Suche zurücksetzen

Inhalte

  • Datenschutz und Statistik

Akteure

Prozesse

168 Resultate
Als PDF speichern Weitere Informationen zur Suche finden Sie hier

Bereits vor Weihnachten 2019 verkündete das Referendumskomitee in der Presse, genug Unterschriften gegen das E-ID-Gesetz gesammelt zu haben, um eine Volksabstimmung zu erzwingen. Am 16. Januar 2020, dem Tag der Ablauf der Frist, reichte das Komitee sodann gut 64'000 beglaubigte Unterschriften bei der Bundeskanzlei ein, womit das Referendum gegen die E-ID zustande gekommen ist.
Widerstand gegen die von der Privatwirtschaft betriebene E-ID regte sich inzwischen auch in den Kantonen Schaffhausen und Waadt, wo bereits eine kantonale E-ID an die Einwohnerschaft herausgegeben wird bzw. sich eine solche in Planung befindet. Beide Kantone setzen auf eine staatliche Lösung, wobei die Waadtländer Regelung einen Einbezug der Privatwirtschaft sogar ausdrücklich untersagt. Sowohl der Schaffhauser Regierungsrat als auch der Waadtländer Staatsrat überlegten sich nun, eine ablehnende Abstimmungsparole herauszugeben, berichtete die NZZ online.

E-ID-Gesetz
Elektronische Identität

Da die Polizeikorps der Kantone je eigene Polizeidatenbanken betrieben, sei die Beschaffung von Informationen aus anderen Kantonen mit erheblichem Aufwand verbunden, begründete die Nationalrätin Corina Eichenberger-Walther (fdp, AG) ihre Motion für einen nationalen polizeilichen Datenaustausch, denn für eine erfolgreiche Kriminalitätsbekämpfung sei der schweizweite Austausch von Informationen unerlässlich. Der Bundesrat teilte diese Ansicht und empfahl die Motion zur Annahme. Obgleich eine zentrale Datenerfassung und -bearbeitung aufgrund der kantonalen Polizeihoheit nicht in Frage komme, stellte er eine nationale Abfrageplattform in Aussicht, wo alle Informationen aus kantonalen und nationalen polizeilichen Informationssystemen mit einer einzigen Abfrage abgerufen werden können; eine Vorstudie für eine solche Plattform sei mit den Kantonen bereits in Erarbeitung. Auch die Kantone begrüssten einen solchen Schritt, berichtete die SiK-SR, die die KKJPD diesbezüglich angehört hatte. Stillschweigend hiessen in der Sommer- bzw. Wintersession 2019 beide eidgenössischen Räte den Vorstoss gut.

Nationaler polizeilicher Datenaustausch (Mo. 18.3592)

Wenige Tage nach den Schlussabstimmungen in den eidgenössischen Räten gaben die SP und die Grünen bekannt, das bereits länger angekündigte Referendum gegen die E-ID zu unterstützen. Dieses richtet sich nicht gegen die E-ID selbst, aber gegen deren Vertrieb durch Private, wie ihn das Gesetz vorsieht. Umfragen zufolge bevorzugten grosse Teile der Bevölkerung eine rein staatliche E-ID – gemäss der jüngsten Erhebung des Digital Democracy Lab der Universität Zürich sogar 82 Prozent der Befragten, und zwar über alle Parteien und Altersgruppen hinweg. Lanciert wurde die Unterschriftensammlung am 8. Oktober 2019 von einem Komitee um die Digitale Gesellschaft, die Kampagnenplattformen Wecollect und Campax sowie den Verein PublicBeta. So sprach Daniel Graf von Wecollect gegenüber dem Tages-Anzeiger auch von einer «Bürgerinitiative», zeigte sich aber dennoch erfreut über die Unterstützung zweier etablierter Parteien. Vonseiten der SP und der Grünen wurde indes klargemacht, dass das Referendum gegen die E-ID derzeit nicht die erste Priorität geniesse; bei der SP liege diese auf dem Referendum gegen die höheren Kinderabzüge, bei den Grünen auf jenem gegen das neue Jagdgesetz, berichtete der Tages-Anzeiger. Neben den bisher Genannten zählten zudem die Piratenpartei, der VPOD, die Internet Society Switzerland, Grundrechte.ch sowie mehrere Organisationen für Senioreninteressen zu den Unterstützern. Nicht am Referendum beteiligen wollte sich hingegen die Stiftung für Konsumentenschutz, die sich während der parlamentarischen Beratung ebenfalls für eine staatliche E-ID eingesetzt hatte. Man sei zwar nicht glücklich mit der privaten Lösung, liess die Stiftung in der NZZ verlauten, aber das Parlament habe das Gesetz, auch auf Intervention der Stiftung hin, in zentralen Punkten entscheidend verbessert.

E-ID-Gesetz
Elektronische Identität

In der Herbstsession 2019 ging das Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz) in die Differenzbereinigung. In der ersten Runde konnte sich die bürgerliche Mehrheit im Nationalrat bei allen Streitpunkten durchsetzen, womit die Volkskammer an ihren ursprünglichen Positionen festhielt und keine grosse Kompromissbereitschaft an den Tag legte. Obwohl sich die Frage um das Vertrauen der Bürgerinnen und Bürger in die E-ID wie ein roter Faden durch die Debatte zog, schienen die diesbezüglichen Überlegungen die Entscheidungen des Rats nur wenig zu beeinflussen. So lehnte der Nationalrat sowohl den von einer Minderheit Arslan (basta, BS) geforderten Zwang als auch die vom Ständerat eingeführte, vorbedingungslose Möglichkeit für den Staat zur Herausgabe einer E-ID ab und hielt an der rein subsidiären staatlichen Herausgabe fest, obwohl sich Bundesrätin Karin Keller-Sutter für den ständerätlichen Kompromiss ausgesprochen hatte. Der Staat sollte sich auch nicht wie vom Ständerat vorgesehen an privaten E-ID-Anbietern (Identity Providern) beteiligen können. Des Weiteren hielt die grosse Kammer an der Nennung der Sorgfaltspflichten im E-ID-Gesetz fest und strich lediglich die Delegationsnorm, welche die Konkretisierung der Sorgfaltspflichten durch den Bundesrat vorgesehen hätte. Eine Minderheit Flach (glp, AG) blieb mit dem Vorschlag eines Mittelwegs erfolglos, der das explizite Verbot der Weitergabe der E-ID streichen, die abstrakte Beschreibung der Sorgfaltspflichten aber beibehalten wollte. Ebenfalls erfolglos blieb die durch Beat Flach eingebrachte Forderung des Konsumentenschutzes, dass Dienstleistungen, für die eine E-ID der Sicherheitsstufe «niedrig» ausreicht, auch ohne E-ID genutzt werden können müssen. Da die Angst, im Internet eine Datenspur zu hinterlassen, nachvollziehbar sei, hatte sich Bundesrätin Keller-Sutter auch hierfür vergebens stark gemacht. Die vom Ständerat neu eingeführte E-ID-Kommission (Eidcom) als unabhängige Stelle zur Anerkennung und Kontrolle der Identity Provider blieb im Nationalrat vorerst ebenso chancenlos wie die von der Schwesterkammer verschärften Datenschutzbestimmungen.
Im Ständerat erklärte es Kommissionssprecher Beat Vonlanthen (cvp, FR) zum Ziel dieses Gesetzgebungsprozesses, dass das Gesetz bzw. die E-ID «vertrauenswürdig sein und in einer allfälligen Volksabstimmung bestehen können» müssten. In diesem Lichte hielt die Kantonskammer an ihren Positionen zur Möglichkeit für eine staatliche Herausgabe der E-ID und für eine staatliche Beteiligung an Identity Providern sowie zur Einführung der Eidcom, die sie allesamt als zentral für die Vertrauensbildung in der Bevölkerung erachtete, stillschweigend fest. Einen Schritt auf ihre Schwesterkammer zu machte sie bei den Sorgfaltspflichten, wo sie sich für den zuvor im Nationalrat diskutierten, aber dort noch abgelehnten Mittelweg Flach entschied. Mit der im Nationalrat abgelehnten, zwingenden Alternative zur E-ID bei Dienstleistungen, die nur Sicherheitsstufe «niedrig» verlangen, fand das Anliegen des Konsumentenschutzes im Ständerat Gehör und wurde ins Gesetz aufgenommen. Zugeständnisse an den Nationalrat machte die kleine Kammer auch beim Datenschutz, indem sie einen Kompromiss einführte, wonach die Zweckbindung der Datenverarbeitung erhalten bleiben, eine Bearbeitung durch Dritte im Rahmen des Datenschutzgesetzes aber erlaubt sein soll, um die konzerninterne Arbeitsteilung und das Outsourcing der Datenbearbeitung nicht zu verunmöglichen.
Während sich der Nationalrat bei den Sorgfaltspflichten schliesslich auf den Mittelweg Flach einliess und diese Differenz damit ausräumte, brachte die RK-NR einen neuen Vorschlag betreffend die Rolle des Staates vor. Demnach soll der Staat nur dann selber ein E-ID-System betreiben dürfen, wenn die Zwecke der E-ID gemäss Art. 1 BGEID nicht erfüllt werden. Der Bundesrat unterstützte diese Subsidiaritätsregel nun, da sie die Voraussetzungen für das Tätigwerden des Staates klar formuliere und der Bund auch ohne diese Einschränkung ohnehin nur mit gebührender Zurückhaltung agiert hätte. Entgegen einer Minderheit Min Li Marti (sp, ZH), die von der SP-, der Grünen- sowie einzelnen Mitgliedern der FDP-Fraktion getragen wurde und an der ständerätlichen Version festhalten wollte, entschied sich die grosse Kammer für diesen neuen Kompromiss. Bezüglich der Eidcom hatte sich die Mehrheit der RK-NR seit der letzten Beratung umstimmen lassen; sie setzte sich nun gemeinsam mit dem Bundesrat für deren Einführung als unabhängige Aufsicht ein, da der Staat, würde er subsidiär tätig, sich im Falle der Aufsicht durch das Informatiksteuerungsorgan des Bundes letztlich selber beaufsichtigen würde. Die Mehrheit des Nationalratsplenums liess sich davon überzeugen und schloss sich mit 113 zu 69 Stimmen dem Ständerat an, während die SVP- und die BDP-Fraktionen sowie einige FDP-Vertreterinnen und -vertreter dagegen votierten. Dem ständerätlichen Kompromiss beim Datenschutz stimmte die grosse Kammer stillschweigend ebenfalls zu.
In der einen verbleibenden Differenz zum subsidiären E-ID-System des Bundes schloss sich der Ständerat schliesslich stillschweigend dem neuen nationalrätlichen Vorschlag an. Die so bereinigte Vorlage passierte die Schlussabstimmung im Nationalrat mit 144 zu 51 Stimmen bei 2 Enthaltungen und jene im Ständerat mit 35 zu 2 Stimmen bei 8 Enthaltungen. Wie bereits seit längerem angekündigt, zeigten sich die SP und die Grünen nicht zufrieden mit dem Gesetz, weil sie sich die Herausgabe der E-ID durch den Staat gewünscht hätten. Das letzte Wort in dieser Angelegenheit dürfte wohl das Volk haben, mutmasste die Presse.

