Piratenpartei fordert Verschlüsselungspflicht im Datenschutzgesetz

Die Piratenpartei Schweiz hat ihre Vernehmlassungsantwort zur Totalrevision des Datenschutzgesetzes eingereicht. Darin fordert sie unter anderem Verschlüsselungspflicht, Koppelungsverbot, Recht auf Datenportabilität, Verbandsklagerecht, Beweislastumkehr und griffige Verwaltungssanktionen gegen Verletzer.

Stefan Thöni, Co-Präsident der Piratenpartei Schweiz sagt dazu: «Die Verschlüsselung von Personendaten anderer Menschen bei Übertragung im Internet oder bei Transport per Laptop oder Datenträger sollte schon längst Usus sein. Da sich einige immer noch um Datensicherheit drücken, muss das Gesetz jetzt diese Vorgabe machen.»

Kommerzielle Anbeiter und Behörden sollen zudem verpflichtet werden, Anfragen per E-Mail auch verschlüsselt entgegen zu nehmen und auf Wunsch des Kunden auch Benachrichtigungen zu verschlüsseln.

Zum Koppelungsverbot sagt Stefan Thöni: «Niemand soll mit persönlichen Daten bezahlen müssen. Das Koppelungsverbot verhindert, dass Unternehmen Leistungen nur gegen die Einwilligung in unnötige Datenverarbeitung, zum Beispiel zu Werbezwecken, anbieten.»

Das Recht auf Datenportabilität ermöglicht dem Konsumenten, seinen Diensteanbieter ohne weiteres mit samt seinen bei diesem gespeicherten Daten zu wechseln, wenn z.B. das Datenschutzniveau nicht angemessen ist.

Das Verbandsklagerecht ermöglicht die bessere Durchsetzung der Datenschutznormen durch Verbände und entlastet den EDÖB. Die Beweislastumkehr soll Verantwortliche zur Mitwirkung im Verfahren zwingen, wenn bereits der Verdacht einer Datenschutzverletzung vorliegt.

Die im Vorentwurf vorgesehenen Sanktionen bleiben weit hinter denjengen, welche die EU in der Datenschutz-Grundverordnung vorsieht, zurück und sind denn auch aus Sicht der Piratenpartei völlig ungenügend. Anders als im Entwurf vorgesehen muss zudem die Sanktion primär das fehlbare Unternehmen und nicht dessen Angestellte treffen. Deshalb fordert die Piratenpartei verwaltungsstrafrechtliche Sanktionen, welche direkt vom EDÖB ausgesprochen werden.

Vernehmlassungsantwort der Piratenpartei

Die Piratenpartei begrüsst grundsätzlich die überfällige Erneuerung des Datenschutzgesetzes, hält den Entwurf jedoch für unzureichend. Das Gesetz muss stark überarbeitet und verschärft werden.

Allgemeines

Das Recht auf Datenportabilität gehört untrennbar zur informationellen Selbstbestimmung und hat sehr weitgehenden Einfluss auf den Datenschutz, da es von Datenschutzproblemen betroffenen Personen ermöcht, den Anbieter einfach zu wechseln. Daher möchte die Piratenpartei die Datenportabilität analog zur DSGVO in DSG aufgenommen sehen.

Art. 2 DSG

Es ist nicht einzusehen, weshalb bestimmte Behörden insgesamt vom Datenschutzrecht ausgenommen werden.

Art. 2 Abs. 2 lit b DSG

Diese unberechtigte Ausnahme ist zu streichen. Soweit die Bundesversammlung Personendaten bearbeitet, soll dies explizit im Parlamentsgesetz erlaubt werden.

Art. 2 Abs. 2 lit c DSG

Diese unberechtigte Ausnahme ist zu streichen. Auch die Rechtsprechungstätigkeiten der Justizorgane sollen grundsätzlich dem Datenschutz unterliegen. Die notwendigen Erlaubsnistatbestände sollen im Prozessrecht (ZPO, StPO, VwVG, BGG, usw.) explizit kodifiziert werden.

Art. 2 Abs. 2 lit d DSG

Diese unberechtigte Ausnahme ist zu streichen. Speziell das IKRK bearbeitet besonders schützenswerte Personendaten und unterliegt ansonsten keinerlei Datenschutzbestimmungen.

Art. 2 Abs. 3 DSG

Diese unberechtigte Ausnahme ist zu streichen. Auch die Rechtsprechungstätigkeiten der Justizorgane sollen grundsätzlich dem Datenschutz unterliegen. Die notwendigen Erlaubsnistatbestände sollen im Prozessrecht (ZPO, StPO, VwVG, BGG, usw.) explizit kodifiziert werden.

