSG) sieht vor, dass auf den Schutz der Daten von juristischen Personen zu verzichten ist. Begründet wird dies im Wesentlichen damit, dass in den datenschutzrechtlichen Bestimmungen der Europäischen Union (EU) sowie des Europarates und den meisten ausländischen Rechtsordnungen kein entsprechender Schutz vorgesehen ist. Zudem würden spezifische Gesetze (Zivilgesetzbuch [Persönlichkeitsrecht], Bundesgesetz über den unlauteren Wettbewerb, Urheberrechtsgesetz) einen genügenden Schutz bieten.
Aus Sicht der SVP ist dieser eingeschränkte Geltungsbereich abzulehnen. Bereits in der Botschaft zum Datenschutzgesetz vom 23. März 1988 kam die Frage auf, ob natürliche sowie juristische Personen durch das Datenschutzgesetz in gleichem Masse geschützt werden sollten. Auf der einen Seite wurde argumentiert, juristische Personen seien vom Schutz des Gesetzes auszunehmen (wie in den umliegenden Ländern) bzw. einzuschränken, da bei juristischen Personen mit wirtschaftlicher Tätigkeit eine grössere Transparenz wünschenswert sei, um den Interessen der Gläubiger nachzukommen. Andererseits würde eine Ausklammerung der juristischen Personen einen Bruch mit der schweizerischen Rechtstradition bedeuten. Artikel 53 des Schweizerischen Zivilgesetzbuches bestimmt nämlich, dass juristische Personen aller Rechte und Pflichten fähig sind, die nicht die natürlichen Eigenschaften des Menschen (wie das Geschlecht, das Alter oder die Verwandtschaft) zur notwendigen Voraussetzung haben. Im Bereich des Datenschutzes die juristischen Personen anders zu behandeln als die natürlichen Personen, würde dieser Bestimmung widersprechen.
Die Nichtunterstellung von juristischen Personen unter den Schutzbereich des Datenschutzgesetzes würde unweigerlich zu stossenden Ergebnissen führen. Betroffen wären in erster Linie kleine Unternehmen, bei denen die Angaben über die juristische Person oft auch einen Bezug zu natürlichen Personen aufweisen. Auch Parteien könnten keinen umfassenden Datenschutz beanspruchen. Natürliche sowie juristische Personen haben im Bereich des Datenschutzes sehr ähnliche Schutzbedürfnisse. Eine differenzierte Behandlung dieser Personen drängt sich somit nicht auf. Auch der Verweis auf andere Rechtsordnungen, namentlich jene der Europäischen Union, vermag an dieser Tatsache nichts zu ändern.
Bürokratie
Die Vorlage führt in verschiedenen Bereichen zu zusätzlichem bürokratischen Aufwand. So sieht beispielsweise Art. 16 VE-DSG die Einführung des Instruments der «Datenschutz-Folgeabschätzung» vor. Führt eine vorgesehene Datenbearbeitung voraussichtlich zu einem erhöhten Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person, so soll – vor deren Einführung – eine «Datenschutz-Folgeabschätzung» erfolgen. Die Unternehmung informiert den Datenschutzbeauftragten über das Ergebnis dieser Einschätzung, worauf dieser innert 3 Monaten allfällige Einwände mitteilt. Ob der Datenschutzbeauftragte diese Frist einhalten kann, ist aus Sicht der SVP fraglich. Zudem dauert eine «Datenschutz-Folgeabschätzung» mehrere Monate und führt zu erheblichen Kosten und Verzögerungen. Derartige innovationshemmende Vorgaben lehnt die SVP ab.
EU-Recht: Verordnung 2016/679 und Richtlinie (EU) 2016/680
Die EU hat ihre Datenschutzgesetzgebung im April 2016 revidiert und diese setzt sich somit aus den folgenden Erlassen zusammen:
Marktortprinzip
Die EU-DSGVO gehört zum EU-Recht und ist für die Schweiz grundsätzlich nicht bindend. Gleichwohl hat diese Einfluss auf die Schweiz, weil von der Regelung des sog. Marktortprinzips (siehe Art. 3 Abs. 2 EU-DSGVO i.V.m. Erwägungsgrund 23) Unternehmen ausserhalb der EU betroffen sind, welche Daten von Bürger innerhalb der EU bearbeiten oder Waren oder Dienstleistungen anbieten. Das Marktortprinzip regelt und erweitert somit den räumlichen Anwendungsbereich des europäischen Datenschutzrechts auf datenverarbeitende Stellen ausserhalb der EU. Mit Ablauf der Umsetzungsfrist gilt die EU-DSGVO somit auch für Unternehmen mit Sitz in der Schweiz, welche im EU-Raum tätig sind.