E-ID-Gesetz
Elektronische Identität

Der Totalrevision des Datenschutzgesetzes und der Änderung weiterer Erlasse zum Datenschutz nahm sich in der Herbstsession 2019 der Nationalrat als Erstrat an. Das ein Jahr zuvor verabschiedete und am 1. März 2019 in Kraft getretene Schengen-Datenschutzgesetz, das aus Gründen der zeitlichen Dringlichkeit zunächst nur die Schengen-relevanten Anpassungen umsetzte, wird mit der Annahme des totalrevidierten Gesetzes wieder ausser Kraft treten. Mit der Totalrevision sollen über die Schengen-Anforderungen hinausgehend einerseits die Schwächen des heutigen Datenschutzrechts, das noch aus einer Zeit vor dem Internet stammt, behoben und andererseits die Entwicklungen auf EU- und Europarats-Ebene aufgenommen werden. Besonders bedeutsam für die Schweiz ist hierbei, von der EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt zu werden. Ansonsten, so wurde befürchtet, wäre die Schweizer Wirtschaft mit erheblichen Wettbewerbsnachteilen konfrontiert, da Schweizer Unternehmen nicht mehr so einfach Daten mit Firmen in der EU austauschen könnten. Bis im Mai 2020 wird die EU die Äquivalenz des Schweizer Datenschutzes beurteilen, was eine gewisse Dringlichkeit für die Revision gebietet.
Wie schwierig dieses Unterfangen werden würde, hatte sich schon in der vorberatenden SPK-NR abgezeichnet: Nur mit Stichentscheid des Präsidenten Kurt Fluri (fdp, SO) hatte sich die Kommission im August 2019 durchgerungen, die Vorlage nach mehr als einem Jahr Arbeit überhaupt vors Ratsplenum zu bringen. Die wichtigsten Anpassungen der Kommission am bundesrätlichen Entwurf waren die neu einzuführende Direktwahl des EDÖB durch die Bundesversammlung, die Einführung eines Rechts auf Datenportabilität, die Anpassung der Definition der besonders schützenswerten Personendaten sowie der Verzicht auf eine besondere Regelung für den Umgang mit Daten verstorbener Personen und auf eine ausdrücklich erforderliche Einwilligung zum Profiling. Im Rahmen ihrer Beratungen hatte die SPK-NR zudem sechs Motionen zur Vervollständigung der Datenschutzbestimmungen in weiteren Gesetzen eingereicht.
Kurz vor der Debatte im Nationalrat hatte das Bundesamt für Justiz überdies eine Liste dazu veröffentlicht, welche problematischen Differenzen es zwischen dem Kommissionsvorschlag und den Anforderungen der EU sehe. Auch EDÖB Adrian Lobsiger hatte in der Presse bezweifelt, dass das von der Kommissionsmehrheit vorgeschlagene Gesetz mit dem verlangten Niveau der EU-Datenschutzgrundverordnung (DSGVO) mithalten könne; beim Entwurf des Bundesrates hätte er indes keine Probleme gesehen.
Während der strittige Vorschlag der Kommissionsmehrheit für die SVP bereits zu weit ging, bemängelten SP, Grüne und GLP, er sei zu lasch. Wirtschaftsverbände drängten unterdessen auf eine möglichst rasche, EU-konforme Lösung. So wurde im Vorfeld der nationalrätlichen Debatte von den Mitte- und Linksparteien noch fieberhaft nach Kompromissen gesucht, um den drohenden Absturz der Revision zu verhindern.

In der Eintretensdebatte in der grossen Kammer wurde von allen Seiten – ausser von der SVP-Fraktion – betont, wie wichtig und notwendig das vorliegende Revisionsprojekt sei, sowohl um den Datenschutz dem Internetzeitalter anzupassen als auch um den Datenschutz auf ein der EU gleichwertiges Niveau zu bringen, auch wenn man in den Details der Ausgestaltung verschiedene Ansichten vertrat. Die SVP betrieb hingegen Fundamentalopposition gegen «diesen bürokratischen Unsinn», wie Fraktionsvertreter Gregor Rutz (svp, ZH) das neue Gesetz nannte, denn es sei insgesamt, vor allem für KMU, schlechter als das geltende Datenschutzgesetz – ein Argument, das wenig später durch das Votum von FDP-Vertreter Kurt Fluri (fdp, SO) entkräftet werden sollte, der berichtete, dass der Gewerbeverband die Stossrichtung der Kommissionsmehrheit begrüsse und die Rückweisung nicht unterstütze. Mit der DSGVO verkaufe die EU laut Rutz ihre Bürger für dumm, da sie «kein Mensch» verstehe. «Wir haben langsam genug davon, jeden Unsinn aus der EU ungesehen zu übernehmen!», ärgerte sich der SVP-Vertreter und rief das Ratsplenum auf, die Vorlage an den Bundesrat zurückzuweisen mit dem Auftrag, sie zu entschlacken und EU-Vorschriften nur dort zu übernehmen, wo es unumgänglich sei. Auch eine linke Minderheit hatte ursprünglich die Rückweisung, allerdings an die Kommission, beantragt und diese beauftragen wollen, die Vereinbarkeit der Vorlage mit dem Übereinkommen SEV 108 des Europarats, die Äquivalenz mit dem EU-Datenschutzrecht, die Kompatibilität mit den Schengen-Verträgen und die Nicht-Unterschreitung des heute geltenden Schutzniveaus sicherzustellen. Um die doch eher dringliche Revision nicht unnötig zu verlangsamen und um sich einer «produktiven Diskussion» nicht zu verschliessen, zog Cédric Wermuth (sp, AG) diesen Antrag jedoch «im Sinne eines Vorschussvertrauensbeweises» zurück und hoffte, das Gesetz während der Beratung noch auf eine den genannten Forderungen nähere Linie bringen zu können. Der Rückweisungsantrag der SVP-Minderheit wurde mit 120 zu 66 Stimmen (1 Enthaltung) deutlich verworfen; ausserhalb der geschlossenen SVP-Fraktion sah niemand eine Rückweisung als den richtigen Weg an.

Im Laufe der Detailberatung musste der Nationalrat über 45 Minderheits- und mehrere Einzelanträge befinden, die zu einem beträchtlichen Teil die Unterstützung des Bundesrates genossen – hauptsächlich immer dort, wo die Kommissionsmehrheit mit ihrem Vorschlag einen schwächeren Datenschutz wollte als der Bundesrat und somit das heute geltende Schutzniveau oder die Anforderungen der EU und/oder des Europarats unterschreiten wollte. So war die Kommissionsmehrheit bestrebt, sowohl die Daten über gewerkschaftliche Ansichten und Tätigkeiten als auch die Daten über Massnahmen der sozialen Hilfe aus dem Katalog der besonders schützenswerten Daten, für deren Bearbeitung besondere Anforderungen gelten, zu streichen. Während eine bürgerliche Ratsmehrheit die Streichung der Daten über gewerkschaftliche Ansichten und Tätigkeiten guthiess, schwenkte der Nationalrat bei den Daten über Massnahmen der sozialen Hilfe – neben Sozialhilfedaten sind davon auch solche über Sozialversicherungsmassnahmen bei Krankheit oder Unfall, Massnahmen der Vormundschaftsbehörden oder KESB, die fürsorgerische Unterbringung in psychiatrischen Kliniken, Ergänzungsleistungen und Prämienverbilligungen erfasst – auf die Linie des Bundesrates zurück und beliess sie im Katalog. Grünen-Vertreter Balthasar Glättli (gp, ZH) hatte zuvor mit Nachdruck klargemacht, dass deren Streichung für die Grünen und die SP ein Grund wäre, dem Gesetz die Zustimmung zu verweigern. Eine ähnliche Drohung sprach SVP-Fraktionssprecher Gregor Rutz aus, als die Einschränkung des Geltungsbereichs des DSG auf natürliche Personen zur Debatte stand: Einem Gesetz, das – anders als bisher – keinen Datenschutz für juristische Personen mehr vorsehe, werde man «nie im Leben» zustimmen können. Alle anderen Fraktionen befanden den Schutz für juristische Personen durch andere gesetzliche Bestimmungen jedoch als ausreichend und so glich der Nationalrat das DSG mit der Streichung des Schutzes juristischer Personen an die europäischen Regeln an. Bei der Frage der Anforderungen für das sogenannte Profiling zeichnete sich während der Diskussion ab, dass man an diesem Tag keine zufriedenstellende Lösung finden würde. Für jegliche Formen des Profilings, das die Aargauer Zeitung treffend als die «automatisierte Auswertung von Daten, mit denen bestimmte Merkmale einer Person bewertet werden, um etwa Vorhersagen über ihr künftiges Verhalten zu treffen» definierte, hatte der Bundesrat eine ausdrückliche Einwilligung der betroffenen Person voraussetzen wollen, wie sie auch zur Bearbeitung besonders schützenswerter Personendaten vorgesehen war. Da das geltende Recht so eine Regelung für das Erstellen von Persönlichkeitsprofilen umfasst, würde eine komplette Streichung der ausdrücklichen Einwilligung zum Profiling, wie es die Kommissionsmehrheit vorgeschlagen hatte, ein Rückschritt vom aktuellen Schutzniveau darstellen. In der Diskussion wurde mehrheitlich anerkannt, dass verschiedene Formen des Profilings unterschieden werden müssten, da es, wie es Balthasar Glättli erklärte, durchaus einen Unterschied mache, ob Profiling zur Erstellung von passenden Bücherempfehlungen, zur Abschätzung des Risikos für eine Versicherung oder zur Vorhersage der politischen Entscheidungen einer Person gebraucht werde. Der Bundesrat unterstützte folglich einen Einzelantrag Glättli, der eine ausdrückliche Einwilligung nur für ein Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person vorsah. Die Fraktionen der Grünen, SP und GLP unterstützten diesen Antrag ebenfalls, unterlagen jedoch der bürgerlichen Ratsmehrheit, die beim Vorschlag der Kommissionsmehrheit ohne besondere Anforderungen für das Profiling blieb. Der Nachhall der Diskussion war jedoch klar, dass sich der Ständerat noch einmal intensiv mit dieser Frage auseinandersetzen müsse.
Betreffend die Informationspflicht bei der Beschaffung von Personendaten, die Regeln für die Bekanntgabe von Personendaten ins Ausland, die Rechenschaftspflicht für datenbearbeitende Unternehmen über die Einhaltung des Datenschutzrechts sowie das Auskunftsrecht einer Person zu den über sie gesammelten oder bearbeiteten Daten lehnte die Volkskammer einige von der Kommissionsmehrheit vorgeschlagene Lockerungen ab und umschiffte somit ein paar der vielen Klippen im Hinblick auf den Angemessenheitsbeschluss der EU. Die vom Bundesrat eingefügten Regelungen über Daten von verstorbenen Personen erachtete der Rat jedoch als nicht notwendig und strich mit bürgerlicher Mehrheit alle entsprechenden Bestimmungen aus dem Gesetz. Ganz neu und weitgehend unbestritten verankerte der Nationalrat auf Vorschlag seiner Kommissionsmehrheit ein Recht auf Datenportabilität, das heisst auf Datenherausgabe und -übertragung, im Gesetz. Wie Bundesrätin Karin Keller-Sutter erklärte, habe der Bundesrat mit dieser Neuerung eigentlich noch zuwarten wollen, bis erste Erkenntnisse aus der konkreten Umsetzung dieses Rechts in der EU vorlägen; nichtsdestotrotz unterstützte er den Vorschlag der Kommissionsmehrheit, einen Anspruch jeder Person auf «die Herausgabe ihrer Personendaten in einem gängigen elektronischen Format oder sogar deren Übertragung auf einen anderen Verantwortlichen zu verlangen», wie Keller-Sutter das neue Recht erläuterte.
Zurückgehend auf eine entsprechende parlamentarische Initiative Leutenegger Oberholzer (sp, BL; Pa.Iv. 16.409 änderte die grosse Kammer das Wahlverfahren des EDÖB dahingehend, dass er neu von der Bundesversammlung gewählt und nicht mehr durch den Bundesrat ernannt und vom Parlament nur bestätigt werden sollte. Gleichzeitig wurden die Aufsichts- und Untersuchungskompetenzen des EDÖB bei Datenschutzverstössen gestärkt. Diese Änderung sei von wesentlicher Bedeutung im Hinblick auf den Angemessenheitsbeschluss der EU, wie Bundesrätin Keller-Sutter betonte, denn nach bisher geltendem Recht besitze der EDÖB nicht nur weniger Kompetenzen als die Datenschutzbehörden in Europa, sondern auch als andere Aufsichtsbehörden des Bundes, zum Beispiel die Finma oder die Weko. Bei den Strafbestimmungen legte der Nationalrat eine maximale Busse von CHF 250'000 für Datenschutzverstösse fest. Ein neuer Straftatbestand für die Nichteinhaltung der Mindestanforderungen an die Datensicherheit im Sinne einer Sorgfaltspflichtverletzung wurde von der bürgerlichen Ratsmehrheit jedoch nicht goutiert, was laut Bundesrätin Keller-Sutter für die EU-Angemessenheit problematisch sein könnte. Der letzte grosse Zankapfel der Vorlage verbarg sich in den Schlussbestimmungen, namentlich in der Frage zum Inkrafttreten des Gesetzes. Während die Kommissionsmehrheit das Inkrafttreten um zwei Jahre nach Annahme des Gesetzes beziehungsweise nach Verstreichen der Referendumsfrist verzögern wollte, beantragte eine Minderheit Humbel (cvp, AG), wie üblich den Bundesrat das Inkrafttreten bestimmen zu lassen. Eine solche Verzögerung sei bereits wegen der Schengen-relevanten Bestimmungen des Gesetzes ein Problem und daher nicht im Interesse der Wirtschaft, was das Argument der Kommissionsmehrheit gewesen war. Auf Empfehlung des Bundesrates und entgegen der geschlossenen SVP-Fraktion erteilte die grosse Kammer der zweijährigen Inkrafttretensfrist eine Absage.