Art. 2 Abs. 4 DSG

Diese unberechtigte Ausnahme ist zu streichen. Auch die Rechtsprechungstätigkeiten der Justizorgane sollen grundsätzlich dem Datenschutz unterliegen. Die notwendigen Erlaubsnistatbestände sollen im Prozessrecht (ZPO, StPO, VwVG, BGG, usw.) explizit kodifiziert werden.

Art. 3 lit c DSG

Ziffer 4: Eindeutige Identifizierung eines Menschen durch biometrische Daten ist kaum möglich und daher als Kriterium ungeeignet. Stattdessen sollen alle biometrischen Daten erfasst werden, die bei der Identifizierung einer natürlichen Person hilfreich sein können. Dazu gehören insbesondere Fotos und Videos mit erkennbaren Gesichtern. Dies ist wichtig, weil Gesichtserkennung mittlerweile umfassend eingesetzt wird.

Die Piratenpartei ist ausserdem der Auffassung, dass die Auflistung der besonders schützenswerden Personendaten lückenhaft ist. Dazu gehören müssten mindestens Kommunikationsinhalte, Foto-, Video- und Tonaufnahmen aus nichtöffentlichen Räumen, Bewegungsprofile, Beziehungsnetze und Online-Verlaufsprofile, da all diese Personendaten einen sehr weitgehenden Einblick in das Leben eines Menschen geben können.

Art. 4 DSG

Eine freiwillige und informierte Zustimmung im bisherigen Rechtssinne ist nicht gut genug, da allenorts wesentliche Leistungen von der Zustimmung abhängig gemacht werden. Dies ist insbesondere bei Quasi-Monopolen ein grosses Problem. Deshalb ist folgender neuer Absatz einzufügen: „Die Einwilligung in die Datenbearbeitung ist nichtig, wenn eine Leistung davon abhängig gemacht wird, zu deren Erbringung die Einwilligung nicht zwingend erforderlich ist.“

Art. 5 Abs. 2 DSG

Auf die Feststellung des angemessenen Schutzes durch ausländische Gesetze durch den Bundesrat ist zu verzichten, da es sich hier nicht um eine politische Entscheidung handelt. Die Feststellung soll im Streitfall ein Gericht vornehmen. Zudem sollen konkrete Kriterien für einen minimalen Schutz wie z.B. allgemeines Verbot mit Erlaubnisvorbehalt, Rechtsschutz, usw. aufgeführt werden.

Art. 5 Abs. 3 ff. DSG

Absätze 3-6 sind zu streichen, da es keinen Ersatz für ausreichende gesetzliche Datenschutzbestimmungen im fremden Land gibt. Abkommen wie Privacy Shield, vertragliche Zusicherungen sowie unternehmensinterne Datenschutzvorschriften sind in jedem Fall ungenügend.

Art. 6 Abs. 1 lit b DSG

Für die Erfüllung der meisten Verträge ist die Übermittlung in Staaten mit ungenügendem Datenschutzniveau nicht erforderlich. Der Nutzer soll sich darauf verlassen können, dass ohne seine explizite Einwilligung seine Daten nicht in solche Staaten exportiert werden. Dieser Buchstabe ist daher ersatzlos zu streichen.

Art. 6 Abs. 1 lit c DSG

Ziffer 1: Das öffentliche Interesse ist dahingehend zu präzisieren, dass z.B. fiskalische und wirtschaftliche Interessen der Schweiz nicht darunter fallen.
Ziffer 2: Die Durchsetzung von Rechtsansprüchen in Ländern mit ungenügendem Datenchutzniveau muss hinter dem Datenschutzinteresse des Betroffenen zurückstehen. Daher ist diese Ziffer ersatzlos zu streichen.

Art. 6 Abs. 1 lit e DSG

Auch wenn der Betroffene die Daten selbst öffentlich macht, will er in der Regel nicht auf einen angemessenen Rechtsschutz, z.B. bezüglich Widerruf der Einwilligung oder Löschung und Korrektur der Daten, verzichten. Dieser Buchstabe ist daher ersatzlos zu streichen.

Art. 6 Abs. 1 lit f DSG

Auch wenn die Daten in der Schweiz öffentlich zugänglich sind, will der Betroffene in der Regeln nicht auf den angemessenen Rechtsschutz, z.B. bezüglich Widerruf der Einwilligung, Löschung und Korrektur verzichten. Dieser Buchstabe ist daher ersatzlos zu streichen.

