Stellungnahme der Schweizerischen Post zur Revision des Datenschutzgesetzes

Transkript

1 DIEROSl'} Post CH AG Corporate Center Wankdorfallee Bern Telefon Fax C, Wankdorfallee 4, 3030 Bern Eidg. Justiz- und Polizeidepartement EJPD Frau Bundesrätin Simonetta Sommaruga Bundesrain Bern Per an: jonas.amstutz@bj.admin.ch Ihre Nachricht Kontaktperson Datum 4. April Gabriele Marianne Schmid-Strasser gabriele.schmid@post.ch Direktwahl Stellungnahme der Schweizerischen Post zur Revision des Datenschutzgesetzes Sehr geehrte Frau Bundesrätin Sehr geehrte Damen und Herren Wir danken Ihnen bestens für die Gelegenheit, im Rahmen der Vernehmlassung zum eingangs erwähnten Gesetzesprojekt Stel lung zu nehmen, welches die Revision des DSG, den Bundesbeschluss betreffend die Übernahme der EU-Richtlinie sowie die Modernisierung der Datenschutzkonvention des Europarates in einer Vorlage vereint. 1. Ausgangslage für die Schweizerische Post Die Digitalisierung verändert al le drei Märkte, in denen die Post aktiv ist (Post, Personenverkehr und Finanzdienstleistungen) fundamental und führt zu zunehmend individualisierten Bedürfnissen von Kundinnen und Kunden. Dies gilt auch für den an und für sich "physischen " Logistikmarkt, welcher durch den zunehmend internat ionalen Wettbewerb sowie den grenzüberschreitenden Warenverkehr geprägt ist. ln seinen strategischen Zielen für die Schweizerische Post fordert der Bundesrat die Post u.a. dazu auf, moderne Kommunikations- und Logistikbedürfnisse durch die Entw icklu ng zeitgemässer Angebote insbesondere im Bereich des Informations- und Datenverkehrs abzudecken. Entsprechend diesem Auftrag sowie den Bedürfnissen unserer Kundinnen und Kunden versteht die Schweizerische Post die digitale Transformation in allen Teilmärkten als Teil ihrer Strategie. Dabei möchten wir über eine grösstmögliche regulatorische Sicherheit in der Weiterentwicklung verfügen. Der verantwortungsvolle Umgang mit schützenswerten Kundendaten ist dabei einer unserer zentralen Werte. Unsere Strategie korrespondiert dabei mit der vom Bundesrat verabschiedeten Strategie "Digitale Schweiz", welche dazu beitragen will, dass unser Land von der zunehmenden Digitalisierung prof i tiert und sich als innovative Volkswirtschaft noch dynamischer entwickelt. Um dieses Ziel zu erreichen, soll sich die W irtschaft gernäss Bundesrat im digitalen Raum möglichst frei entfalten können.