In der Gesamtabstimmung nahm der Nationalrat das totalrevidierte Datenschutzgesetz mit 98 zu 68 Stimmen bei 27 Enthaltungen an. In den ablehnenden Stimmen spiegelte sich vor allem die Opposition der SVP gegen das Gesetz. Demgegenüber hatte sich die SP-Fraktion mehrheitlich enthalten und damit signalisiert, dass sie noch weitere Nachbesserungen erwartete. Wirklich zufrieden mit dem Gesetz in vorliegender Form war wohl niemand; in dieser Hinsicht sprach das Fazit von Kommissionssprecher Matthias Jauslin (fdp, AG) Bände: «Wir haben jetzt eine Vorlage, die aus Sicht der Kommission durchaus bearbeitbar ist.»

Revision des Datenschutzgesetzes (BRG 17.059)
2. Revision des Bundesgesetzes über den Datenschutz (DSG)

Stillschweigend hiess der Nationalrat am letzten Tag der Sommersession 2019 ein auch vom Bundesrat zur Annahme empfohlenes Postulat von Jacqueline Badran (sp, ZH) gut, mit dem ein Zulassungssystem für Open Government Data (OGD) gefordert wurde. Diese von der öffentlichen Hand erstellten Daten sollen – da sie ja von den Steuerzahlenden bereits bezahlt worden sind – unentgeltlich zur Verfügung gestellt werden. Badran warnte allerdings davor, dass dies vor allem grossen Digital-Konzernen wie Google, Apple oder Microsoft zugute käme. Man müsse sich deshalb überlegen, ob die Datenhoheit nicht besser beim Bund bleiben und die Freigabe von Daten an bestimmte Regeln gebunden werden sollten. Für Zwecke des öffentlichen Interesses, der Wissenschaft oder von Non-Profit-Organisationen müssten die Daten unentgeltlich verfügbar sein. Für kommerzielle Zwecke hingegen könnte für die Daten, deren Erhebung teilweise sehr teuer sei, zumindest eine teilweise Refinanzierung verlangt werden. Der Bundesrat versprach, eine Analyse von Nutzergruppen und Bedürfnissen für OGD durchzuführen.

Open Government Data

Dass die Schweiz eine E-ID schaffen soll, war im Ständerat genauso unbestritten wie im Nationalrat. Die Frage aber, ob die E-ID ein rein staatliches Produkt sein soll oder ob der Staat dafür mit privatwirtschaftlichen Anbietern zusammenarbeiten darf, war in der ständerätlichen Debatte zum E-ID-Gesetz in der Sommersession 2019 mindestens genauso umstritten. Ähnlich wie der Nationalrat befasste sich also auch der Ständerat zuerst mit einem Rückweisungsantrag, demzufolge der Bundesrat die Vorlage dahingehend anpassen müsste, dass die Ausstellung einer E-ID als öffentliche Aufgabe definiert und eine Verwaltungsstelle mit deren Ausstellung beauftragt wird. Für Antragstellerin Anita Fetz (sp, BS) war klar, dass die E-ID «genauso wie der rote Pass» allein vom Staat herausgegeben werden dürfe. Da mit der E-ID zentrale Staatsaufgaben wie Steuern, elektronische Patientendossiers oder vielleicht einmal E-Voting verknüpft sein werden, fielen bei deren Verwendung sensible Daten an, die «nicht in private Hände, auch nicht in datengeschützte private Hände» gelegt werden sollten. Umfragen hätten gezeigt, dass die Bevölkerung dem Staat diesbezüglich das grössere Vertrauen entgegenbringe als der Privatwirtschaft. Das vom Bundesrat vorgebrachte Argument, der Staat könne dem technologischen Wandel nicht genügend folgen, sei im 21. Jahrhundert gar fragwürdig, denn wenn das tatsächlich so wäre, «dann würde er [der Staat] sich abschaffen». Wäre der Staat tatsächlich technologisch inkompetent, fragte Fetz rhetorisch, wie sollte er dann Cybersicherheit schaffen oder ein sicheres E-Voting-System anbieten können? Überdies befürchtete sie, dass man bestimmte Dienstleistungen aus dem Kreise der E-ID-anbietenden Firmen nur noch mit einer E-ID nutzen werden könne, weil diese ein zu starkes Interesse daran hätten, die E-ID zu promoten. Diese Fehler solle man besser jetzt mittels Rückweisung korrigieren, als das Scheitern in einer Referendumsabstimmung in Kauf zu nehmen, begründete Fetz ihr Begehren. Die anschliessende Diskussion um die Machtverteilung zwischen Staat und Markt bei der E-ID verlief überhaupt nicht entlang der klassischen, parteipolitischen Links-Rechts-Konfliktlinie. Während sich die SP-Fraktion selbst gespalten zeigte und Claude Janiak (sp, BL), der noch in der Kommission mit seinem Rückweisungsantrag gescheitert war, im Rat auf die Unterstützung des Antrags Fetz verzichtete, pflichtete SVP-Vertreter Hannes Germann (svp, SH) seinem SP-Ratskollegen Paul Rechsteiner (sp, SG) in dessen Votum für eine staatliche Lösung bei. «Es kommt ja nicht alle Tage vor [...], dass wir gleicher Meinung sind», kommentierte Germann dies.
Auf der anderen Seite plädierten Kommissionssprecher Beat Vonlanthen (cvp, FR), FDP-Ständerat Ruedi Noser (fdp, ZH) sowie Bundesrätin Karin Keller-Sutter für Eintreten. Es handle sich bei der E-ID eben – anders als in den Medien oft kommuniziert – nicht um einen Ausweis, sondern um ein «qualifiziertes Login», das besonders vertrauenswürdig sein soll, aber keinen digitalen Pass darstelle, so Keller-Sutter. Als weiteres Argument gegen die Rückweisung wurde angeführt, schnelles Handeln sei erforderlich, da die Schweiz im Bereich digitale Identität den Anschluss zu verlieren drohe und internationale Lösungen, beispielsweise von Google, Facebook oder Apple, diese Funktion übernehmen könnten, wenn die Schweiz nicht zeitnah eine E-ID anbiete. Beispiele aus anderen Ländern zeigten zudem, dass rein staatliche Lösungen wie in Deutschland oder Grossbritannien mit einer Marktdurchdringung von drei Prozent nicht sehr erfolgreich seien. Demgegenüber erreichten skandinavische Länder, die mit einer privatwirtschaftlichen Lösung arbeiteten, Marktdurchdringungsraten von bis zu 90 Prozent, was zeige, dass dies auch für die Schweiz der richtige Weg sei. Die Hoheit über die Personenidentifizierungsdaten bleibe auch bei diesem Modell vollumfänglich beim Staat, nur müsse der Staat nicht alle Kosten für die technologische Umsetzung selber tragen. Mit 32 zu 7 Stimmen bei 3 Enthaltungen lehnte der Ständerat den Rückweisungsantrag schliesslich deutlich ab.
Als Eintreten einmal beschlossen war, verlief die weitere Detailberatung des Gesetzesentwurfs ausgesprochen unspektakulär. Die grösste Änderung, die der Ständerat einbrachte, war die Einführung einer unabhängigen, vom Bundesrat zu wählenden E-ID-Kommission (Eidcom), die anstelle des ursprünglich dafür vorgesehenen Informatiksteuerungsorgans des Bundes die Anerkennung und Kontrolle der Identity Provider übernehmen wird. Diese Neuerung, die schon von der Kommission geschlossen unterstützt worden war, wurde vom Ständerat stillschweigend gutgeheissen. Zudem strich die kleine Kammer den Artikel über die Sorgfaltspflichten aus dem Entwurf – ein Anliegen, das im Nationalrat noch gescheitert war – mit der Begründung, es sei so klarer, dass ohnehin die Sorgfaltspflichten des OR gelten. Um der Kritik am privatwirtschaftlichen Modell etwas entgegenzukommen, wurde dem Bund überdies die Möglichkeit gegeben, jederzeit ein eigenes E-ID-System anzubieten, und nicht nur ausdrücklich subsidiär zum Markt, sowie sich an privaten Anbietern zu beteiligen – um diese beispielsweise aufzukaufen, wenn ansonsten die Übernahme durch ein ausländisches Unternehmen bevorstünde. Mit 33 zu 4 Stimmen bei 2 Enthaltungen stimmte der Ständerat dem Entwurf zu und übergab ihn mit den geschaffenen Differenzen zurück an den Nationalrat. Am Konzept der staatlich-privatwirtschaftlichen Aufgabenteilung bei der E-ID wird das Parlament wohl nichts mehr ändern. Medienberichten zufolge befinde sich die «Allianz gegen die private E-ID» schon in den Startlöchern für das Referendum.

