Stellungnahme zur Totalrevision der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) (Vernehmlassung 2021/26)

Vorbemerkungen

Neben unseren Ausarbeitungen zur Vernehmlassung an der Verordnung zum Bundesgesetz über den Datenschutz möchten wir noch kurz Anmerkungen zum zu Grunde liegenden Gesetz anfügen.

Die Etablierung der Definition „Profiling mit hohem Risiko“ erachten wir als sehr bedenklich. Jegliches Profiling hat ein hohes Risiko, eine Unterscheidung ergibt keinen Sinn. Datensparsamkeit ist deshalb grundsätzlich geboten.

Mit dem Urteil „Schrems II“ des EuGH sind Standardvertragsklauseln nicht mehr gültig. Der EDÖB hält hierzu explizit fest: „Die zusätzlichen technischen und organisatorischen Massnahmen müssen dergestalt sein, dass die Behördenzugriffe auf die übermittelten Personendaten im Zielland faktisch verhindert werden.“ [1] Infolge dessen besteht eine Dringlichkeit das DSG anzupassen.

Ferner wird im Artikel 16 nDSG die Angemessensbeurteilung ausländischer Datenschutzgesetzgebung vom EDÖB an den Bundesrat übertragen. Wir befürchten, dass somit Entscheide politischer Natur und nicht basierend auf Expertise gefällt wird. Um dies zu verhindern muss der EDÖB auch in Zukunft die Beurteilung vornehmen und der Bundesrat dies übernehmen.

Stellungnahme zur Totalrevision der Verordnung zum Bundesgesetz über den Datenschutz

Gerne nehmen wir zum Vorentwurf wie folgt Stellung:

In Art. 2 wäre es wünschenswert, wenn eine klarere Unterscheidung zwischen Unternehmen, bei denen Datenverarbeitung nur administrativer Natur ist, und Unternehmen, deren Geschäftsmodell auf Datenerhebung, Analyse, Bereitstellung und/oder Nutzung basiert, eingeführt würde. Zwar kann argumentiert werden, dass die Klausel „soweit angemessen“ diesem Umstand bereits Rechnung trägt, aber letztere Unternehmen sollten diesen Ermessensspielraum weiter eingegrenzt wissen, da ansonsten ein Missbrauch leichter möglich bleibt.

In Art. 6 Abs. 1 vermissen wir die Definition, *wie* die vertrags- oder gesetzesgemässe Bearbeitung mindestens sichergestellt werden muss. So ist es zwar nur recht, dass der Auftraggeber weiterhin die Verantwortung tragen muss. Aber ohne Mindestvorgaben zur Sicherstellung bleibt die korrekte Wahrnehmung dieser Pflicht nicht nur für den Verantwortlichen, sondern auch für die betroffenen Personen unsicher.

Art. 6 Abs. 2 ist wie das nDSG durch das Urteil Schrems II des EuGH[1] bereits wieder veraltet und nicht mehr mit EU-Recht kompatibel. Das kann den Zugang zum digitalen Binnenmarkt der EU gefährden. Um die zukünftige Relevanz der VDSG sicherzustellen, sollte der 2. Satz („Andernfalls muss er  diesen  auf  vertraglichem  Wege sicherstellen“) ersatzlos gestrichen oder durch einen Verweis auf EDÖB Richtlinien ersetzt werden, da Standardvertragsklauseln allein nicht mehr ausreichen. Der EDÖB schreibt hierzu:

„Die zusätzlichen technischen und organisatorischen Massnahmen müssen dergestalt sein, dass die Behördenzugriffe auf die übermittelten Personendaten im Zielland faktisch verhindert werden.“ [2]

Art. 8 Abs. 3-5 behandeln die „Angemessenheit des Datenschutzes“ ausländischer Staaten. Darin wird eine periodische Neubeurteilung festgelegt, dessen Ergebnis in Anhang 1 aufgeführt werden soll. Es wäre wünschenswert, nicht nur die Ergebnisse, sondern auch die Entscheidungsfindung transparent zu führen.

Mit der Degradierung des EDÖB zur Konsultationsstelle und der finalen Entscheidungsmacht beim Bundesrat (Art. 16 Abs. 1 DSG i.V.m. Abs. 6 E-VDSG) könnten gewisse Entscheide politischer ausfallen, als es der Sache angemessen wäre. Ein öffentlich und leicht einsehbarer Entscheidungsfindungsprozess würde diesem Problem entgegenwirken.

Art. 23 sieht Ausnahmen von der Kostenlosigkeit für das Auskunftsrecht vor, falls die Auskunft mit einem unverhältnismässigen Aufwand verbunden ist. In Bezug auf Unternehmen sollte auch hier deutlicher zwischen Unternehmen, bei denen Datenverarbeitung nur administrativer Natur ist, und Unternehmen, deren Geschäftsmodell auf Datenerhebung, Analyse, Bereitstellung und/oder Nutzung basiert, unterschieden werden. Der erläuternde Bericht zur Verordnung hat eine solche Unterscheidung bereits angedacht [3], findet sich aber nicht in der Verordnung selbst wieder. Wenn letztere Unternehmen intern effizient mit Daten umgehen können, sollen sie auch sicherstellen müssen, dass sie diese kostenlos aushändigen können. Auskünfte durch den Staat sollten grundsätzlich kostenlos zur Verfügung gestellt werden. Dahingehend muss der Staat auch darauf hinarbeiten seine Daten, Dokumente etc. automatisch der Öffentlichkeit frei zur Verfügung zu stellen.

Schlussbemerkungen

Wir beschränken uns in dieser Stellungnahme auf unsere Kernanliegen. Bei Verzicht unsererseits auf umfassende allgemeine Anmerkungen oder auf Anmerkungen zu einzelnen Regelungen, ist damit keine Zustimmung durch die Piraten zu solchen Regelungen verbunden.

Quellen:

[1] https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2021/Anleitung%20f%C3%BCr%20die%20Pr%C3%BCfung%20von%20Daten%C3%BCbermittlungen%20mit%20Auslandbezug%20DE.pdf.download.pdf/Anleitung%20f%C3%BCr%20die%20Pr%C3%BCfung%20von%20Daten%C3%BCbermittlungen%20mit%20Auslandbezug%20DE.pdf [N8]
[2] https://curia.europa.eu/juris/document/document.jsf;jsessionid=B8741E9212ED1ABD98839AE0EB8F1983?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=10591711

[3] Totalrevision der Verordnung zum Bundesgesetz über den Datenschutz, Erläuternder Bericht zur Eröffnung des Vernehmlassungsverfahrens, S. 37/87, Art. 23.

Die Vernehmlassung als pdf