2 DIE POST,!} Datum 4. April 2017 Seite 2 2. Grundsätzliches zum Entwurf Entgegen der in der bundesrätlichen Strategie geäusserten Absichten enthält der vorliegende Vernehmlassungsentwurfzum neuen Schweizer Datenschutzgesetz (nachfolgend VE-DSG) jedoch nach Meinung der Schweizerischen Post wesentliche Hemmschuhe für eine rasche und freie digitale Transformation. Die Post möchte die Gelegenheit nutzen, im Rahmen des Vernehmlassungsverfahrens folgende vier Hauptkritikpunkte bzw. Anpassungsvorschläge zu deponieren: Verhältnismässige und praktikable Informations- und Meldepflichten Die umfassenden Informations- und Meldepflichten führen zu einem massiven administrativen Zusatzaufwand, der mit den aktuellen Ressourcen nicht zu bewältigen wäre. Der zentrale Treiber der digitalen Transformation, nämlich die Entwicklung neuer Produkte, würde künftig durch die verschiedenen Meldepflichten massiv verzögert. Wir regen deshalb an, die freiwillige Rolle der Datenschutzbeauftragten Person für eine Firma erneut gesetzlich einzuführen und an diese Rolle Erleichterungen betreffend Mitteilungs- und Informationspflichten gegenüber dem EDÖB zu knüpfen. Keine "Swiss Finish"-Regelungen Der Entwurf enthält viele Regelungen aus der DSGVO, welche zusätzlich mit eigenständigen Schweizer Lösungen I Formulierungen ergänzt wurden, so dass in einigen Punkten von den Unternehmungen mehr verlangt wird, als dies aufgrund der internationalen Vorgaben nötig wäre. Insbesondere die verschiedenen Melde- und Informationspflichten gehen über das Notwendige hinaus und generieren einen administrativen Mehraufwand, der den betroffenen Personen keinen zusätzlichen Schutz gewährleistet und deshalb unverhältnismässig ist. Auch die neue Begriffsdefinition des.. Profiling" wie auch die besonders schützenswerten Personendaten sollten analog den europäischen Regelungen vorgenommen werden. Diese "Swiss Finish" - Regelungen sind nicht notwendig, bringen zusätzliche Unklarheiten im Verhältnis zum Europäischen Recht in der Umsetzung und sind daher zu korrigieren. Zudem muss auch innerhalb der Schweizer Gesetzgebung auf Bundesebene die konsistente Verwendung der Begrifflichkeiten gewährleistet sein. Verhältnismässiges Sanktionsregime Zudem erscheint es uns wenig geeignet, DSG-Verletzungen gernäss den im Entwurf definierten Sanktionen zu ahnden. Der VE-DSG zielt auf strafrechtliche Sanktionen gegen die einzelnen Mitarbeitenden persönlich, wobei auch eine fahrlässige Begehung mit hohen Bussen geahndet werden kann. Diese persönlichen Sanktionen gehen über die Regelung in der EU hinaus und sind daher zu korrigieren. Wir regen an, zu prüfen, ob dem EDÖB die Kompetenz erteilt werden kann, Verwaltungssanktionen auszusprechen. Die Förderung der Schweizer Wirtschaft hin zu einer digitalen Schweiz muss stärker in den Fokus des Gesetzesentwurfes Zusammenfassend gewichtet der Vernehmlassungsentwurf den umfassenden Schutz der Persönlichkeit der betroffenen Personen unverhältnismässig stark, bzw. sieht von einem wirtschaftsfreundlichen, risikobasierten Ansatz ab. Damit wird die Chance verpasst, für die Schweizer Wirtschaft ein Gesetz zu formulieren, welches ihr Freiheiten im Umgang mit neuen, digitalen Technologien ermöglicht und den betroffenen Kunden und den Firmen gleichzeitig die notwendige Rechtssicherheit für einen sicheren Umgang mit Daten gibt. 3. Im Einzelnen Die Schweizerische Post ist Mitglied des Vereins Unternehmensdatenschutz sowie von SwissHoldings und unterstützt deren Eingaben.

