Zum Inhalt oder zum Footer

Neues Datenschutzgesetz: Interview mit Kurt Pärli

06.01.2022 - 6 Min. Lesezeit

Andere

Regine Strub

Fachredaktion Sozialinfo

Das neue Bundesgesetz über den Datenschutz will den Datenschutz für die Nutzer*innen von Dienstleistungen stärken. Ob dies gelingt, ist im besten Fall eher positiven Nebeneffekten zu verdanken als dem Gesetz an sich. Ein Gespräch mit Kurt Pärli.

Kurt Pärli ist Autor und Mitherausgeber eines Rechtskommentars zum Datenschutzgesetz. Bereits im 2016 hat er mit dem Mitherausgeber Bruno Baeriswyl eine Erstauflage herausgegeben. Bei der Neuauflage hat sich Dominika Blonski, Datenschutzbeauftrage des Kantons Zürich, als Mitherausgeberin angeschlossen. Das Fachbuch behandelt die Neuerungen und erscheint im Dezember 2021. Das neue Gesetz tritt 2022, möglicherweise aber auch erst 2023 in Kraft. Kurt Pärli gibt im Interview seine Einschätzung zum neuen Gesetz ab.

«Man hat es verpasst, ein richtig gutes Datenschutzrecht zu schaffen»

Welche Bedeutung hat das neue Datenschutzgesetz für das Sozialwesen?

Praktisch keine, denn die sozialen Organisationen unterstehen in vielen Fällen gar nicht diesem Gesetz.

Tatsächlich?

Ein Beispiel: Der Sozialdienst der Stadt Bern untersteht dem Datenschutzgesetz des Kantons Bern.

Das heisst, neben dem Bundesgesetz gibt es weitere kantonale Datenschutzgesetze?

Ja, wir haben in der Schweiz 27 verschiedene Datenschutzgesetze. Das Bundesgesetz ist nur für die Bundesverwaltung sowie für privatwirtschaftliche Firmen und private Organisationen relevant. Das ist bereits heute so. In den Kantonen gelten die kantonalen Datenschutzerlasse.

« Wir haben in der Schweiz 27 verschiedene Datenschutzgesetze. »

Kurt Pärli

Aber eine private Sozialberatungsstelle würde darunterfallen?

Ja. Allerdings kommt es hier darauf an. Wenn diese private Organisation einen öffentlichen Auftrag wahrnimmt, dann muss im kantonalen Datenschutzgesetz nachgeschaut werden, was dieses vorsieht. Im Kanton Zürich zum Beispiel gilt das kantonale Gesetz auch für Organisationen, die im Auftrag des Kantons Aufgaben übernehmen. Und dann wird es richtig kompliziert.

Inwiefern?

Wenn beispielsweise eine Klient*in einer als Verein organisierten Institution im Kanton Zürich mit der Datenbearbeitung über ihre Person nicht einverstanden ist, dann muss sie sich an die zuständige Datenschutzbeauftragte im Kanton wenden, also an Frau Bronsky. Wenn hingegen eine Mitarbeiter*in diesem Verein mit der Bearbeitung der Mitarbeiterdaten nicht einverstanden ist, kann sie gestützt auf das Bundesgesetz über den Datenschutz und zusätzlich Artikel 328b des Obligationenrechts gegen ihre Arbeitgeberin vorgehen. Falls in diesem Betrieb die Datenschutzvorschriften des DSG systematisch verletzt werden, müsste überdies der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDOEB) aktiv werden.   

Das hört sich in der Tat komplex an.

Die verschiedenen Gesetze sind sich inhaltlich zwar ähnlich, aber die gerichtlichen Verfahren sind unterschiedlich. Welches Gesetz zur Anwendung kommt, entscheidet darüber, ob ein Verwaltungsgerichtsverfahren zum Zuge kommt, oder ein zivilprozessrechtliches Verfahren. Kurz und gut: Schon nur die Frage, welches Datenschutzgesetz nun gilt, erzeugt manchmal Kopfzerbrechen.

