In der Sommersession 2020 setzte der Ständerat die Differenzbereinigung bei der Totalrevision des Datenschutzgesetzes fort. In zwei Punkten, die das Auskunftsrecht der von einer Datenbearbeitung betroffenen Person und die Informationspflicht der datenbearbeitenden Stelle betrafen, fügte sich die kleine Kammer stillschweigend und diskussionslos den Beschlüssen des Nationalrates. So muss die betroffene Person nicht zwingend über die Liste ihrer Rechte und die allfällige Absicht, eine Kreditwürdigkeitsprüfung vorzunehmen, informiert werden. Eine angeforderte Auskunft muss zudem «die bearbeiteten Personendaten als solche» beinhalten, wobei die SPK-SR zum Schluss gekommen war, dass die vom Nationalrat eingefügte Ergänzung «als solche» nichts nütze, aber auch nichts schade, wie deren Berichterstatter Daniel Fässler (cvp, AI) vor dem Plenum erläuterte. Stillschweigend hielt der Ständerat hingegen an seinem Entscheid fest, dass alle genetischen Daten als besonders schützenswerte Personendaten gelten sollen, da die einschränkende Definition des Nationalrates gemäss dem Kommissionssprecher wohl nicht EU-konform wäre.
Für eine kurze Debatte sorgte die Frage, welche Daten für eine an sich persönlichkeitsverletzende Kreditwürdigkeitsprüfung verwendet werden dürfen. Eine Minderheit Müller (fdp, LU) schlug vor, den Einbezug von bis zu zehn Jahre alten Daten zu erlauben – dies hatte der Nationalrat so entschieden –, wobei aber Daten aus öffentlich zugänglichen staatlichen Registern von dieser Beschränkung ausdrücklich auszunehmen seien. Mit einer kurzen und starren Frist würden die Interessen der Gläubiger zu wenig berücksichtigt, begründete Damian Müller den Antrag. Der Rat folgte mit 25 zu 17 Stimmen jedoch seiner Kommissionsmehrheit und hielt an seinem letzten Beschluss fest, wonach die verwendeten Daten nicht älter als fünf Jahre sein dürfen, wie es auch der Bundesrat ursprünglich vorgesehen hatte. Kommissionssprecher Fässler argumentierte, dass ältere Daten mitunter ungenau seien und daher nicht als Rechtfertigungsgrund für eine Persönlichkeitsverletzung zugelassen werden sollten.
Gerungen wurde in der Ständekammer indes immer noch um die Definition von «Profiling mit hohem Risiko», nachdem der Nationalrat dem risikobasierten Ansatz zur Regulierung des Profilings zugestimmt, sich aber mit der Abgrenzung der Risikostufen nicht zufrieden gezeigt hatte. Die Kommission schlug ihrem Rat einstimmig eine neue Formulierung vor, die sich am heute geltenden Konzept des Persönlichkeitsprofils orientierte und die die Idee der grossen Kammer aufnahm, das Risiko am Ergebnis der Datenbearbeitung anstatt am Prozess festzumachen. Mit einem Einzelantrag wollte Ständerat Ruedi Noser (fdp, ZH) der Formulierung des Nationalrats den Vorzug geben, weil der Vorschlag der ständerätlichen SPK das Profiling faktisch verbiete und den unklaren und veralteten Begriff «wesentliche Aspekte der Persönlichkeit» verwende. Kommissionssprecher Fässler und Bundesrätin Karin Keller-Sutter widersprachen dieser Darstellung jedoch: Profiling mit hohem Risiko werde nicht verboten, sondern lediglich höheren Anforderungen unterworfen, der kritisierte Begriff sei im geltenden Recht bereits etabliert und der Vorschlag Noser käme einer Nicht-Regulierung des Profilings gleich, wie sie wohl kaum mit dem EU-Datenschutzniveau vereinbar wäre. Zudem hätten der von Noser gewünschten Lösung im Nationalrat nur 65 Mitglieder zugestimmt, während 57 sie abgelehnt und sich 65 der Stimme enthalten hatten, weshalb darin kaum der endgültige Wille der grossen Kammer zum Ausdruck gekommen sei. Der Ständerat folgte mit 39 zu 5 Stimmen (1 Enthaltung) klar seiner Kommission und schrieb die neue Formulierung ins Gesetz, wonach Profiling dann mit hohem Risiko verbunden ist, wenn es «die Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt». Damit wird das heutige Schutzniveau bei der automatisierten Datenbearbeitung gehalten, aber weder erhöht, wie es im Sinne der Ständeratsmehrheit und der linken Seite des Nationalrats gewesen wäre, noch gesenkt, was dem bürgerlichen Ansinnen entsprochen hätte. Mit noch drei inhaltlichen Differenzen ging die Vorlage wieder an den Nationalrat.
Dossier: 2ème révision de la loi fédérale sur la protection des données (LPD)