E-ID-Gesetz
Elektronische Identität

Nachdem der Nationalrat in der Frühjahrssession 2019 den vom Bundesrat eingeschlagenen Weg in Richtung E-ID fast unverändert weitergegangen war, wurde in den Medien diskutiert, ob die E-ID, wenn sie wie im Gesetzesentwurf vorgesehen von privaten Anbietern herausgegeben wird, auf genügend Vertrauen in der Bevölkerung stossen werde. In diesem Zusammenhang wurden vor allem Datenschutzbedenken vorgebracht, da der private Herausgeber der E-ID auch über deren Nutzung Bescheid wüsste. Da diese Daten mit erheblichem Missbrauchspotenzial behaftet sind, wurde angezweifelt, dass die Schweizerinnen und Schweizer diese in die Hände von privaten Anbietern legen wollten. Um aufzuzeigen, «dass die Mehrheit der Schweizer Bevölkerung nicht hinter einer E-ID steht, die von privaten Firmen herausgegeben wird», so Daniel Graf gegenüber der NZZ, lancierten Grafs Politikplattform Wecollect, die Stiftung für Konsumentenschutz und die Digitale Gesellschaft eine repräsentative Umfrage.
Ebendiese Umfrage förderte Ende Mai zutage, dass das Konzept des Bundesrates mit den privaten Identity Providern bei der Schweizer Stimmbevölkerung durchfällt. 87 Prozent der 973 Befragten wünschten sich, die E-ID solle vom Staat herausgegeben werden, wohingegen sich nur 2 Prozent für die privatwirtschaftliche Lösung aussprachen. 75 Prozent der Befragten haben in Bezug auf den Datenschutz das grössere Vertrauen in den Staat als in private Anbieter; gemäss Sara Stalder, Geschäftsleiterin der SKS, bestehe bei privaten Unternehmen die Gefahr, dass sie die persönlichen Daten für kommerzielle Zwecke nutzten. Die Allianz aus Konsumentenschutzorganisationen, der Digitalen Gesellschaft, dem Verein Public Beta und der Plattform Wecollect erhoffte sich, mit diesen Ergebnissen den Ständerat unter Druck zu setzen, die Gesetzesvorlage in der bevorstehenden Sommersession an den Bundesrat zurückzuweisen, damit dieser ein neues Konzept erarbeite.
Die RK-SR befasste sich in der Zwischenzeit mit dem Gesetz, lehnte einen entsprechenden Rückweisungsantrag ab und unterstützte einstimmig die Einsetzung einer unabhängigen Aufsichtskommission (Eidcom, nach dem Vorbild der Comcom), die anstatt der vom Bundesrat vorgesehenen Verwaltungsstelle mit der Anerkennung und Überwachung der privaten Identity Provider betraut werden soll. Hinter diesem bereits im April vom Präsidenten der Swiss Data Alliance ins Spiel gebrachten Vorschlag steht die Hoffnung, die unabhängige Kontrollstelle möge das Vertrauen der Bevölkerung in die von Privaten angebotene E-ID stärken. David Basin, Leiter der Gruppe für Informationssicherheit an der ETH Zürich, und der Kryptologe Jan Camenisch kritisierten in der NZZ unterdessen, dass das Gesetz keine Mindeststandards für den Datenschutz festlege. Ihrer Einschätzung nach wäre es technisch gesehen sogar möglich, die E-ID so zu realisieren, dass die privatwirtschaftlichen Anbieter gar keine Kenntnis davon erlangen, wann und wo die E-ID zum Einsatz kommt. Da so gar keine Nutzungsdaten anfielen, könnten diese auch nicht gehackt oder weiterverkauft werden, was dem Vertrauen der Nutzerinnen und Nutzer zuträglich sein sollte. Ob man das Referendum ergreifen werde, sollte sich die privatwirtschaftliche Lösung im Parlament letztlich durchsetzen, liess die Gegner-Allianz vorerst noch offen.

E-ID-Gesetz
Elektronische Identität

Ende 2017 lancierte die Krankenkasse Helsana eine App mit dem Namen Helsana+, mit der man für verschiedene sportliche, aber auch soziale Aktivitäten wie Joggen, Fitnesstraining oder Vereinsmitgliedschaften Rabatte in der Zusatzversicherung bis CHF 300 sowie in der Grundversicherung bis CHF 75 erhält. Ähnliche Bonusprogramme für die Zusatzversicherungen gäbe es zwar schon länger, neu sei aber das entsprechende Angebot für die Grundversicherung, berichteten die Medien. Dieser Aspekt löste in der Presse breite Diskussionen aus. Mit dieser App eröffne die Helsana die «Jagd nach besten Risiken» erneut, empörte sich etwa Lukas Bäumle vom Seniorenrat. Die Belohnung von jungen, gesunden Personen diskriminiere die körperlich beeinträchtigten oder betagten Personen und führe zu einer neuen Art der Risikoselektion, pflichtete ihm Marianne Streiff-Feller (evp, BE) bei und auch Karl Vogler (csp, OW) und Gesundheitsminister Berset kritisierten, dass die App dem Solidaritätsgedanken der OKP wiederspreche und die Chancengleichheit verletze. Geteilt wurde die Kritik auch von verschiedenen Organisationen aus Konsumenten- und Patientenschutz und Pflege, Behindertenorganisationen sowie Gewerkschaften in einem Positionspapier. Sie verwiesen zudem auf technisch nicht versierte oder auf ihre Privatsphäre bedachte Personen, die ebenfalls diskriminiert würden.
Doch nicht nur wegen möglicher Diskriminierung wurde die App kritisiert, sondern auch wegen dem Datenschutz. Gesundheitsdaten gelten gemäss Datenschutzgesetz als besonders schützenswerte Daten. Die Helsana erhalte nun dank der App viele persönliche Informationen und Gesundheitsdaten, wie die Informationen aus Fitnesstrackern, Fotos der Versicherten oder Angaben über Vereinsmitgliedschaften, berichtete die Presse. Zudem sammle und verkaufe die App gemäss der Stiftung Konsumentenschutz Unmengen von Daten im Hintergrund. Zwar erklärte die Helsana, keine heiklen Daten zu speichern und die Informationen nicht weiterzugeben, jedoch gewährten die AGB der Versicherung gemäss Konsumentenschutz sehr viel weiterreichende Möglichkeiten – unter anderem eine stillschweigende Änderung der Nutzungsart.
Auf Kritik stiess die App auch in der Bevölkerung. So zeigte eine Befragung von 3'055 Personen durch die Forschungsstelle Sotomo, dass eine Mehrheit der Bevölkerung verhaltensabhängige Krankenkassenprämien ablehnt. Entsprechend trafen sowohl eine Prämiensenkung für Achtsame (56%) sowie eine Prämienerhöhung für Unachtsame (60%) bei den Befragten insgesamt auf Ablehnung. Eine Umfrage der Stiftung für Konsumentenschutz verdeutlichte zudem, dass das Bonusprogramm der Helsana auch in der Branche selbst auf Kritik stiess. 6 von 15 grossen Krankenkassen gaben ausdrücklich an, Rabattsysteme in der Grundversicherung abzulehnen.

In der Folge reichten Karl Vogler (Ip. 18.3373), Marianne Streiff-Feller (Ip. 18.3282) und Prisca Birrer-Heimo (sp, LU; Ip. 18.3354) Interpellationen zu diesem Thema im Nationalrat ein. Darin fragten sie den Bundesrat, ob er auch der Meinung sei, dass solche Bonusprogramme dem Solidaritätsgedanken zuwiderlaufen würden, ob solche Programme gemäss KVG zulässig seien und welche gesetzlichen Massnahmen nötig seien, um solche Programme zu verhindern. Der Bundesrat verwies darauf, dass eine Ungleichbehandlung von Versicherten, Prämienrabatte für gesundes Verhalten sowie eine Zweckentfremdung der Prämiengelder in der Grundversicherung bereits jetzt unzulässig seien, weshalb er keine gesetzlichen Massnahmen als nötig erachte. Die Helsana verwende aber für ihr Rabattprogramm nur Gelder aus der Zusatzversicherung, nicht aus der Grundversicherung. Hingegen kritisierte der Bundesrat denselben Punkt, welcher im April 2018 bereits der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), Adrian Lobsiger, angesprochen hatte. Diesem missfiel insbesondere der Zugriff der Zusatzversicherung der Helsana auf Daten der Grundversicherung, welchem die Versicherten für den Erhalt der Boni zustimmen müssten. Dies verstosse gegen das Datenschutzgesetz, da die Datenverarbeitung in den Sozialversicherungen einer gesetzlichen Grundlage unterliegen müssten, betonte er. Die Helsana erachtete die freiwillige Zustimmung der Individuen hingegen als «ausreichende rechtliche Grundlage»; zudem sei man damit nicht dem KVG unterworfen, weil die Prämien aus freien Mitteln der Versicherung, nicht aus den Geldern der OKP bezahlt würden.
Nachdem die Helsana der Aufforderung Lobsigers, das Bonusprogramm auf die Zusatzversicherung zu beschränken, nicht nachgekommen war, gelangte dieser vor das Bundesverwaltungsgericht, das nun entscheiden musste, ob «die Vergütungen das Prinzip des diskriminierungsfreien Zugangs zur Grundversicherung unterlaufe», wie es der Tagesanzeiger formulierte. Nicht Sache des Gerichtsverfahrens waren hingegen die Menge und die Verwendung der durch die App gesammelten Daten. Das Bundesverwaltungsgericht stützte Lobsigers Einschätzung teilweise. Es entschied, dass eine Einwilligung zur Weitergabe der Daten nur über die App nicht ausreiche und die Helsana die unrechtmässig beschafften Daten löschen müsse. Diesen Aspekt habe die Helsana aber bereits nach der Beschwerde des Datenschützers geändert, mittlerweile erfolge die Einwilligung bereits nach den gesetzlichen Vorgaben, berichteten die Medien. Offen liess das Gericht die Frage, ob das Bonusprogramm einer versteckten Prämienverbilligung gleichkomme und damit gegen das KVG verstosse.

