Fragen zu Konsum oder Recht? Hier finden Sie über 400 Antworten
Home / Aktuell / Das neue Datenschutzgesetz – ein Fazit

Das neue Datenschutzgesetz – ein Fazit

Artikel
02.10.2020

Am 25.09.2020 haben National- und Ständerat das neue Datenschutzgesetz (nDSG) beschlossen. Der Konsumentenschutz ist mit dem Ergebnis nicht zufrieden.  Die rasant fortschreitende Digitalisierung stellt für die Privatsphäre eine akute Bedrohung dar und bedarf dringend klarer Leitlinien. Das neue Gesetz macht im Vergleich zur Vorversion einige Schritte vorwärts. Doch wird es das fundamentale Recht auf Privatsphäre der Konsumentinnen und Bürger nicht genügend schützen können. Ein Fazit.

Am 23.09.19 hat der Konsumentenschutz sieben Leitlinien für ein konsumentenfreundliches Datenschutzgesetz formuliert. Ein Jahr und zwei Tage später, am 25.09.20, wurde die totalrevidierte Fassung des Datenschutzgesetzes von den National- und Ständerätinnen und -räte beschlossen.

1. Höchster Datenschutz als Standard (privacy by default)

Wir forderten, dass die Datenschutzeinstellungen bei Geräten und Dienstleistungen standardmässig auf der restriktivsten Stufe eingestellt sein sollen.

In Art. 7 Abs. 3 des nDSG wird festgehalten, dass bei Nutzung der Voreinstellungen (d.h. Standardeinstellungen) die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt wird.

Für die Konsumentinnen und Konsumenten bedeutet das, dass sie mit dem neuen Datenschutzgesetz nicht als Erstes die Voreinstellungen anpassen müssen, um die restriktivsten Datenschutzeinstellungen zu verwenden. Stattdessen müssen erweiterte Datenbearbeitungen aktiv freigeschalten werden, was im Vergleich zum status quo einer Umkehrung entspricht.

Der Konsumentenschutz begrüsst diese konsumentenfreundliche Regulierung.

2. Transparenz und Einwilligung

Bürgerinnen bzw. Kunden sollen über alle Datenerhebungen und –bearbeitungen informiert werden und darin freiwillig einwilligen können.

Auch im revidierten Datenschutzgesetz ist eine ausdrückliche Einwilligung weiterhin nicht für alle Datenbearbeitungen vorgesehen. Immerhin ist zur Legitimation von Profiling durch Bundesorgane neu eine vorangehende Einwilligung notwendig. Eine ausdrückliche Einwilligung ins Profiling durch Private wird demgegenüber nicht verlangt. Keine Unterscheidung gibt es beim Profiling mit hohem Risiko, d.h. wenn ein hohes Risiko für Grundrechte oder die Persönlichkeit der betroffenen Personen entsteht. In solchen Fällen wird immer eine ausdrückliche Einwilligung verlangt.

Der Konsumentenschutz hält an der Forderung nach höherer Transparenz fest.

3. Wahlfreiheit

Anstatt mit ihren Personendaten für Dienstleistungen zu bezahlen, sollen Konsumentinnen und Konsumenten die Möglichkeit haben, stattdessen eine datensparsame Variante mit Geld zu kaufen.

Eine derartige Lösung ist explizit weder in der Europäischen Datenschutz-Verordnung (DSGVO) noch im nDSG vorgesehen. Das DSGVO enthält aber das sogenannte Kopplungsverbot, das Einwilligungen für ungültig erklärt, wenn der Vertragsabschluss von ihnen abhängig gemacht wird, obwohl sie für die Vertragserfüllung nicht erforderlich sind. Im nDSG fehlt ein ausdrückliches Kopplungsverbot, es könnte höchstens argumentiert werden, dass in solchen Fällen die Freiwilligkeit der Einwilligung fehlt.

Der Konsumentenschutz wird sich weiterhin für die Übernahme des Kopplungsverbots und die Möglichkeit, statt mit Personendaten mit Geld bezahlen zu können, einsetzen.

4. Datensparsamkeit

Es sollen nur die für die Abwicklung der gegenseitigen Geschäftstätigkeit notwendigen Daten bearbeitet werden.

Durch «privacy by default» (vgl. Nr. 1) wird die Datenbearbeitung mit den Standardeinstellungen auf das zum Betrieb nötige Mindestmass beschränkt. Bei Einhaltung des neuen Datenschutzgesetzes wird die Datensparsamkeit dadurch standardmässig erfüllt. Nutzerinnen und Nutzer können die Voreinstellungen abändern, womit die Datenbearbeitungsmöglichkeiten erhöht werden.

Der Konsumentenschutz begrüsst diese konsumentenfreundliche Regulierung.

5. Datensicherheit

Datendiebstahl oder –manipulationen sollen durch technische und organisatorische Massnahmen bestmöglich verhindert werden.

Art. 8 nDSG übernimmt grösstenteils den bestehenden Art. 7 DSG. Neu ist vorgesehen, dass die Datensicherheit dem bestehenden Risiko angemessen sein muss. Damit wird ein kleiner Schritt in Richtung Art. 32 DSGVO gemacht, der festhält welche Faktoren bei der Risikobewertung zu beachten und welche Massnahmen zu ergreifen sind. Leider steht das neue Datenschutzgesetz seinem europäischen Vorbild im Umfang deutlich nach. Es bleibt abzuwarten, welche Mindestanforderungen an die Datensicherheit der Bundesrat im Rahmen der Ausführungsbestimmungen erlässt.

Zur Sicherstellung der Datensicherheit sind umfangreichere Normen auf Gesetzesebene nötig.

6. Datenportabilität

Die eigenen Daten sollen auf Wunsch den Kundinnen bzw. Bürger in maschinenlesbarer Form ausgehändigt werden.

Art. 28 nDSG sieht einen Anspruch auf Datenherausgabe oder –übertragung vor, die kostenlos zu erfolgen hat, wenn keine bundesrätliche Ausnahme vorliegt. Aber: Damit ein solcher Anspruch entsteht, müssen Daten automatisiert bearbeitet werden. Zudem ist die Übertragung an andere Verantwortliche nur geschuldet, wenn sie keinen unverhältnismässigen Aufwand mit sich bringt.

Die Konsumentinnen und Konsumenten müssen ohne Einschränkung an die Informationen kommen, die über sie gespeichert werden.

7. Recht auf Vergessen

Kundinnen bzw. Bürger sollen die Löschung ihrer Daten jederzeit veranlassen können, wenn nicht gesetzliche oder buchhalterische Gründe dagegensprechen.

Im Gegenteil zur DSGVO sieht das neue Datenschutzgesetz kein direktes Recht auf Löschung vor, solange die Daten nicht unrichtig sind. Anstatt eines einfach durchsetzbaren Anspruchs auf Löschung wird auf die Klagemöglichkeiten nach Art. 28 ff. ZGB verwiesen.

Der Konsumentenschutz wird sich weiterhin für ein explizites und einfach durchsetzbares Recht auf Vergessen bzw. Löschung einsetzen.