3 DIEROST I) Datum 4. April 2017 Seite 3 Bezogen auf unseren gesetzlichen Auftrag sowie unsere Tätigkeiten möchten wir zu den folgenden Artikeln aus Sicht der Schweizerischen Post ergänzend zu den bereits erwähnten Eingaben im Detail kurz Stellung beziehen. Art. 3 VE- DSG: fit. c: Erweiterung der besonders schützenswerten Personendaten um genetische und biometrische Daten: Biometrische Daten sollten nur dann besonders schützenswert sein, wenn diese zum Zweck der Identifizierung bearbeitet werden, andernfalls wäre bereits jedes Bild/jede Fotografie, auf dem eine Person erkennbar ist. besonders schützenswert Erfasst von der Definition in Art. 3 lit. c Ziffer 4 VE-DSG sollten daher nicht biometrische Daten sein, welche eine natürliche Person eindeutig identifizieren, sondern nur solche, die zu diesem Zweck bearbeitet werden, analog der Regelung im E-SEV 108. Zudem feh lt eine Definition für den neuen Begriff der.. genetischen Daten". Genetische Daten werden bei zahlreichen Identifikationssystemen verwendet. so dass eine klare Definition Rechtssicherheit bieten würde. fit. f: neuer Begriff des Profiling: Wir unterstützen die Streichung des Begriffes des Persön lichkeitsprofils und die Einführung des neuen Begriffs.. Profiling ". Die Definition des Begriffs Profifing umfasst jede.. Auswertung von Daten oder Personendaten, um wesentliche persön liche Merkmale zu analysieren oder Entwicklungen vorherzusagen, insbesondere bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, Intimsphäre oder Mobilität". Diese Definition ist aktuell jedoch viel zu bre it und geht insbesondere auch weiter als die Definition in der DSGVO. Eine solche weitergehende Definition bedeutet in der Praxis viel Aufwand und führt- insbesondere aufgrund der damit verbundenen Strafbestimmungen und Bussen -zu erheblichen Risiken. Wir empfehlen den Begriff für die Schweiz analog der europäischen Idee zu definieren. Im VE-DSG fallen unter den Begriff auch Auswertungen von Hand, so dass bereits jede Selektion von Personendaten unter Beizug von nicht personenbezogenen Daten ein Profiling wäre, welches eine Persönlichkeitsverletzung darstellt, sofern nicht vorgängig die ausdrückliche Einwilligung eingeholt w urde. "' 0. "' ii8 "-(, ~ ~~ Die Definition sollte daher auf automatisierte Auswertungen eingeschränkt werden, damit nicht jede Handlung unter den Begriff Profiling fällt. Zudem bedarf es einer Klarstellung, wonach das Profiling nur dann vom DSG erfasst ist, wenn Personendaten vorliegen oder Personendaten entstehen. Die Analysen von Sachdaten fällt nicht unter den Anwendungsbereich des DSG, weshalb die Formu lierung auf Personendaten einzuschränken ist. Art. 4 VE - DSG: Grundsätze Abs. 6 Einwilligung Wir befürworten einen risikobasierten Ansatz auch für die Einwilligungen, d.h. je einschneidender die Folgen sind, desto klarer sollte die Einwilligung erfolgen.

4 DIEPOSl'} Datum 4. April 2017 Seite 4 Der Entwurf definiert die Einwilligung abweichend von der üblichen zivi lrechtliehen Verwendung. Insbesondere die Unterscheidung zwischen einer eindeutigen und ausdrücklichen Einwilligung erscheint uns nicht schlüssig. Die Schweizerische Post betreibt insbesondere im Rahmen ihres Grundversorgungsauftrages ein sehr spezifisches Massengeschäft, welches sich nur sinnvoll abwickeln lä sst mit entsprechenden Möglichkeiten in den AGB. Damit die Post auch künftig die Möglichkeit hat, in ihrem spezifischen Massengeschäft Einwilligungen einzuholen, muss eine.. ausdrückliche" Einwilligung auch in den AGB möglich sein, w as aufgrund der Ausführungen in den Erläuterungen jedoch -unseres Erachtens fälschlicherweise-ausgeschlossen