Apps Krankenversicherer

Wie schon in der Vernehmlassung stellte sich auch im Nationalrat die Frage der Aufgabenteilung zwischen Staat und Privatwirtschaft als der zentrale Knackpunkt des Bundesgesetzes über elektronische Identifizierungsdienste (E-ID-Gesetz) heraus. Während Eintreten in der Frühjahrssession 2018 unbestritten war, wurde lange und ausführlich über einen Rückweisungsantrag der links-grünen Kommissionsminderheit diskutiert, mit dem der Bundesrat beauftragt werden sollte, eine Vorlage auszuarbeiten, die die Ausstellung der E-ID als öffentliche Aufgabe definiert, die der Bund allenfalls mittels Leistungsauftrag an Private übertragen könnte. Die SP- und die Grüne Fraktion unterstützten die Rückweisung mit dem Argument, analoge Ausweise wie der Pass und die Identitätskarte würden auch vom Staat ausgegeben. Alle übrigen Fraktionen sprachen sich jedoch für die vom Bundesrat vorgeschlagene Lösung aus, wonach die Prüfung und Bestätigung der Identität einer Person dem Staat zufallen, die technologische Umsetzung der E-ID hingegen von der Privatwirtschaft übernommen werden soll. Sie betonten, privatwirtschaftliche Anbieter könnten besser auf die technologischen Entwicklungen und die Bedürfnisse der Anwenderinnen und Anwender reagieren, was die E-ID sicherer und nutzerfreundlicher mache; die Innovation werde durch den Wettbewerb gefördert. Mit 131 zu 53 Stimmen bei 2 Enthaltungen wurde das links-grüne Lager überstimmt und der Rückweisungsantrag abgelehnt.
Auch in der Detailberatung stand das links-grüne Lager mehr oder weniger isoliert; alle dessen Minderheitsanträge wurden mit grosser Mehrheit abgelehnt. Die Streichung der Sorgfaltspflichten für E-ID-Inhaberinnen und -Inhaber aus dem Gesetz, wie erstens von einer Minderheit Arslan (basta, BS) gefordert, ändere nichts an der Rechtslage, so die Ansicht der ablehnenden Ratsmehrheit, da die Verschuldenshaftung des OR ohnehin zum Tragen komme – d.h. haftbar ist grundsätzlich, wer in Verletzung von Sorgfaltspflichten einen Schaden verursacht. Um die E-ID nutzen zu können, müssen die Antragstellerinnen und Antragsteller zweitens einwilligen, dass ihre persönlichen Daten ans Fedpol übermittelt werden, damit dieses die Identität bestätigen kann. Ebenfalls eine Minderheit Arslan beantragte, diese Einwilligung durch eine Kenntnisnahme der Übermittlung zu ersetzen, da man sie nicht verweigern könne, sofern man die E-ID nutzen möchte, und unterlag damit der Mehrheit, die fand, die Formulierung mache hier letztendlich keinen Unterschied, wobei die Einwilligung einfacher verständlich sei. Drittens wollte eine Minderheit Marti (sp, ZH) dem Bund die Möglichkeit einräumen, ein eigenes E-ID-System zu betreiben bzw. sich an einem bestehenden System zu beteiligen, und zwar nicht nur wie im Entwurf vorgesehen, wenn der Markt kein Angebot mit den für behördliche Applikationen geforderten Sicherheitsniveaus «substanziell» und «hoch» bereitstellt. Damit sollte verhindert werden, dass bei Nichtfunktionieren der Marktlösung, z.B. infolge Vertrauensverlust nach Hackerangriffen oder Ausstieg der Anbieter aufgrund zu geringer Rentabilität, gar keine E-ID mehr angeboten wird. Der Ratsmehrheit zufolge sei jedoch ein Staatseingriff nur subsidiär zum Markt akzeptabel und eine Mehrheitsbeteiligung von Bundesunternehmen an E-ID-Anbietern nicht wünschenswert, weshalb es keine solche Bestimmung brauche; mit Minderheitsanteilen seien die SBB, die Post und die Swisscom auch ohne explizite gesetzliche Grundlage bereits am SwissSign-Konsortium beteiligt. Viertens solle die Beantragung einer E-ID nicht nur wie vom Bundesrat vorgesehen online direkt beim Anbieter, sondern auch analog auf der Gemeindekanzlei oder beim Passbüro eingeleitet werden können, um Nicht-Digital-Natives den Zugang zu erleichtern, so ein Minderheitsantrag Flach (glp, AG). Die ablehnende Mehrheit argumentierte jedoch, man wolle den Gemeinden und Kantonen keine Zusatzaufgaben aufbürden und ohnehin würden Personen, die nicht mit dem Internet vertraut sind, keine E-ID benutzen. Weitere Minderheiten forderten vergebens die sofortige Vernichtung der Daten durch die Identity Provider, statt wie vorgesehen die Löschung nach sechs Monaten, ein explizites Verbot der kommerziellen Nutzung dieser Daten (beide Arlsan), die Anbindung der Preise an die tatsächlich anfallenden Kosten (Marti) und ausdrückliche Garantien, dass staatliche Dienstleistungen auch weiterhin ohne E-ID zugänglich und eine E-ID auch ohne Kundenbeziehung zum Anbieter erhältlich sein müssen (beide Mazzone, gp, GE).
Als Einzige mit ihrem Minderheitsantrag erfolgreich war Andrea Gmür-Schönenberger (cvp, LU), die Bundesrätin Karin Keller-Sutter sowie eine knappe Ratsmehrheit von der Notwendigkeit überzeugen konnte, den barrierefreien Zugang zur E-ID im Gesetz zu verankern, sodass Menschen mit Behinderung bei der Beantragung einer E-ID nicht benachteiligt werden. Als zweite substanzielle Änderung am bundesrätlichen Entwurf ergänzte der Nationalrat das Gesetz auf Antrag seiner Kommission dahingehend, dass die Identity Provider allen Personen, die einen Antrag stellen und die Voraussetzungen erfüllen, eine E-ID ausstellen müssen. Der Bundesrat plädierte vergeblich für die Wirtschaftsfreiheit der privaten Anbieter. Mit 181 zu 1 Stimme war die grosse Kammer der Ansicht, dass niemand von der E-ID ausgeschlossen werden soll. Das viel und heftig diskutierte, am Ende gegenüber dem Entwurf des Bundesrates aber nur leicht angepasste Gesetz passierte die Gesamtabstimmung im Nationalrat schliesslich mit 128 zu 48 Stimmen bei 4 Enthaltungen; dagegen votierten die Fraktionen der Grünen und der SP – letztere mit einer Ausnahme – geschlossen.

E-ID-Gesetz
Elektronische Identität

In der Herbstsession 2018 beschäftigte sich der Ständerat als Zweitrat mit der ersten Etappe der DSG-Revision, welche nur die Schengen-relevanten Bestimmungen des Gesetzgebungsprojektes umfasste. Die Schweiz hätte ihr Datenschutzrecht eigentlich bis zum 1. August 2018 an die EU-Richtlinie 2016/680 betreffend den Datenschutz in Strafsachen anpassen müssen, war damit im September also schon leicht im Verzug. Obwohl sich Kommissionssprecherin Pascale Bruderer Wyss (sp, AG) nicht sonderlich begeistert von der Etappierung der Vorlage zeigte – der Schengen-relevante Teil sei nicht der einzige, der zügig abgeschlossen werden sollte, denn die übrigen Bestimmungen seien zwar nicht für das Fortbestehen der Schengen-Assoziierung, aber sehr wohl für den Angemessenheitsbeschluss relevant und somit nicht weniger wichtig –, appellierte sie an den Rat, das Beste daraus zu machen und den eingeschlagenen Weg möglichst rasch weiterzugehen.
Nachdem die kleine Kammer ohne Gegenantrag auf die Vorlage eingetreten war, wurde auch hier, wie zuvor im Nationalrat, die Diskussion geführt, ob die gewerkschaftlichen Ansichten in der Definition der besonders schützenswerten Personendaten explizit aufgeführt werden müssten oder ob man diese streichen könne, da sie von den politischen und weltanschaulichen Ansichten erfasst würden. Wie der Nationalrat sprach sich auch der Ständerat mehrheitlich für die Streichung der gewerkschaftlichen Ansichten aus, obwohl, wie von Bundesrätin Sommaruga und Minderheitsvertreter Stöckli (sp, BE) angemerkt, dieser Antrag gar nie begründet worden sei. Materiell änderte sich damit nichts im Vergleich zum geltenden Recht, weshalb sowohl die Justizministerin als auch der Minderheitsvertreter letztlich vergebens die Notwendigkeit dieser Anpassung – notabene in einem ohnehin befristeten Gesetz – angezweifelt hatten. Als zweite Änderung und damit neue Differenz zum Nationalrat verbot der Ständerat dem EDÖB grundsätzlich die Ausübung jeglicher Nebentätigkeiten, unabhängig davon, ob diese vergütet werden oder nicht. Abweichend vom Grundsatz soll der Bundesrat eine solche jedoch gestatten können, wenn der EDÖB dadurch nicht in der Ausübung seiner Tätigkeit, seiner Unabhängigkeit und seinem Ansehen beeinträchtigt wird. Diese Absicht hatte bereits der Bundesrat in seinem Entwurf gezeigt, der Ständerat habe jetzt aber die «richtige Perspektive» und die «richtige Formulierung» gefunden, so Bundesrätin Sommaruga. Einstimmig verabschiedete die kleine Kammer das Schengen-Datenschutzgesetz mit dieser einen verbleibenden Differenz. Ebenfalls einstimmig genehmigte sie auch den Notenaustausch zwischen der Schweiz und der EU betreffend die Übernahme der EU-Richtlinie 2016/680 zum Datenschutz in Strafsachen.
Der Nationalrat räumte die Differenz daraufhin oppositionslos aus und nahm das Schengen-Datenschutzgesetz in der Schlussabstimmung mit 182 zu 11 Stimmen an. Der Genehmigung des Notenaustausches stimmte er mit 139 zu 45 Stimmen zu; dagegen opponierte ein Grossteil der SVP-Fraktion. Im Ständerat passierten beide Entwürfe die Schlussabstimmung einstimmig.

Revision des Datenschutzgesetzes (BRG 17.059)
2. Revision des Bundesgesetzes über den Datenschutz (DSG)

Darüber, dass das mittlerweile in die Jahre gekommene Schweizer Datenschutzrecht revidiert werden muss, bestand in der Sommersession 2018 im Nationalrat Einigkeit, jedoch nicht unbedingt darüber, wie diese Revision vonstattengehen soll. Die SPK-NR hatte die Vorlage des Bundesrates zweigeteilt, sodass in einem ersten Schritt alle Bestimmungen zur Umsetzung der Schengen-relevanten EU-Richtlinie 2016/680 «zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung» möglichst zeitnah verabschiedet werden können, bevor in der zweiten Etappe die Revision des Datenschutzgesetzes (DSG) unter Einbezug der EU-Datenschutz-Grundverordnung und der revidierten Datenschutzkonvention des Europarates ohne Zeitdruck angegangen werden kann. Nicht einverstanden mit diesem Plan wollte Cédric Wermuth (sp, AG) das Geschäft mittels Minderheitsantrag an die Kommission zurückweisen, damit diese die Teilung rückgängig mache und die Vorlage integral berate. Er hielt es für ineffizient, dass sich das Parlament innert kurzer Zeit zweimal mit dem Datenschutzrecht befassen müsste. Bevor darüber abgestimmt werden konnte, zog Wermuth seinen Antrag jedoch mit der Begründung zurück, zum jetzigen Zeitpunkt könne die Rückweisung nicht mehr zu einer Beschleunigung des Verfahrens führen; es sei nun vielmehr schneller, den eingeschlagenen Weg weiterzugehen und das Geschäft in der kommenden Herbstsession dem Ständerat zu unterbreiten. Somit trat die grosse Kammer ohne Gegenantrag auf die Vorlage ein und genehmigte deren Teilung. Damit wurden die für die Schengen-Zusammenarbeit im Strafrechtsbereich relevanten Bestimmungen in das neue Schengen-Datenschutzgesetz (SDSG) ausgelagert, das als Anhang des bestehenden DSG konzipiert ist. Das SDSG wird nach der Totalrevision des DSG hinfällig werden und war in seinem Inhalt im Nationalrat unbestritten. Im Zuge eines einzigen Minderheitsantrags befasste er sich mit der Frage, ob gewerkschaftliche Ansichten ausdrücklich in der Definition von besonders schützenswerten Daten natürlicher Personen erwähnt werden sollen oder ob diese automatisch unter den besonderen Schutz der politischen und weltanschaulichen Ansichten fallen, wie die Kommissionsmehrheit argumentierte. Bundesrätin Simonetta Sommaruga stellte fest, dass es keine materielle Differenz zwischen den beiden Vorschlägen gebe. Die Minderheit wollte im Einklang an die Formulierung im bestehenden DSG sowie in der EU-Richtlinie die gewerkschaftlichen Ansichten explizit beibehalten, doch der Nationalrat folgte in diesem Streitpunkt der Kommissionsmehrheit. In der Gesamtabstimmung nahm die grosse Kammer die Änderungen der ersten Etappe der Revision des Datenschutzgesetzes mit 174 zu 5 Stimmen bei 2 Enthaltungen an. Mit ebenso grosser Mehrheit (170 zu 5 Stimmen bei 2 Enthaltungen) stimmte sie der Genehmigung des Notenaustauschs zwischen der Schweiz und der EU betreffend die Übernahme der EU-Richtlinie zu.