Allerdings.

Hinzu kommt, dass es in vielen Einzelgesetzen weitere Datenschutzbestimmungen gibt. Zum Beispiel im Sozialhilfegesetz, im Invalidenversicherungsgesetz oder im Krankenversicherungsgesetz. Was zusätzlich zur Komplexität des Themas beiträgt.

« Kurz und gut: Schon nur die Frage, welches Datenschutzgesetz nun gilt, erzeugt manchmal Kopfzerbrechen. »

Kurt Pärli

Ich habe gelesen, dass im neuen Gesetz die Betroffenenrechte ausgebaut worden sind. Stimmt das?

Bedingt. Bereits heute sieht das Bundesgesetz, aber auch die kantonalen Gesetze, ein Auskunftsrecht vor. Das heisst, als betroffene Person haben Sie das Recht, Auskunft darüber zu erhalten, welche Daten über Sie bearbeitet werden. Im revidierten Bundesgesetz über den Datenschutz gibt es zwar einige Verschärfungen, aber in der Praxis wird sich erst noch zeigen müssen, ob diese wirklich die Betroffenenrechte stärken. Unsere Einschätzung ist, dass sich gegenüber heute nicht viel ändern wird.

Eine neue Bestimmung betrifft die sogenannten Einzelentscheidungen. Sie wurde an die Datenschutzverordnung der EU angelehnt. Was heisst das?

Bei dieser Bestimmung geht es um automatisierte Entscheidungen, die nicht von einem Menschen getroffen werden. Beispiel: Eine Organisation entwickelt ein Programm, welches Daten, die Sie als Kund*in oder Klient*in eingeben, bearbeitet und auf dieser Basis einen positiven oder negativen Entscheid generiert. Sofern dieser Entscheid für Sie eine rechtliche Bedeutung hat, haben Sie das Recht, sich diesen durch eine richtige Person begründen zu lassen.

Will man damit die Macht von Algorithmen einschränken?

Es ist auch weiterhin nicht verboten, Algorithmen einzusetzen und damit die Effizienz zu steigern. Das revidierte DSG sieht unter Anlehnung an Konzepte in der Europäischen Datenschutzgrundverordnung (DSGVO) bestimmte Regeln vor, mit denen der Umgang mit Algorithmen auf eine Art und Weise geregelt werden soll, die Missbrauch verhindern. Dazu gehört auch das vorhin gerade erwähnte Recht darauf, bei automatisierten Einzelentscheidungen gehört zu werden, man kann dies auch als Anrecht auf «menschliches Gehör» verstehen.  Weiter zu erwähnen ist die Pflicht, unter bestimmten Voraussetzungen eine "Datenschutzverträglichkeitsprüfung" durchzuführen.

Das wird im Sozialbereich wohl eher weniger zur Anwendung kommen? 

Das könnte durchaus in Betracht kommen. Das ist der Fall, wenn eine soziale Organisation ein Programm entwickelt und anwendet, das geeignet ist die Persönlichkeit von vielen Menschen zu betreffen.  Nehmen wir zur Veranschaulichung eine Organisation, sagen wir, rein hypothetisch, die Pro Senectute. Diese entschliesst sich dazu, ein Datenverarbeitungsprogramm zu entwickeln, das Aussagen über Persönlichkeit, Potentiale, Vorlieben, oder Schwächen und Stärken ihrer Klient*innen vornehmen kann. Das wäre so ein Vorhaben. In dieser Konstellation wäre nun die vorher genannte Datenschutzverträglichkeitsprüfung angezeigt.

Datenschutzverträglichkeitsprüfung tönt ähnlich wie Umweltverträglichkeitsprüfung im Umweltgesetz. Ist das vergleichbar?