wird. Das Schutzbedürfnis beim Profiling erfordert zudem keine ausdrücklichen Einwilligung. Eine ausdrückliche Einwi lligung sollte nur bei besonders schützenswerten Daten notw endig sein. Art. 6 VE- DSG: Bekanntgabe ins Ausland in Ausnahmefällen Abs. 2 Mitteilungspflicht an EDÖB Die in Absatz 2 festgehaltene Pflicht zur Information des Beauftragten ist neu und führt zu einem grossen administrativen M ehraufwand. Der Beauftragte wird mit solchen Informationen überhäuft werden und nicht in der Lage sein, diese zu bearbeiten. Zudem ist diese Pflicht dem EU Recht fremd und daher zu streichen. Art. 13 VE-DSG: Informationspflicht bei der Beschaffung von Personendaten Abs. 4: Informationspflicht gegenüber betroffenen Personen, wenn ein Dritter (Auftragsdatenbearbeiter) beigezogen wird. Die Mitteilungspflicht geht über die Regelung in der DSGVO hinaus und ist als Swiss Finish abzulehnen. Das Umsetzen dieser Mitteilungspflicht würde zu einem erheblichen Mehraufwand für die Firmen f ühren und gleichzeitig würden die Betroffenen in einer Flut von Meldungen untergehen. Deshalb sollte der Absatz gestrichen werden. Abs. 5: Informationspflicht gegenüber betroffener Person, wenn Daten bei einem Dritten beschafft werden Diese Regelung ist strenger als die Regelung in der DSGVO und verlangt, dass die betroffene Person spätestens bei der Speicherung der Daten informiert wird. ln der Praxis werden Daten unmittelbar nach deren Beschaffung gespeichert und in den meisten Fällen erst nachher gelesen. Eine Information der betroffenen Person bei der Speicherung ist praxisfremd und kann nicht umgesetzt werden. Wir empfehlen hier eine analoge Regelung wie in der DSGVO. Art. 16 VE-DSG: Datenschutzfolgeabschätzung Die Schweizerische Post nimmt bereits heute für jedes Projekt, welches Datenbearbeitungen umfasst, eine Einschätzung aus Datenschutzsicht vor. Die zwingende Benachrichtigung des EDÖB über die Ergebnisse der DS-Folgeabschätzung sowie der vorgesehenen Massnahmen erscheint jedoch nicht praktikabel. Auch macht es keinen Sinn, wenn der Auftragsdatenbearbeiter dieselben Pflichten in Bezug auf die Datenschutzfolgeabschätzung hat w ie der Verantwortliche.

5 DIE P-OSllJ:I Datum 4. April Seite 5 Abs. 7: Neue PFlicht zur Durchführung einer Datenschutzfolgeabschätzung bei erhöhtem Risiko Die Regelung im VE-DSG zur zwingenden Datenschutzfolgeabschätzung bei erhöhten Risiken führt zu massivem zusätzlichen Mehraufwand mit entsprechenden Zusatzkosten und geht über die Vorgaben der EU-DSGVO hinaus. Eine solche Folgeabschätzung sollte deshalb nur bei einem hohen Risiko durchgeführt werden müssen, wobei das hohe Risiko seitens des Gesetzgebers konkretisiert werden muss. Abs.3: Mitteilungspflicht an EDÖB Es wird zudem verlangt, dass der EDÖB über die Ergebnisse informiert werden muss. Die Schweizerische Post setzt eine grosse Menge an Projekten um. Wenn wir den EDÖB über jede durchgeführte Datenschutzfolgeabschätzung informieren müssten, wäre der EDÖB aufgrund der Anzahl von Meldungen gar nicht in der Lage, fristgerecht seinen gesetzlichen Verpflichtungen nachzukommen. Die Meldepflicht an den EDÖB sollte nur erfolgen, wenn nach ergriffenen Massnahmen weiterhin ein erhöhtes Risiko besteht. Art. 17 VE-DSG: Meldung von Verletzungen des Datenschutzes Abs. 7: Neue, unverzügliche Meldepflicht an den EDÖB für jede unbefugte Datenbearbeitung Die Formulierung im Entwurf geht über die Regelung in der E-SEV 108 und der DSGVO hinaus, denn künftig muss jede Verletzung dem EDÖB gemeldet werden. Auf eine Meldung kan n gernäss Entwurf nur verzichtet werden, wenn höchstwahrscheinlich keine Gefahr für die betroffene