Revision des Datenschutzgesetzes (BRG 17.059)
2. Revision des Bundesgesetzes über den Datenschutz (DSG)

Mit dem neuen Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz) soll für natürliche Personen die Möglichkeit geschaffen werden, sich im Internet sicher und bequem auszuweisen. Es beinhaltet die gesetzliche Grundlage für die Herausgabe von elektronischen Identifizierungsmitteln, die zur Registrierung bei privaten und öffentlichen Online-Portalen – wie zum Beispiel an «virtuellen Schaltern» für E-Government-Anwendungen – genutzt werden können. Der Bundesrat verabschiedete die entsprechende Botschaft am 1. Juni 2018 zuhanden des Parlaments.
Das Gesetz sieht bei der Bereitstellung der E-ID eine Aufgabenteilung zwischen dem Staat und der Privatwirtschaft vor. Während die amtliche Überprüfung und Bestätigung der Identität einer Person dem Staat – konkret einer speziellen Identitätsstelle im EJPD – obliegt, sollen die technischen Trägermittel für die Identifizierung von der Privatwirtschaft hergestellt und entwickelt werden, die sich gemäss Bundesrat besser der Dynamik des technologischen Wandels anpassen könne als der Staat. Die Ausstellung der E-ID sowie das Betreiben des E-ID-Systems sollen also in die Zuständigkeit privater Anbieter übergeben werden (sog. Identity Provider), die wiederum vom Staat anerkannt und kontrolliert werden. Nicht festgelegt wird, auf welchem Trägermedium die E-ID gespeichert werden muss; so sind u.a. Karten mit Speicherchips, Mobiltelefon- oder gar nicht materialisierte Lösungen (wie sie beispielsweise bei Online-Banking-Systemen eingesetzt werden) denkbar. Für die staatliche Anerkennung und Kontrolle sind drei verschiedene, im Gesetz definierte und sowohl von der EU als auch vom National Institute of Standards and Technology der USA festgeschriebene Sicherheitsniveaus massgebend, für die jeweils andere Mindestanforderungen gelten. Ausserdem formuliert das Gesetz die datenschutzrechtlichen Rahmenbedingungen für den Verwendungszweck, die Bearbeitung und Weitergabe der Daten durch die Identity Provider und die Bundesbehörden. Einerseits liegt die Hoheit über den Einsatz und die Freigabe der Daten vollumfänglich und ausschliesslich bei den Nutzerinnen und Nutzern, andererseits können Anbieter von Online-Diensten selbst entscheiden, ob für die Verwendung ihres Dienstes eine staatlich anerkannte E-ID verlangt werden soll oder nicht. In der Botschaft betonte der Bundesrat zudem, dass das Gesetz relevante internationale Regelungen berücksichtige; so wäre die vorgeschlagene Lösung im Falle einer Einbindung der Schweiz in das elektronische Identifizierungssystem der EU mit der einschlägigen EU-Verordnung vereinbar.

E-ID-Gesetz
Elektronische Identität

Die SPK-NR trat im Januar 2018 einstimmig auf die Revision des Datenschutzrechts ein, da es unbestritten notwendig sei, das schweizerische Datenschutzrecht an die gesellschaftlichen und technologischen Entwicklungen anzupassen. Teil dieser Vorlage war auch die Umsetzung der EU-Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts. Wie bei allen Weiterentwicklungen des Schengen-Besitzstandes hat die Schweiz auch für die Übernahme dieser Richtlinie zwei Jahre Zeit. In diesem Fall endet diese Frist am 1. August 2018. Angesichts der zeitlichen Dringlichkeit der Schengen-relevanten Anpassungen einerseits sowie der Komplexität und Tragweite der Datenschutzthematik andererseits entschied die Kommission mit 14 zu 8 Stimmen bei 2 Enthaltungen, die Vorlage in zwei Teile zu spalten, sodass zuerst zeitnah die Schengen-relevanten Anpassungen verabschiedet werden können und die Totalrevision des Datenschutzgesetzes anschliessend ohne Zeitdruck erfolgen kann. Die zur Umsetzung der Richtlinie erforderlichen Anpassungen waren in der Kommission weitgehend unbestritten, weshalb sie diese erste Etappe im April desselben Jahres einstimmig annahm. Die Minderheit sah hingegen keinen Nutzen in der Teilung der Vorlage und wird dem Nationalrat beantragen, das Geschäft an die Kommission zurückzuweisen, damit diese die Revision des Datenschutzrechts integral berät.

Revision des Datenschutzgesetzes (BRG 17.059)
2. Revision des Bundesgesetzes über den Datenschutz (DSG)

Ohne Gegenstimme und ohne Enthaltungen nahmen auch die 41 anwesenden Ständerätinnen und Ständeräte die vom Büro-NR vorgeschlagenen Gesetzesgrundlagen für zeitgemässere Informations- und Dokumentationsangebote für das Parlament an. Die Gesetzesrevision war nötig geworden, weil bei der Verknüpfung von Daten aus unterschiedlichen Angeboten neue Informationen oder schützenswerte Daten entstehen können. Gerade diese Verknüpfungen sind es aber, welche die Effizienz der Angebote erhöhen sollen. Am Ende der Frühjahrssession 2018 wurden sowohl das Bundesgesetz als auch die Verordnung in den Schlussabstimmungen beider Räte einstimmig gutgeheissen. Damit ist der Weg frei für Erschliessung, Verknüpfung und Auswertung verschiedener Datenbanken zum Zweck einer Digitalisierung des parlamentarischen Informations- und Dokumentationsangebots – freilich immer unter Berücksichtigung des Datenschutzes.

Informations- und Dokumentationsangebote

In der Wintersession beugte sich der Nationalrat über die vom Büro-NR vorgeschlagenen Gesetzesänderungen, die dabei helfen sollen, mit der Entwicklung der parlamentsinternen Informations- und Dokumentationsangebote Schritt halten zu können. Der Bundesrat hatte in der Zwischenzeit eine Stellungnahme abgegeben und die Vorschläge des Büros erweitert. Unter anderem regte die Regierung an, dass auch die Grundlage für einen gegenseitigen Austausch zwischen Datenbanken der Bundesverwaltung und solchen des Parlaments bzw. der Parlamentsdienste geschaffen werden solle. Balthasar Glättli (gp, ZH) machte als Sprecher des Büros ein konkretes Beispiel: Persönliche Vorstösse, die aufgrund der Zweijahresfrist abgeschrieben werden, müssten in der Verwaltung mühsam von Hand aussortiert werden, da eine Verknüpfung von CURIA VISTA mit Listen aus der Verwaltung heute eigentlich nicht erlaubt sei. Die Vorschläge des Büros wurden mit den entsprechenden Ergänzungen des Bundesrats vom Nationalrat einstimmig mit 182 zu 0 Stimmen (Bundesgesetz über die Bundesversammlung) bzw. 181 zu 0 Stimmen (Verordnung zum Parlamentsgesetz) angenommen. Enthaltungen gab es in beiden Fällen keine.

Informations- und Dokumentationsangebote

Die Schaffung eines Cybersecurity-Kompetenzzentrums auf Stufe Bund war im Ständerat kaum bestritten und auch im Vorfeld an die Plenardebatte in der grossen Kammer wurden die Zeichen auf grün gesetzt. Das auf eine Motion Eder (fdp, ZG) zurück gehende Anliegen fand einstimmige Unterstützung in der sicherheitspolitischen Kommission des Nationalrates. Sie kam nach Gesprächen mit Cybersicherheits-Fachpersonen aus der Bundesverwaltung sowie unter Berücksichtigung der bereits laufenden Arbeiten im Bereich der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) und dem entsprechenden Aktionsplan zum Schluss, dass die Motion unterstützt werden soll, denn tiefer greifende Koordination sei im Cyberbereich notwendig. Ein Kompetenzzentrum für Cybersicherheit sei hierzu der richtige Weg.
Kommissionssprecher Glättli (gp, ZH) präzisierte in seiner Einleitung zur Debatte, dass die MELANI nur über beschränkte Personalressourcen verfüge und zudem ihr Auftrag limitiert sei. MELANI, als verwaltungsinterne Koordinationsstelle auch für Cyberkriminalität zuständig, leiste gute Arbeit, so Glättli weiter, es bedürfe aber weiter reichender Kompetenzen für ein eigentliches Kompetenzzentrum. Der anwesende Bundesrat Maurer vertrat auch im Nationalrat die ablehnende Haltung des Siebnerkollegiums: Es werde bereits viel im Cyberbereich unternommen und diverse Expertengruppen würden bald ihre Arbeiten abschliessen. Insofern bat Maurer die Nationalrätinnen und Nationalräte, nicht vorzugreifen. Im Wesentlichen zielten die gegenwärtig angestossenen Prozesse in die gleiche Richtung, wie der Motionär vorgebe, und dies ohne Aufblähung der Verwaltung. Letzteres befürchtete Maurer, falls eine zusätzliche Verwaltungseinheit geschaffen werden müsste. Kommissionssprecher Glättli entgegnete hierauf, dass mit der Motion noch keine operativen Beschlüsse gefasst und die Ausgestaltung und Umsetzung eines solchen Cyber-Kompetenzzentrums Gegenstand weiterer Diskussionen sein würden.
Das Ratsplenum folgte seiner Kommission und hiess die Motion mit 177 zu 2 Stimmen ohne Enthaltungen deutlich gut.