Art. 8 f. DSG

Die pauschalen Empfehlungen der guten Praxis sind zu streichen, da jeder Einzelfall anders ist und den Betroffenen nicht die Möglichkeit genommen werden darf, jeden Einzelfall umfassend gerichtlich beurteilen zu lassen.

Art. 11 DSG

Es braucht konkrete Mindeststandards für technische Sicherheitsmassnahmen, da diese immer noch von vielen Verantwortlichen vernachlässigt werden.

Der Einsatz von Verschlüsselung zum Schutz der übertragenen und gespeicherten Personendaten ist angesichts der umfassenden Überwachung des Internets durch fremde Nachrichtendienste und Kriminelle zwingend notwendig. Deshalb sind folgende Absätze einzufügen:

1a „Nicht zur Veröffentlichung bestimmte Personendaten, ausgenommen diejenigen des Absenders und des Adressaten, dürfen ausschliesslich mit Ende-zu-Ende-Verschlüsselung nach dem Stand der Technik geschützt über das Internet übertragen werden.“

1b: „Nicht zur Veröffentlichung bestimmte Personendaten dürfen ausserhalb der geschützten Räumlichkeiten des Verantwortlichen oder des Datenverarbeiters nur auf nach dem Stand der Technik verschlüsselten Geräten und Speichermedien gelagert oder transportiert werden.“

1c: „Wer behördlich oder gewerbsmässig Eingabe, Ansicht, Entgegennahme oder Versand von nicht zur Veröffentlichung bestimmten Personendaten über Internet anbietet muss die Verschlüsselung der Übertragung nach dem Stand der Technik auf allen von ihm verwendeten Kanälen ermöglichen. Davon ausgenommen sind Adresse und Name des Empfängers und Adressaten.“

Art. 12 Abs. 1 ff. DSG

Das Opt-Out-Prinzip ist hier ungenügend, da so auch sensitive Daten möglicherweise in die Hände von aus Sicht des Verstorbenen nicht vertrauenswürdigen Angehörigen gelangen.

Stattdessen soll hier ein Opt-In-Prinzip gelten, bei dem der Betroffene zu Lebzeiten eine Person oder mehrere Personen bezeichnen kann, welche nach seinem Tod Zugriff auf die Daten erhalten. Diese Personen müssen auch selbst kein schutzwürdiges Interesse haben, sondern sollen auch das Interesse des Verstorbenen wahrnehmen können.

Art. 13 Abs. 2 DSG

Es sollen auch die Orte mitgeteilt werden, wo die Personendaten gespeichert und bearbeitet werden. Diese Information ist für die Beurteilung des Rechtsschutzes wesentlich.

Zudem sollen auch die einzelnen Datenwerte inklusive Beschreibung mitgeteilt werden, damit der Betroffene den Umfang der Datenbearbeitung erkennen kann.
Die Mitteilung ist zudem jährlich zu wiederholen, damit der Betroffenen einen Überblick über jeden Datenbearbeiter erhalten kann. Der Betroffene soll die fortlaufenden Mitteilungen auch abbestellen können (Opt-out).

Art. 14 Abs. 1 f. DSG

Die Information ist auch dann wichtig, wenn der Betroffene bereits darüber verfügt oder verfügen könnte, um darauf aufmerksam zu machen, dass die Daten bearbeitet werden. Daher sind ist Absatz 1 und Absatz 2 lib. a zu streichen. Absatz 2 lit. b ist dahingehend einzuschränken, dass die Mitteilung nur unterbleiben kann, wenn keine Adresse erhoben wurde oder diese nicht mehr gültig ist.

Art. 14 Abs. 3 DSG

Litera b ist dahingehend einzuschränken, dass nur die identifizierenden Daten von Drittpersonen zurückgehalten werden. Dies ist für den Zweck, Drittpersonen zu schützen, ausreichend.

Art. 14 Abs. 4 DSG

Für die Einschränkung nach Litera a ist kein Grund ersichtlich. Die Ausnahmen in Litera b sind in Bundesgesetzen (StPO, BWIS, usw.) explizit zu kodifizieren. Daher ist der ganze Absatz zu streichen.

Art. 15 DSG

Die Piratenpartei begrüsst die Informations- und Anhörungspflicht bei automatisierten Einzelfallentscheidungen. Diese müsste jedoch noch weiter gehen und insbesondere dem Betroffenen Zugang zum Algorithmus und den Eingangsdaten gewähren, so dass er die Berechnung der Entscheidung nachvollziehen kann.

