Das Schweizer Datenschutzgesetz stammt aus dem Jahr 1993, wurde also noch vor der Zeit des Internets zuletzt revidiert. Im Nationalrat herrscht darum Konsens darüber, dass gewisse Anpassungen nötig sind - auch, um eine Harmonisierung mit den EU-Regeln herzustellen. Doch welche Anpassungen wirklich sein müssen, ist höchst umstritten.
Der Bundesrat will mit der Totalrevision erreichen, dass die Bürgerinnen und Bürger einen besseren Schutz ihrer Daten erhalten: Unternehmen, die Daten erheben, sollen die betroffenen Personen künftig über die Erhebung informieren müssen.
SVP will nicht auf Vorlage eintreten
Für die SVP ist der Entwurf ein "Bürokratiemonster", das insbesondere für KMU nicht umsetzbar sei. Für die SP gibt es im Entwurf hingegen sehr kritische Regelungen, die den Datenschutz gar schwächen.
Noch ist offen, ob es zu einer "unheiligen Allianz" gegen das Gesetz kommen wird. Während sich die Linken erst nach Ende der Beratungen bei der Gesamtabstimmung entscheiden wollen, ob das Gesetz ein Fort- oder doch ein Rückschritt ist, sagt die SVP von Anfang an: "zurück an den Absender", also an den Bundesrat.
Druck aus Brüssel
Bereits in der vorberatenden Staatspolitischen Kommission des Nationalrats waren die Mehrheitsverhältnisse nach stundenlanger Debatte hauchdünn. Sie hat die Vorlage nur mit Stichentscheid des Präsidenten Kurt Fluri (FDP/SO) zur Annahme empfohlen.
Dabei bildet die Anpassung des Schweizer Datenschutzrechts die Voraussetzung dafür, dass die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt und somit der gegenseitige Datenaustausch möglich bleibt. Geht das Parlament zu wenig weit, droht erneut Ärger mit Brüssel.
Schützenswerte Personendaten
Die nationalrätliche Kommission hat einige Anpassungen an der Definition der Personendaten, für die ein besonderes Schutzniveau gilt, vorgenommen. Sie hat insbesondere die Daten über Sozialhilfemassnahmen von der Liste dieser besonders schützenswerten Daten gestrichen. Eine Minderheit ist gegen diese Streichung.
Von der Kommission ebenfalls von der Liste gestrichen wurden die Daten über gewerkschaftliche Tätigkeiten. In die Liste aufgenommen wurden hingegen die genetischen Daten.
Daten verstorbener Personen
Entgegen dem Entwurf des Bundesrates hat die Kommission weiter beschlossen, keine gesonderte Regelung für den Umgang mit den Daten verstorbener Personen vorzusehen. In den Augen einer Mehrheit existieren bereits Möglichkeiten zur Lösung der Probleme, die in diesem Zusammenhang entstehen können. Eine Minderheit ist hingegen der Auffassung, dass es einer Sonderregelung bedarf, namentlich was den digitalen Tod angeht.
Die vorberatende Kommission hat weiter ein Recht auf Datenportabilität eingeführt. Diese sieht vor, dass jede Person von einem Dienstleister verlangen kann, die sie betreffenden Personendaten in einem gängigen Format an sie herauszugeben, um diese Daten einem anderen Dienstleister übergeben zu können.
Schärfere Sanktionen
Im Nationalrat eine Mehrheit finden dürfte die Verschärfung der strafrechtlichen Sanktionen. Die Kommission hat mit 16 zu 4 Stimmen bei 2 Enthaltungen das vom Bundesrat vorgeschlagene Sanktionssystem angenommen. Dies bedeutet, dass bei Verstössen gegen das Datenschutzgesetz nur natürliche Personen, namentlich die Führungskräfte eines Unternehmens, juristisch belangt werden können.
In Bezug auf die Höhe der Bussen hat die Kommission beschlossen, den vom Bundesrat vorgeschlagenen Höchstbetrag von 250'000 Franken beizubehalten, da sie diesen für verhältnismässig und ausreichend abschreckend hält. Zwei Minderheiten sprechen sich für höhere Bussen aus.
Wahl des obersten Datenschützers
Unumstrittener in der grossen Kammer scheinen andere Punkte zu sein. So soll ein Datenschutz- und Öffentlichkeitsbeauftragter nach Ansicht einer stabilen Kommissionsmehrheit von der Bundesversammlung gewählt werden. Heute entscheidet der Bundesrat mit anschliessender Genehmigung durch die Bundesversammlung.
Nicht zuletzt hat die Kommission beschlossen, dass sich ausländische Unternehmen, die in der Schweiz Dienstleistungen anbieten, an das Schweizer Datenschutzrecht halten müssen. Sie müssen zudem eine Vertreterin oder einen Vertreter in der Schweiz bezeichnen.
Erneut eine Marathondebatte
Falls die Vorlage die parlamentarische Hürde nimmt, plädiert die Nationalratskommission für eine Übergangsfrist von zwei Jahren für die Unternehmen. Das beschloss sie mit 13 zu 11 Stimmen. Die Minderheit beantragt, dass der Bundesrat den Zeitpunkt des Inkrafttretens bestimmt, namentlich unter Berücksichtigung der Bedürfnisse der Privatwirtschaft.
Für die Beratung der Vorlage sind am Dienstag- und Mittwochvormittag je mehrere Stunden vorgesehen. Es gibt Dutzende Minderheiten, dazu bisher eine Handvoll Einzelanträge. Alleine die Länge der Fahne ist aussergewöhnlich: Sie umfasst 262 Seiten.
EU-Richtlinie umgesetzt
In weiser Voraussicht, dass das Datenschutzgesetz lange zu reden geben wird, hatte das Parlament weniger umstrittene Punkte in zwei Entwürfen vorgezogen und bereits vor einem Jahr verabschiedet. Es handelte sich um Vorgaben der EU-Richtlinie 2016/680, die innerhalb einer vorgegebenen Frist umgesetzt werden mussten.
Mit der Anpassung der Gesetzgebung ans europäische Recht wurde sichergestellt, dass die grenzüberschreitende Datenübermittlung zwischen der Schweiz und den EU-Staaten ohne zusätzliche Hürden möglich bleibt.