Schaffung eines Cybersecurity-Kompetenzzentrums auf Stufe Bund (Mo. 17.3508)
Cyber Defence

Die Vernehmlassung zum E-ID-Gesetz zeigte, dass das Vorhaben, klare Regeln für einen staatlich anerkannten, überprüfbaren und eindeutigen digitalen Identitätsnachweis festzulegen, grundsätzlich begrüsst wird. Einzig die SVP lehnte das Vorhaben des Bundesrates ab. Wenn die E-ID nicht – wie von der SVP gewünscht – vom Staat herausgegeben werde, solle der Bund auch von jeglicher Verantwortung in Bezug auf die E-ID absehen und es allein dem Markt überlassen, welches System zur digitalen Identifizierung sich durchsetzen werde. Die Rolle des Staates war denn auch bei den anderen Vernehmlassungsteilnehmern der umstrittenste Punkt des Vorentwurfs. Der Bundesrat hatte vorgesehen, dass der Staat lediglich die Kernaufgaben bei der Ausstellung der digitalen Identität – also die amtliche Prüfung und Bestätigung der Existenz einer Person und ihrer Identitätsmerkmale – übernimmt, nicht jedoch die Entwicklung und Ausstellung der konkreten technologischen Träger der digitalen Identität. Diese Aufgaben sollen nicht-staatliche Anbieter übernehmen, die ihrerseits jedoch einem staatlichen Anerkennungsverfahren und regelmässigen Kontrollen unterliegen. Die vorgeschlagene Aufgabenteilung zwischen Staat und Markt war in vielen Stellungnahmen Gegenstand von Kritik. So sahen die BDP, die CVP, die Grünen und die Piratenpartei sowie sieben Kantone die Herausgabe der E-ID grundsätzlich als Staatsaufgabe, welche nicht – oder zumindest nicht im geplanten Ausmass – an Private übertragen werden sollte. Während die SP für einen Kompromissvorschlag zwischen einer vollständigen Auslagerung an die Wirtschaft und einer rein staatlichen Lösung plädierte, unterstützten die FDP und die GLP sowie 21 Kantone das Konzept des Bundesrates. Unter Berücksichtigung der Vernehmlassungsantworten wird das EJPD bis im Sommer 2018 eine Botschaft für das E-ID-Gesetz ausarbeiten. Der Bundesrat hat bereits angekündigt, an der im Vorentwurf enthaltenen Kooperation von staatlichen und nicht-staatlichen Akteuren festzuhalten. Seiner Ansicht nach könnten so einerseits die besten Voraussetzungen für eine praxistaugliche und konsumentenfreundliche Anwendung geschaffen und andererseits die nötige Flexibilität für technologische Veränderungen erreicht werden.

E-ID-Gesetz
Elektronische Identität

Da mit der Verbesserung der informationellen Selbstbestimmung das zentrale Anliegen der beiden parlamentarischen Initiativen Vischer (gp, ZH; Pa.Iv. 14.413) und Derder (fdp, VD; Pa.Iv. 14.434) voraussichtlich im Zuge der Totalrevision des Datenschutzgesetzes umgesetzt werden soll, verzichtete die zuständige SPK-NR vorerst auf eine eigene gesetzgeberische Tätigkeit. Sie wollte zuerst die Botschaft des Bundesrates zum Datenschutzgesetz abwarten. Im August 2017 musste die Kommission nun entscheiden, was mit den zwei Jahre zuvor gutgeheissenen Vorstössen geschehen soll. Die mit Stichentscheid des Präsidenten Heinz Brand (svp, GR) äusserst knapp zustande gekommene Kommissionsmehrheit plädierte für eine zweijährige Fristverlängerung bei beiden Vorstössen. Die SPK-NR werde als zuständige Kommission für Datenschutz auch das Datenschutzgesetz vorberaten und damit die Möglichkeit haben, allenfalls nicht berücksichtigte Forderungen der Initiativen als Anträge einzubringen. Danach könnten die beiden Initiativen abgeschrieben werden. Anstelle der Fristverlängerung beantragte die Kommissionsminderheit die Abschreibung der beiden Vorstösse, da Art. 13 BV (Schutz der Privatsphäre) bereits den Schutz der persönlichen Daten umfasse, womit die Initiativen obsolet seien. Diese Argumentation von Minderheitssprecher Philippe Nantermod (fdp, VS) überzeugte in der Herbstsession 2017 auch die Mehrheit im Nationalrat: Mit 118 zu 76 Stimmen sprach sich die grosse Kammer für Abschreiben der beiden parlamentarischen Initiativen aus.

Grundrecht auf informationelle Selbstbestimmung (Pa.Iv. 14.413) / Schutz der digitalen Identität von Bürgerinnen und Bürgern (Pa.Iv. 14.434)
2. Revision des Bundesgesetzes über den Datenschutz (DSG)

Mit einer im März 2017 eingereichten Motion wollte die FDP-Fraktion die elektronische Identität und damit auch den landesweiten Bürokratieabbau vorantreiben. Sie stellte in dem Vorstoss drei konkrete Forderungen an den Bundesrat, die er bei der Erarbeitung des E-ID-Gesetzes berücksichtigen soll. Damit die Systeme vielseitig einsetzbar sind, soll erstens die Interoperabilität durch offene Schnittstellen – beispielsweise zum Identitätsverbund Schweiz, zu den Kantonen und Gemeinden, aber auch zum Ausland – gewährleistet werden. Zweitens soll der Bundesrat Sicherheitsstandards für die Dienstleistungsanbieter definieren und als Kontrollinstanz deren Einhaltung überwachen. Da die elektronische Identität echten Nutzen für Privatpersonen, Unternehmen und den Bund mit sich bringe, sei dem Projekt drittens die entsprechende Priorität einzuräumen, sowohl im Hinblick auf eine zeitnahe Umsetzung als auch bezüglich einer sichergestellten Finanzierung der verwaltungsinternen Vorleistungen. In der Herbstsession 2017 behandelte der Nationalrat den Vorstoss, der von der SVP-Fraktion mit dem Argument bekämpft wurde, dass der Staat bei der Herausgabe der elektronischen Identität nicht nur eine Kontrollfunktion innehaben, sondern diese als hoheitliche Aufgabe selbst übernehmen sollte. Nachdem Bundesrätin Simonetta Sommaruga jedoch versichert hatte, dass diese Motion keinen Einfluss auf die Frage nach der staatlichen oder privaten Einführung der elektronischen Identität habe, wurde die Bekämpfung eingestellt und die Motion stillschweigend angenommen.

Eine elektronische Identität für den landesweiten Bürokratieabbau (Mo. 17.3083)
Elektronische Identität

Die Totalrevision des Datenschutzgesetzes (DSG) verfolgt gemäss der Mitte September 2017 verabschiedeten Botschaft des Bundesrates hauptsächlich zwei Ziele: Erstens sollen die der rasanten technologischen Entwicklung in jüngster Zeit geschuldeten Schwächen des bestehenden Gesetzes behoben werden und zweitens soll das revidierte Gesetz den diesbezüglichen Entwicklungen im Europarat und in der EU Rechnung tragen. Im Rahmen der Revision ihres Datenschutzrechts erliess die EU u.a. die Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts, die auch Teil des Schengen-Acquis ist. Die DSG-Revisionsvorlage soll daher die Anforderungen der genannten EU-Richtlinie übernehmen, um sicherzustellen, dass die Schweiz ihre Schengen-Verpflichtungen wahrnehmen kann. Der Europarat erarbeitete indes ein Protokoll zur Revision des Übereinkommens SEV 108 zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten, womit das schweizerische DSG nach der Revision ebenfalls vereinbar sein soll. Aus Sicht des Bundesrates bilden die Ratifikation dieses Übereinkommens einerseits und die Annäherung an das Datenschutzrecht der EU andererseits die zentralen Voraussetzungen dafür, dass die Europäische Kommission der Schweiz weiterhin ein angemessenes Datenschutzniveau attestiert. Vor allem für die Schweizer Wirtschaft ist dieser sogenannte Angemessenheitsbeschluss von zentraler Bedeutung, da die Schweiz in allen Bereichen, die nicht der Schengen-Zusammenarbeit unterstehen, von der EU als Drittstaat angesehen wird und ein Datenaustausch zwischen EU-Mitgliedstaaten und Drittstaaten nur erlaubt ist, wenn Letzterer ein angemessenes Datenschutzniveau gewährleistet.
Zu den wichtigsten inhaltlichen Änderungen im DSG zählt neben dem Verzicht auf den Schutz der Daten juristischer Personen eine grundsätzliche Informationspflicht bei der Datenbeschaffung für alle Bearbeitungen durch Private, um die Transparenz der Datenbearbeitung generell zu verbessern. Überdies soll bei den für die Datenbearbeitung Verantwortlichen über entsprechende, von den Branchen erarbeitete Verhaltenskodizes die Selbstregulierung gefördert werden. Auch der EDÖB soll in seiner Position und Unabhängigkeit gestärkt werden und neu wie seine europäischen Amtskollegen Untersuchungen gegenüber Datenbearbeitern eröffnen sowie Verfügungen erlassen können. Letztlich sollen auch die Strafbestimmungen gegenüber heute verschärft werden. Zur Umsetzung der EU-Richtlinie 2016/680 umfasst die Vorlage zusätzlich Anpassungen in weiteren Gesetzen, namentlich im Strafgesetzbuch, in der Strafprozessordnung, im Rechtshilfegesetz sowie im Schengen-Informationsaustauschgesetz.
Mit seinem Entwurf kam der Bundesrat vor allem der Wirtschaft entgegen, die in der Vernehmlassung Kritik an der weitgehenden Regulierung geübt hatte. So wurde nun auf ein «Swiss Finish» verzichtet; d.h. es sind keine Anpassungen vorgesehen, die über den EU-Standard hinausgehen. Insbesondere das Sanktionensystem kommt im Vergleich zur Vernehmlassung abgeschwächt daher, soll die maximale Busse doch nur noch CHF 250'000 und nicht wie ursprünglich vorgeschlagen CHF 500'000 betragen. In den Augen des SGV sind die Bussen dennoch zu hoch und die Position des EDÖB zu stark. Der EDÖB Adrian Lobsiger selbst zeigte sich im Grossen und Ganzen zufrieden mit dem Entwurf des Bundesrates und bedauerte einzig, dass ihm nicht die Kompetenz zugestanden wird, ohne Strafprozess direkt Bussen zu verhängen.

Revision des Datenschutzgesetzes (BRG 17.059)
2. Revision des Bundesgesetzes über den Datenschutz (DSG)

Die Informations- und Dokumentationsangebote des Parlaments und der Parlamentsdienste werden dauernd weiterentwickelt. Zu nennen sind dabei etwa die Plattform CURIA VISTA, auf der sämtliche parlamentarische Beratungsgegenstände erfasst werden; ELAN und ELAS, mit denen die Ratsabstimmungen aufgezeichnet werden; die Dokumentation der Ratsdebatten via VERBALIX; Presseschauen, die mittels MEMO erzeugt werden können; eine Zusammenfassung von Fachartikeln via LIBERO oder der Zugang zu E-Papers via SESAME. Diese Angebote dienen Parlamentarierinnen und Parlamentariern als wichtige Informations- und Analysequellen. Die Parlamentsdienste können auf deren Basis Informationen und Dokumentationen für interessierte Nutzerinnen und Nutzer zusammenstellen. Die Kombination und Verknüpfung der einzelnen Angebote untereinander, aber auch mit anderen Datenbanken, eröffnet zahlreiche Möglichkeiten zu noch stärker ausgebauter Information. So wurde etwa mit CUBE ein neues System entwickelt, mit dem sich quantitative Analysen zur Tätigkeit des Parlaments erstellen lassen; oder mit dem System SOPRANO soll dereinst durch Abgleich von Presseartikeln und Parlamentstätigkeit ein eigentliches politisches Monitoring vorgenommen werden können.
Weil mit den neuen technologischen Entwicklungen einerseits auch schützenswerte Personendaten bedroht sein könnten und die Organe der Bundesversammlung andererseits die Entwicklungen selber mitsteuern können möchten, regte die Verwaltungsdelegation Änderungen im Parlamentsrecht und in der Parlamentsverordnung an. Diese Anregung wurde im November 2016 vom Büro-NR als parlamentarische Initiative formuliert, welcher die Schwesterkommission Anfang Februar 2017 zustimmte.
In einem Bericht legte das Büro-NR im August Vorschläge für entsprechende Gesetzesänderungen vor. Auswertungen von Persönlichkeitsprofilen sollen ermöglicht werden. Die Koordinationskonferenz soll zudem die Kompetenz erhalten, Umfang und Empfänger solcher Auswertungen festzulegen und so Entwicklungen zu begleiten und zu steuern.