Genau. Es geht darum, dass die betroffenen Menschen angemessen und transparent darüber informiert werden, was mit ihren Daten geschieht. Diesem Ziel dienen ganz allgemein die Regeln des Datenschutzrechts. Ich nutze im Alltag dafür gerne den Begriff des «Datenknigge». Ein*e Klient*in oder Kund*in meiner Organisation soll so behandelt werden, wie ich dies in einer ähnlichen Situation selbst auch möchte. Wenn eine Firma so handelt, kann sie nicht viel falsch machen.


« Eine Klient*in in meiner Organisation soll so behandelt werden, wie ich dies in einer ähnlichen Situation selbst auch möchte. »

Kurt Pärli

Das neue Gesetz stellt nun höhere Ansprüche an die Transparenz der Datenverarbeitung.

Jede Stelle muss ihre interne Organisation so ausgestalten, dass gegen aussen eine verantwortliche Person sichtbar ist. Auf Sozialinfo muss zum Beispiel ersichtlich sein, welche Daten erhoben werden, wie sie bearbeitet werden und wer Ansprechperson für diese Fragen ist. Es muss möglich sein, Kontakt aufzunehmen und mit dieser Person zu kommunizieren.

Auf Websites von Firmen ist oft nicht ersichtlich, an wen man sich bei Problemen wenden kann.

Das wäre kein korrektes Verhalten dieser Firma. Als Betroffene*r soll man in die Lage versetzt sein, zu überprüfen, ob diese Stelle die eigenen Daten richtig bearbeitet. Diese Bestimmung hat zum Ziel, dass die Bürger*innen den Firmen oder Ämtern nicht machtlos ausgeliefert sind.

Diese Vorkehrungen sind für betroffene Firmen und Organisationen wohl sehr aufwändig.

Ein positiver Effekt wäre, wenn Unternehmen und Institutionen, auch im Sozialbereich, die Revision des Datenschutzgesetzes zum Anlass nehmen, um ihren Umgang mit Personendaten zu überprüfen. Welche Daten brauchen sie und wie lange müssen sie wirklich aufbewahrt werden? Eine an das neue Gesetz angepasste, korrekte Datenbearbeitungsstrategie kann meiner Meinung nach sogar für mehr Effizienz sorgen. So wird unter Umständen unnötiger Ballast abgeworfen. Und wenn die Firmen gegenüber den Nutzenden mehr Transparenz herstellen, tun sie etwas für die Qualitätsverbesserung. Wenn Organisationen dieses Thema ernst nehmen, müssen sie keine Angst vor den neuen Anforderungen haben, auch wenn das neue Gesetz wesentlich höhere Strafen vorsieht als bisher.

Können Sie das konkretisieren?

Ja, bestimmte Verstösse gegen die das DSG können mit Bussen von bis zu 250'000 Franken geahndet werden. Im bisherigen Datenschutzgesetz waren die Strafbestimmungen weitgehend toter Buchstabe.

Es ist also doch eine Stärkung von Betroffenenrechten.

Indirekt, ja. In der EU kann man beobachten, dass sich sogenannte Datenschutzlobbies gebildet haben, die gezielt gegen Grossunternehmen oder Verwaltungen vorgehen, die bisher im Ruf standen, es mit dem Datenschutz nicht so genau zu nehmen.

Eine hohe Busse könnte negative Medienaufmerksamkeit für eine betroffene Organisationen bewirken.

Der Reputationsschaden wäre unter Umständen sogar grösser als die eigentliche Strafe. Bei einer sozialen Organisation könnte der Reputationsschaden Auswirkungen auf einen Leistungsvertrag mit der Gemeinde oder dem Kanton haben.

« Sobald der Bund Gesetz und Verordnung unter Dach und Fach gebracht hat, werden landauf landab Revisionen auf kantonaler Ebene beginnen. »

Kurt Pärli

Aber, wie Sie bereits gesagt haben, gelten diese Bestimmungen nicht, wenn es sich um eine Gemeinde oder einen städtischen Sozialdienst handelt.

