Die Staatspolitische Kommission des Nationalrates (SPK-NR) hat die Beratung der Vorlage zur Totalrevision des Datenschutzgesetzes (17.059) abgeschlossen. Sie hat die Vorlage in der Gesamtabstimmung mit 9 zu 9 Stimmen bei 7 Enthaltungen und Stichentscheid des Präsidenten angenommen.

​Mit der Totalrevision des Datenschutzgesetzes (DSG) soll der Schutz der Bürgerinnen und Bürger verbessert und das Schweizer Datenschutzrecht den europäischen Standards angepasst werden. Um die schnelle Übernahme einer zum Schengen-Besitzstand gehörenden EU-Datenschutzrichtlinie zu ermöglichen, hatte das Parlament 2018 entschieden, die Vorlage zu teilen und erst die für die Umsetzung dieser Richtlinie erforderlichen Bestimmungen zu verabschieden. Diese traten am 1. März 2019 in Kraft.

Parallel dazu wurde die Beratung der restlichen Bestimmungen fortgesetzt. Die Anpassung des Schweizer Datenschutzrechts bildet die Voraussetzung dafür, dass die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt und somit der gegenseitige Datenaustausch möglich bleibt. Im Rahmen der im Juni 2018 begonnenen Detailberatung traf die SPK-NR namentlich folgende Beschlüsse:

Ernennung der bzw. des Datenschutz- und Öffentlichkeitsbeauftragten

Die Kommission beantragt mit 19 zu 5 Stimmen, dass die bzw. der Datenschutzbeauftragte von der Bundesversammlung gewählt wird und nicht wie bisher vom Bundesrat mit anschliessender Genehmigung durch die Bundesversammlung. Mit einer Direktwahl durch das Parlament könnte in den Augen der Kommission die Unabhängigkeit dieser Funktion besser gewährleistet werden. Die Minderheit möchte am geltenden Verfahren festhalten.

Recht auf Datenportabilität

Die Kommission hat ein Recht auf Datenportabilität eingeführt. Diese sieht vor, dass jede Person von einem Dienstleister (z. B. einem Anbieter von Onlinediensten) verlangen kann, die sie betreffenden Personendaten in einem gängigen Format an sie herauszugeben, um diese Daten einem anderen Dienstleister übergeben zu können. Die von der Kommission verabschiedete Regelung sieht vor, dass die betroffene Person unter bestimmten Voraussetzungen die kostenlose Herausgabe oder Übertragung von bestimmten dem Verantwortlichen bekanntgegebenen Personendaten in einem elektronischen Format verlangen kann. Dies würde nach Ansicht der Kommission den Wettbewerb fördern und neue Geschäftsmodelle ermöglichen. Eine Minderheit möchte, dass dieses Recht für alle Personendaten gilt und nicht nur für diejenigen, welche die Person bekannt gegeben hat.

Besonders schützenswerte Personendaten

Die Kommission hat einige Anpassungen an der Definition der Personendaten, für die ein besonderes Schutzniveau gilt, vorgenommen. Sie hat insbesondere die Daten über Sozialhilfemassnahmen von der Liste dieser besonders schützenswerten Daten gestrichen, da es im Interesse der Vertragspartner, der Anbieter oder gar der Öffentlichkeit sein kann, zu wissen, ob eine Person Sozialhilfe bezieht. Eine Minderheit ist gegen diese Streichung. Von der Kommission ebenfalls von der Liste gestrichen wurden die Daten über gewerkschaftliche Tätigkeiten. In die Liste aufgenommen wurden hingegen die genetischen Daten.

Ausländische Unternehmen

Die Kommission hat beschlossen, dass sich ausländische Unternehmen, die in der Schweiz Dienstleistungen anbieten, an das Schweizer Datenschutzrecht halten müssen. Sie müssen zudem eine Vertreterin oder einen Vertreter in der Schweiz bezeichnen.

Daten verstorbener Personen

Entgegen dem Entwurf des Bundesrates hat die Kommission mit 14 zu 8 Stimmen bei 1 Enthaltung beschlossen, keine gesonderte Regelung für den Umgang mit den Daten verstorbener Personen vorzusehen. In ihren Augen existieren bereits Möglichkeiten zur Lösung der Probleme, die in diesem Zusammenhang entstehen können. Eine Minderheit ist hingegen der Auffassung, dass es einer Sonderregelung bedarf, namentlich was den digitalen Tod angeht.

Verschärfung der strafrechtlichen Sanktionen

Die Kommission hat mit 16 zu 4 Stimmen bei 2 Enthaltungen das vom Bundesrat vorgeschlagene Sanktionssystem angenommen. Dieses sieht keine verwaltungsrechtlichen, sondern ausschliesslich strafrechtliche Sanktionen vor, hauptsächlich aus Gründen der einfacheren Rechtsanwendung. Dies bedeutet, dass bei Verstössen gegen das Datenschutzgesetz nur natürliche Personen, namentlich die Führungskräfte eines Unternehmens, juristisch belangt werden können. Juristische Personen können nur in einigen klar definierten Fällen sanktioniert werden. Die Kommission hat in diesem Zusammenhang ein Postulat (18.4100) eingereicht, welches den Bundesrat beauftragt, die allgemeine Einführung von pekuniären Verwaltungssanktionen im Schweizer Recht zu prüfen. In Bezug auf die Höhe der Bussen hat die Kommission beschlossen, den vom Bundesrat vorgeschlagenen Höchstbetrag von 250 000 Franken beizubehalten, da sie diesen für verhältnismässig und ausreichend abschreckend hält. Zwei Minderheiten sprechen sich für höhere Bussen aus.

Anpassungszeit von zwei Jahren für die Unternehmen

Die Kommission hat mit 13 zu 11 Stimmen beschlossen, dass das neue Gesetz erst zwei Jahre nach Ablauf der Referendumsfrist bzw. einer allfälligen Volksabstimmung in Kraft treten soll, um den Unternehmen ausreichend Zeit für die erforderlichen Anpassungen einzuräumen. Die Minderheit beantragt, dass der Bundesrat den Zeitpunkt des Inkrafttretens bestimmt, namentlich unter Berücksichtigung der Bedürfnisse der Privatwirtschaft.

Im Übrigen sind zwei Minderheitsanträge für Rückweisung der Vorlage eingereicht worden, mit verschiedenen Aufträgen zur Überarbeitung.
Die Kommission hat ferner mehrere Motionen eingereicht, welche den Bundesrat auffordern, die Datenschutzbestimmungen in anderen Bundesgesetzen zu vervollständigen (19.3960, 19.3961, 19.3962, 19.3963, 19.3964, 19.3965).

Die Kommission hat am 15. und 16. August 2019 unter Vorsitz von Nationalrat Kurt Fluri (FDP, SO) in Bern getagt.