Informations- und Dokumentationsangebote

Die Vernehmlassung zur Totalrevision des Datenschutzgesetzes (DSG) und zur Änderung weiterer Erlasse zum Datenschutz umfasste neben diesem Hauptentwurf auch einen Entwurf für einen Bundesbeschluss betreffend die Genehmigung und Umsetzung des Notenaustausches zwischen der Schweiz und der EU zur Übernahme der Richtlinie (EU) 2016/680 sowie einen Entwurf für die Revision des Übereinkommens SEV 108 des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten. Im Zentrum des Gesetzgebungsprojektes stehen die Verbesserung der Transparenz von Datenbearbeitungen, die Förderung der Selbstregulierung bei den Verantwortlichen in Form von Empfehlungen der guten Praxis sowie die Stärkung der Position und Unabhängigkeit des EDÖB. Im Einklang mit den europäischen Datenschutzbestimmungen soll darüber hinaus der Schutz von Daten juristischer Personen aufgehoben werden, um insbesondere den Datenaustausch mit dem Ausland zu erleichtern. Einige Anforderungen der EU-Richtlinie 2016/680 erfordern ausserdem Anpassungen im Strafgesetzbuch, in der Strafprozessordnung, im Rechtshilfegesetz und im Schengen-Informationsaustauschgesetz.
Unter den insgesamt 222 Vernehmlassungsteilnehmerinnen und -teilnehmern befanden sich alle Kantone, acht politische Parteien (BDP, CVP, FDP, GLP, GP, SP, SVP, PP), drei eidgenössische Gerichte (Bundesgericht, Bundespatentgericht, Bundesverwaltungsgericht) sowie zahlreiche weitere Organisationen aus den betroffenen Kreisen. Während die Übernahme der EU-Richtlinie 2016/680 sowie der Anforderungen im SEV 108 unumstritten waren, wurde die Revision des DSG und weiterer Erlasse zum Datenschutz von der Mehrheit der Vernehmlasserinnen und Vernehmlasser im Grundsatz ebenfalls begrüsst. Vielerseits gelobt wurde beispielsweise das Vorhaben, das schweizerische Datenschutzrecht so weit an die europäischen Vorgaben anzupassen, dass die Schweiz von der EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt wird. Vorbehalte bestanden jedoch gegenüber dem – insbesondere für KMU – grossen Verwaltungsaufwand sowie gegenüber dem «Swiss Finish»: Rund die Hälfte der Teilnehmenden bemängelte, dass der Entwurf unnötigerweise über die europäischen Anforderungen hinaus gehe. Demgegenüber ging er rund einem Fünftel der Teilnehmenden – hauptsächlich aus Konsumentenschutzkreisen – zu wenig weit. Auf harsche Kritik von verschiedensten Seiten stiess das vorgesehene Sanktionensystem. Laut Bericht wünschten sich «sehr viele Teilnehmer» dessen «vollständige Überarbeitung», darunter BDP, CVP, FDP, GP, und SP, 18 Kantone sowie Economiesuisse, der Verein Unternehmens-Datenschutz, die FRC, Privatim und die Stiftung für Konsumentenschutz. Hauptsächlich wurde kritisiert, dass keine direkte Strafbarkeit für Unternehmen vorgesehen ist, sondern strafrechtliche Sanktionen, die in erster Linie auf natürliche Personen ausgerichtet sind. In diesem Zusammenhang herrschte die Befürchtung, es könnten einfache Angestellte ohne Entscheidungs- und Vertretungsbefugnis verurteilt werden. Dies wiederum erschwere es den Unternehmen, qualifiziertes und motiviertes Personal – insbesondere Datenschutzverantwortliche – zu rekrutieren. Der häufigste Änderungsvorschlag zielte daher auf ein Modell mit Verwaltungssanktionen anstatt Strafverfahren, die direkt gegen die Unternehmen und nicht gegen Privatpersonen verhängt werden könnten. Verwaltungssanktionen, so die Hoffnung, hätten eine grössere Wirksamkeit als das bislang für die Strafbestimmungen im DSG nur selten angewandte Strafverfahren. Weitere umstrittene Punkte waren auch die Höhe der Bussen – welche einerseits als zu hoch und andererseits als zu niedrig kritisiert wurde – sowie der Katalog der strafbaren Verhaltensweisen, welcher ebenfalls wahlweise als unvollständig bzw. zu umfangreich bezeichnet wurde. Kritisiert wurden des Weiteren auch die mangelhafte Regulierungsfolgeabschätzung und die fehlenden Ausführungen zum Verhältnis zwischen dem Datenschutzrecht des Bundes und jenem auf kantonaler Ebene. Hierzu äusserten auch die Kantone Glarus, Solothurn und Zürich Bedenken, dass die Frist für die Anpassung des kantonalen Rechts zu kurz bemessen sei. Die SVP, die Kantone Schwyz und Waadt sowie einige betroffene Kreise – darunter der AGVS, Auto Schweiz, die FER, PharmaSuisse, Santésuisse sowie der VSV – lehnten den Vorentwurf in der vorliegenden Form ausdrücklich ab, befanden sich damit jedoch klar in der Minderheit aller Vernehmlassungsteilnehmenden.

Revision des Datenschutzgesetzes (BRG 17.059)
2. Revision des Bundesgesetzes über den Datenschutz (DSG)

In der Frühjahrssession 2017 behandelte der Nationalrat als Erstrat die Revision des Bundesgesetzes über die Unternehmens-Identifikationsnummer (UID). Dem BFS soll damit die Kompetenz gegeben werden, neben der inländischen UID auch den internationalen „legal entity identifier“ (LEI) zu vergeben. Der Entwurf des Bundesrates stiess in allen Punkten auf breite Unterstützung. Der Rat folgte mit grosser Mehrheit den einzigen zwei Änderungsanträgen seiner Kommissionsmehrheit und ergänzte die Vorlage an zwei Stellen dahingehend, dass der LEI von den Unternehmen (sog. UID-Einheiten) ausdrücklich beantragt werden muss. Dieses Vorgehen war vom Bundesrat ohnehin so vorgesehen worden, kam aber nach Meinung des Nationalrates im Gesetzesentwurf zu wenig deutlich zum Ausdruck. Einstimmig schickte die grosse Kammer die Vorlage an den Ständerat. Dieser stimmte der ersten Ergänzung des Nationalrates zu, die bekräftigt, dass das BFS einem Unternehmen nur auf Verlangen einen LEI zuweist. Die zweite von der grossen Kammer vorgenommene Anpassung sah der Ständerat jedoch als missverständlich, da die Ergänzung an jener Stelle den Eindruck erwecken könne, der LEI könne auch anders als auf Verlangen der Unternehmen zugeteilt werden. Eine solche Möglichkeit besteht jedoch nicht, weshalb der Ständerat diese Änderung verwarf und den Entwurf dann ebenfalls einstimmig guthiess. In der Schlussabstimmung im Sommer 2017 wurde das revidierte Gesetz vom Nationalrat mit einer Gegenstimme (Grunder, bdp, BE) und vom Ständerat einstimmig angenommen.

Bundesgesetz über die Unternehmens-Identifikationsnummer (UID; BRG 16.082)

Der Bundesbeschluss über die Erneuerung der Systemplattform Biometriedatenerfassung mit dem darin enthaltenen Verpflichtungskredit von CHF 33 Mio. stand im Frühling 2017 auf der Agenda des Nationalrats. Als einzigen Änderungsantrag brachte seine Staatspolitische Kommission einen zusätzlichen Absatz ein, demnach Offerten im Rahmen des Möglichen vor allem von Schweizer Unternehmen einzuholen sind und die Vergabekriterien so ausgestaltet werden müssen, dass insbesondere Schweizer Unternehmen berücksichtigt werden können. Kommissionssprecher Balthasar Glättli (gp, ZH) betonte, die Ergänzung werde „nicht aus irgendwelchen Gründen des Heimatschutzes wirtschaftlicher Art, sondern aus Gründen der Sicherheit“ gewünscht, da es sich bei biometrischen Daten um besonders schützenswerte Daten handle. Die so abgeänderte Vorlage wurde mit 180 Ja- zu 5 Nein-Stimmen aus der SVP-Fraktion gutgeheissen.

In der Sommersession 2017 behandelte der Ständerat das Geschäft und strich den vom Nationalrat eingefügten Artikel wieder aus dem Entwurf, wie es ihm seine Kommission beantragt hatte. Kommissionssprecher Peter Föhn (svp, SZ) erklärte, das Vorhaben müsse sowieso WTO-konform ausgeschrieben und vergeben werden, weshalb diese Bestimmung nichts bringe. Einstimmig nahm der Ständerat den Bundesbeschluss, der jetzt wieder dem bundesrätlichen Entwurf entsprach, an.

Die Mehrheit der SPK-NR stellte sich weiterhin hinter den Passus, der Schweizer Unternehmen bevorzugen will, und beantragte ihrem Rat Festhalten. Eine Minderheit sah die Datensicherheit jedoch auch bei Berücksichtigung eines fremden Anbieters gewährleistet und wollte sich dem Beschluss des Ständerates anschliessen. Bundesrätin Sommaruga führte aus, dass gemäss einer zwischenzeitlich durchgeführten Risikoanalyse kein Risiko einer nachrichtendienstlichen Ausspähung dieser Daten bestehe, und wies darauf hin, dass eine Bevorzugung schweizerischer Unternehmen vor den WTO-Regeln nur gerechtfertigt werden könnte, wenn diese der Verhinderung oder Minimierung eines solchen Risikos diene. Mit 98 zu 66 Stimmen bei 4 Enthaltungen hielt der Nationalrat an seinem Beschluss fest.

Es war schliesslich der Ständerat, der einlenkte und dem Beschluss des Nationalrates stillschweigend zustimmte. Dies jedoch nicht, weil er von der nationalrätlichen Lösung überzeugt war, sondern weil der Zeitplan keinen weiteren Aufschub dieses Geschäfts duldete. Kommissionssprecher Föhn erläuterte, dass im Falle einer weiteren Behandlung dieses Geschäftes in der nächsten Session die fliessende Ablösung des Systems gefährdet werden könnte, was Kosten in Millionenhöhe verursachen würde. Ausserdem sei es „Hans was Heiri“, ob man diese Bestimmung aufnehme oder nicht, da die Beschaffung ohnehin WTO-konform erfolgen müsse. Andrea Caroni (fdp, AR) gab abschliessend noch zu Protokoll, dass man bei der künftigen Ratsplanung solche Eventualitäten vorsehen möge, damit auf politisch bessere Lösungen nicht verzichtet werden müsse, nur weil der Zeitplan nicht passe. Damit ist der Gesamtkredit von CHF 33 Mio. bewilligt und die erste Etappe von CHF 14,3 Mio. zur Konzeption und Realisierung der Systemplattform freigegeben. Die zweite Etappe von CHF 18,7 Mio. für den Kauf von Geräten, den Rollout und die Einführung wird der Bundesrat zu gegebener Zeit freigeben.

Erneuerung der Systemplattform Biometriedatenerfassung (BRG 16.063)