Art. 15 Abs. 3 DSG

Gerade wenn das Gesetz eine automatisierte Einzelfallentscheidung vorsieht, besteht ein erhöhtes Informations- und Anhörungsinteresse. Deshalb ist Absatz 3 ersatzlos zu streichen.

Art. 17 DSG

Die Piratenpartei begrüsst die Meldepflicht. Jedoch müsste in jedem Fall der Betroffene informiert werden, damit er seine Rechte selbstständig wahrnehmen und sich ggf. vor Folgen schützen kann, die der Verantwortliche nicht absehen kann.

Art. 20 Abs. 2 DSG

öDie Auskunft muss auch die Rohdaten und eine verständliche Dokumentation umfassen, damit der Betroffene das Ausmass der Datenverarbeitung erkennen kann.

Art. 23 Abs. 3 lit c DSG

Jede unbefugte Kenntnisnahme oder Bekanntgabe von Personendaten ist eine ist als Persönlichkeitsverletzung zu sehen. Litera c ist ensprechend zu ergänzen.

Art. 24 Abs. 2 lit c DSG

Kreditwürdigkeitsprüfungen fallen vor allem durch massenhaften Missbrauch auf und sind daher als Rechtfertigungsgrund ersatzlos zu streichen.

Art. 25 Abs. 4 DSG

Schäden aus Persönlichkeitsverletzung wegen Datenschutzverstässen sind häufig schwer monetär zu erfassen und noch schwerer zu beweisen. Deshalb soll jede solche Persönlichkeitsverletzung eine Genugtuungsanspruch von 50 bis 1000 Franken begründen. Um damit Freizeitvereine nicht zu gefährden soll es für nichtkommerzielle Verantwortliche Ausnahmen geben können.

Der neue Absatz im Wortlaut: „Der von einer rechtswidrigen Verletzung seiner informationellen Selbstbestimmung betroffene hat jedenfalls Anspruch auf eine Genugtuung von 50 bis 1000 Franken. Der Richter kann den Genugtuungsanspruch reduzieren oder verneinen, wenn die Verletzung nicht von einem Gewerbebetrieb ausging.“

Art. 25 Abs. 5 DSG

Wie bereits beim bestehenden Datenschutzrecht ist die Rechtsdurchsetzung nach dem Entwurf weiterhin ein Problem, da oft viele Konsumenten oder Arbeitnehmer betroffen sind, die sich gegenüber dem Verantwortliche in einer schwachen Position befinden. Aus diesem Grund ist analog zu Art. 10 Abs. 2 UWG eine Verbandsklagerecht einzuführen. Aus denselben Gründen soll die kollektive Rechtsdurchsetzung gegenüber Bundesbehörden durch ein Verbandsbeschwerderecht gegeben werden. Die kollektive Rechtsdurchsetzung auf eine spätere Gesamtlösung zu vertagen ist für die Piratenpartei angesichts der besonderen Schwierigkeiten im Datenschutzrecht keine Option.

Der neue Absatz im Wortlaut: „Das Klagerecht steht auch Organisationen von gesamtschweizerischer oder regionaler Bedeutung, die sich statutengemäss dem Datenschutz, Kosnumentenschutz oder Arbeitnehmerschutz widmen zu.“

Art. 25 Abs. 6 DSG

Die Piratenpartei wünscht sich in Gerichtsverfahren wegen Datenschutzverletzungen eine Beweislastumkehr sobald eine Datenschutzverletzung glaubhaft gemacht wurde. Dies ist notwendig, da sich Datenschutzverletzungen vielfach aus internen Abläufen und mangelhaften technischen Vorkehren des Verantwortlichen ergeben, die durch den Kläger nur in sehr aufwendigen Beweisverfahren zu beleuchten sind.

Der neue Absatz im Wortlaut: „Wird eine Datenschutzverletzung durch den Kläger glaubhaft gemacht, so hat der Beklagte zu Beweis über die rechtmässige Datenverarbeitung zu erbringen.“

Art. 28 DSG

Die Piratenpartei lehnt datenschutzrelevante Experimente ohne explizite gesetzliche Grundlage ab. Daher ist dieser Artikel zu streichen.

Art. 29 Abs. 2 lit e DSG

Die Bundesbehörden sollen nicht Gehilfen für die Durchsetzung zivilrechtlicher Ansprüche sein. Deshalb ist dieses Literal ersatzlos zu streichen.