Zunächst einmal nicht, nein. Aber sobald der Bund Gesetz und Verordnung unter Dach und Fach gebracht hat, werden landauf landab Revisionen auf kantonaler Ebene beginnen. Einige Kantone werden mehr, andere weniger Regelungen aus dem Bundesgesetz übernehmen. Denn das Bundesgesetz verursacht einen gewissen Druck auf die Kantone, ihre Gesetze ebenfalls anzupassen. Ähnlich wie die EU-Datenschutzverordnung die Schweiz unter Druck setzte, das Bundesgesetz anzupassen.

Wie schätzen Sie das neue Gesetz ein? Eher positiv?

Nicht nur (lacht). Meine persönliche Bilanz fällt gemischt aus. Einerseits besteht eine gewisse Gefahr, dass das neue Gesetz zwar den Datenschutz verbessern will, in Tat und Wahrheit aber eher dazu beiträgt, dass die Bürokratie in den Unternehmen und Institutionen zunimmt und sich Beratungsbüros dabei eine goldene Nase verdienen. Auch besteht die Gefahr, dass Unternehmen und andere Institutionen zwar Datenschutzprozesse in ihren Abläufen verankern, die Individuen aber deswegen nicht besser vor dem allumfassenden Datenhunger geschützt werden, nicht zuletzt auch, weil wir in vielen Bereichen von den "Segnungen" der Smartphones und des Internets abhängig sind und auch abhängig gemacht werden. Ob hier das revidierte DSG wirklich zu mehr Datenschutz führt, wage ich zu bezweifeln.

Und andererseits?

Nichts tun ist auch keine Alternative. Ich erhoffe mir positive Nebeneffekte des Gesetzes. Es kann dazu führen, dass allgemein mehr über Datenschutz gesprochen wird. Vielleicht führt es dazu, dass sich die Menschen öfter die Mühe nehmen, bei ihrem Computer bestimmte Einstellungen vorzunehmen oder beispielsweise eine datenschonendere Suchmaschine zu verwenden. Es gibt ja verschiedene Möglichkeiten, um den sogenannten Datenkraken zu entgehen.

Was hätte man aus Ihrer Sicht im Gesetz besser machen können?

Meiner Meinung nach hätte man der Rechtsdurchsetzung mehr Raum einräumen müssen. Datenschutzbeauftragte bräuchten mehr Kompetenzen und entsprechend auch mehr Personal. Die Politik stand unter Druck, das DSG so zu revidieren, dass die EU dem schweizerischen Gesetz Gleichwertigkeit mit dem EU-Datenschutzniveau bescheinigt, was auch aus der Sicht der Wirtschaft sehr wichtig ist. Leider hat man die Chance verpasst, im Rahmen der Revision ein richtig gutes Datenschutzrecht zu schaffen.

Autor*in

Regine Strub

In der Schweiz tritt schon bald ein neues Datenschutzgesetz in Kraft. Eines der Ziele der Totalrevision war es, das schweizerische Recht an das Datenschutzrecht der Europäischen Union und des Europarates anzupassen. Das neue Gesetz ist denn auch geprägt von der zunehmenden Digitalisierung unserer Gesellschaft.

Zugegeben, das ist erst einmal ein eher trockenes Thema. Wenn Sie sich jedoch die Mühe nehmen, das Interview mit unserem Rechtsexperten Kurt Pärli zu lesen, wird es Ihnen möglicherweise gleich ergehen wie mir im Gespräch. Ich habe gespannt zugehört, mich gewundert und sehr viel gelernt.

Kurt Pärli beantwortet übrigens zusammen mit Peter Mösch Ihre Fragen im neuen Rechtsgebiet von Sozialinfo 'Datenschutz, Persönlichkeitsschutz und Haftung'.

Wenn Sie dieses Interview lesen, werde ich bereits nicht mehr für Sozialinfo tätig sein. Ich verabschiede mich hiermit und wünsche Ihnen viel Vergnügen beim Lesen.