Die EU-RL demgegenüber gehört zum Schengen-Acquis, weshalb die Schweiz verpflichtet ist, ihre Gesetzgebung entsprechend anzupassen. Überdies hat die Schweiz die Schengen-Evaluation aus dem Jahr 2014 umzusetzen. Darin wurde der Schweiz nahegelegt, dem Beauftragten (den Datenschutzbeauftragten) Entscheidkompetenzen einzuräumen sowie dessen Sanktionsbefugnisse auszubauen.
Datenschutz- und Öffentlichkeitsbeauftragter
So sieht Art. 40 ff. VE-DSG vor, dass der Datenschutz- und Öffentlichkeitsbeauftragte die Einhaltung der Datenschutzvorschriften des Bundes überwacht und von Amtes wegen oder auf Anzeige hin eine Untersuchung gegen ein Bundesorgan oder eine private Person eröffnen kann, wenn Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte. Wurden Datenschutzmassnahmen verletzt, kann der Beauftragte verfügen, dass die Bearbeitung angepasst, ganz oder teilweise unterbrochen oder abgebrochen wird und die Daten ganz oder teilweise vernichtet werden.
Strafbestimmungen
Der VE-DSG kommt den Empfehlungen zu den Strafbestimmungen nur teilweise nach. Dies ist jedoch nicht zu beanstanden, schliesslich widerspräche es der Schweizer Rechtstradition, wenn dem Beauftragten die Möglichkeit eingeräumt würde, Sanktionen mit Strafcharakter auszusprechen. Hierfür sind richtigerweise weiterhin die zuständigen Gerichte legitimiert. Die Strafandrohungen in Art. 50 ff. VE-DSG sind jedoch klar zu hoch. Dass mit Busse bis zu 500’000 CHF private Personen auf Antrag bestraft werden können, die die Auskunfts-, Melde- und Mitwirkungspflichten bzw. die Sorgfaltspflichten verletzen, ist alles andere als verhältnismässig. Nicht zustimmen kann die SVP zudem der Tatsache, dass der Beauftragte weiterhin vom Bundesrat gewählt werden soll und die Bundesversammlung die Wahl lediglich zu genehmigen hat (Art. 37 Abs. 1 VE-DSG); vielmehr hat die Wahl durch die Vereinigte Bundesversammlung zu erfolgen.
Swiss Finish
Art. 4 EU-DSGVO definiert unter Ziff. 4 «Profiling» als: «jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen». Art. 3 lit. f VE-DSG definiert «Profiling» dagegen als «jede Auswertung von Daten oder Personendaten, um wesentliche persönliche Merkmale zu analysieren oder Entwicklungen vorherzusagen, insbesondere bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, Intimsphäre oder Mobilität». Damit geht die Bestimmung im VE-DSG ohne Not weiter, was ein unnötiger «Swiss Finish» ist. Auch andere Bestimmungen gehen weiter, als entsprechende Normen der EU. So kennt die EU-DSGVO mehr Ausnahmen von der Informationspflicht als der VE-DSG (siehe Art. 14 Abs. 2 und Abs. 4 VE-DSG) und dem Beauftragten werden im VE-DSG polizeiliche Befugnisse eingeräumt, welche in der EU-DSGVO nicht vorgesehen sind (siehe Art. 41 Abs. 3 VE-DSG).
Als Mitglied des Europarates hat die Schweiz die Revision des «Übereinkommens zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten» (E-SEV 108) zu beachten. Nur die Achtung dieser Bestimmungen kann sicherstellen, dass die Schweiz von der Europäischen Kommission einen sog. Angemessenheitsbeschluss erhält. Einen solchen erhält die Schweiz nur, wenn die schweizerische Gesetzgebung ein angemessenes Datenschutzniveau aufweisen kann. Die Bestimmungen E-SEV sind nicht direkt anwendbar. Dass die Schweiz zur Ratifizierung bestimmte bundesrechtliche Bestimmungen anpassen muss, ist unbestritten. Aber auch hier gilt es, auf jeden «Swiss Finish» zu verzichten.