Art. 29 Abs. 4 DSG

Alleine die Auflistung von Namen und Geburtsdaten in einem bestimmten Kontext kann zu einer schweren Persönlichkeitsverletzung führen, so zum Beispiel Listen von Bundesangestellten, Sicherheitsüberprüften, usw. Zudem ist auch die Adresse sensitiv, da damit unerwünschte Werbung zugestellt oder Personen unerwünscht zuhause aufgesucht werden können. Aus diesen Gründen ist dieser Absatz ersatzlos zu streichen.

Art. 30 Abs. 1 DSG

Jede Person hat ein inhärentes Interesse an informationeller Selbstbestimmung. Auf ein darüber hinausgehendes Interesse ist deshalb zu verzichten.

Art. 37 Abs. 1 DSG

Der Beauftragte sollte von der Exektuive möglichst unabhängig sein und deshalb direkt von Parlament gewählt werden. Das Amt ist zudem jeweils auszuschreiben und alle grundsätzlich geeigneten Bewerber sind in öffentlicher Sitzung der Bundesversammlung anzuhören.

Art. 52 Abs. 1 DSG

Der Geheimnisbegriff erscheint hier zu stark. Es muss ausreichen, dass die Daten ohne gesetzliche Grundlage an jemanden weitergegeben wurden, der die Daten nicht zur zweckgemässen Bearbeitung kennen musste.

Art. 52 Abs. 1 lit a DSG

Hier scheint eine Gesetzeslücke für ehrenamtliche Tätigkeiten bspw. für Kirchen, Vereine und politische Parteien zu bestehen. Diese Tätigkeiten sind mit zu erfassen: „von denen er im Rahmen seiner beruflichen oder ehrenamtlichen Tätigkeit, welche die Kenntnis solcher Daten erfordert, Kenntnis erlangt hat;“

Art. 52 Abs. 3 DSG

Der Wortlaut ist hier ebenfalls auf die ehrenamtlich tätigen Personen auszudehnen.

Art. 52 DSG

Es sollte ein qualifiziertes Delikt für den Fall von besonders schützenswerten Personendaten oder Personendaten einer grossen Anzahl Menschen vorgesehen werden.

Art. 53 DSG

Die meisten Datenschutzverletzungen gehen von schlechten Geschäftspraktiken oder systematisch ungenügenden Vorkehrungen in Unternehmen aus. Deshalb ist eine primäre Strafbarkeit der Unternehmen nach Verwaltungstrafrecht vorzuziehen und die Strafen direkt durch den EDÖB auszusprechen.

Zudem muss die Höhe der Strafen so bemessen sein, dass sich Datenschutzverletzungen für Unternehmen niemals lohnen. Eine Übernahme der Strafhöhen der EU-DSGVO von bis 20 Millionen Euro oder 4% des Jahresumsatzes erscheint angemessen.

Art. 45a Abs.3 Ziff. 3 ZGB

Die Piratenpartei regt an, die Aufsichtsinstanz direkt im Gesetz zu regeln. Geeignet halten wir dafür einzig den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Art. 114 ZPO

Dass die Kläger von den Gerichtskosten befreit werden sollen, ist sehr zu begrüssen. Jedoch schrecken drohende hohe Parteikosten potenzielle Kläger weiterhin ab. Daher schlagen wir vor, zudem die Höhe der Parteikosten so zu begrenzen, dass berechtigte Ansprüche ohne finanzielle Hürden eingeklagt werden können.

Art. 179decies StGB

Die Piratenpartei begrüsst ausdrücklich den neuen Straftatbestand des Identitätsmissbrauchs und den Wortlaut des Artikels. Es fragt sich jedoch, ob nicht auch unter Strafe gestellt werden muss, wenn durch Identitätsmissbrauch Dritte zu Schaden kommen.

143bis StGB

Zusätzlich zu den Straftatbeständen in Art. 143bis hält es die Piratenpartei für erforderlich, auch das Hinterlassen einer offenen Sicherheitslücke (Backdoor) unter Strafe zu stellen. Wenn beim Eindringen (oder einem Versuch) in ein Datenverarbeitungssystem das Zielsystem für Dritte leichter angreifbar gemacht wird, kann sich der Schaden multiplizieren.

StGB

Zudem sollte unter Strafe gestellt werden, wenn heimlich und mittels Gerät über Personen Daten gesammelt werden, z.B. indem ein Fahrzeug versteckt mit einem GPS-Tracker ausgestattet wird.