Person daraus resultiert, was jedoch in der Praxis kaum je der Fall sein dürfte, da jede unbefugte Datenbearbeitung eine Persönlichkeitsverletzung darstellt. Unter der Berücksichtigung, da ss unsere Tochtergesellschaft PostFinance AG dem Bankkundengeheimnis untersteht, müsste PostFinance Verletzungen von Kundendaten melden und würde sich u.a. einer Strafverfolgung nach Art. 47 BankG aussetzen. Die korrekte Umsetzung in der Praxis wäre auch mit enormem Zusatzaufwand realistischer Weise kaum möglich. Die Pflicht zur Meldung von Verletzungen sollte so formuliert werden, dass diese nur erfolgen muss, wenn eine grossemenge von Personen betroffen ist oder die Verletzung qualjtativ wesentlich ist. Zudem sollte die Meldepflicht in zeitlicher Hinsicht relativiert werden, denn eine Meldung an den EDÖB macht nur Sinn, wenn wir ihn mit den relevanten Informationen dokumentieren können und dazu bedarf es vorgängig einiger Abklärungen. Zudem sollte insbesondere für die Finanzinstitute klargestellt werden, wie das Verhältnis respektive die Abgrenzung zur Meldepflicht gernäss Art. 29 Abs. 2 FINMAG ist. Art. 19 VE-DSG: Weitere Pflichten Abs. 1 fit. a: Neue Dokumentationspflicht Die Dokumentationspflicht der Datenbearbeitungen befürworten wir im Grundsatz. Die Ausgestaltung muss jedoch praktikabel sein und darf nicht zu viel administrativen Aufwand generieren. Eine An lehnung an die Vorgaben in der DSGVO wäre wünschenswert.

6 DIE POST.!} Datum 4. April2017 Seite 6 Art VE-DSG: Strafbestimmungen Art. 50 Abs. 4 und Art. 5 1 Abs. 2: Fahrlässigkeit Die Bestrafung fahrlässigen Verhaltens erscheint uns nicht sachgerecht und ist auch europarecht lich nicht erforderlich. Die Strafbestimmungen fokussieren im Entwurf auf die flankierenden Massnahmen, d.h. primär werden Mitteilungs-, Informations-, oder Dokumentationspf lichten sanktioniert. Eine fahrlässige Verletzung dieser?flichten führt im Einzelfall wohl kaum zu einer gravierenden Verletzung der Persönlichkeit einer betroffenen Person. Zudem führt die fahrlässige Bestrafung zu einer Kriminalisierung aller Mitarbeitenden, da jeder Mitarbeiter bei jedem Entscheid, der sich als nicht richtig herausstellt, bereits gebüsst werden kann. Die Begehung der Tatbestände durch Fahrlässigkeit ist daher zu streichen. Art. 53 VE-DSG: Übertretungen in Geschäftsbetrieben Wir sind der Ansicht, dass die Sanktionen primär das Unternehmen und nicht unsere M itarbeitenden treffen sollten. Gemäss aktuellem Entwurf, kann unter gewissen Voraussetzungen die Firma zur Bezahlung der Busse verurteilt werden. Die diesbezügliche Regelung im Vorentwurf geht in die richtige Richtung, sollte jedoch in jedem Fall anwendbar sein. Wir empfehlen die Klausel daher nicht als.. Kann- Vorschrift" auszuformulieren. Zudem ist die festgelegte Grenze von CHF 100'000 zu tief. Art. 59 VE-DSG: Übergangsbestimmungen Der Gesetzesentwurf enthält viele Neuerungen, welche administrative und technische Anpassungen bedingen. Der Entwurf gewährt aktuell eine Übergangsfrist von zwei Jahren lediglich für die Einführung des Grundsatzes "Privacy by design" und "Privacy by default" bei bereits bestehenden Datenbearbeitungen sowie für die Datenschutzfolgeabschätzung. Die übrigen Pflichten müssten auf den Zeitpunkt des ln krafttretens bereits umgesetzt sein. Dies erscheint uns unrealistisch. Wir schlagen daher vor, eine generelle Übergangsfrist von zwei Jahren für alle Bestimmungen einzuführen. Wir bedanken uns für Ihre Kenntnisnahme und wohlwollende Prüfung der Eingabe. Freundliche Grüsse Post CH Corporate Center A, us Schumacher eiter Corporate Center!J Gab~ele IJf~ Date schutzbeauftragte Konzern