Grundsätzliches
Der Begriff «Datenschutz» betrifft das Verhältnis zwischen der Erfassung und Verarbeitung von Daten sowie damit zusammenhängende Technologien, Erwartung der Öffentlichkeit und rechtliche bzw. politische Fragen. Zweck des Datenschutzes ist der Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, deren Daten bearbeitet werden, wie auch Art. 1 des Datenschutzgesetztes (DSG) festhält.
Geschichte
Die erste kodifizierte Regelung zum Schutz von Personendaten lässt sich bereits auf den durch den altgriechischen Arzt Hippokrates von Kos um 400 v. Chr. entwickelten hippokratischen Eid zurückführen. Mit dem hippokratischen Eid verpflichteten sich Ärzte im antiken Griechenland mit den folgenden Worten dazu, die Daten ihrer Patienten zu schützen: «Was ich bei der Behandlung oder auch ausserhalb der Behandlung im Umgang mit Menschen sehe oder höre, werde ich, soweit man es nicht weitergeben darf, verschweigen und solches als ein Geheimnis wahren.».
Die erste Gesamtkodifikation zum Datenschutzrecht wurde 1970 im deutschen Bundesland Hessen geschaffen. 1973 folgte das schwedische Datenschutzgesetz als erste nationale Kodifikation. Im Jahr 1977 zogen die Bundesrepublik Deutschland sowie 1978 Frankreich und Österreich mit einem eigenen Datenschutzgesetz nach. Auf internationaler Ebene nahmen die 1980 im Rahmen der OECD verabschiedeten Leitlinien für den Schutz des Persönlichkeitsbereiches und den grenzüberschreitenden Verkehr personenbezogener Daten eine Vorreiterrolle im Bereich des Datenschutzes ein. 1981 folgte das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten des Europarates, welches inzwischen überarbeitet wurde und derzeit den Ratifizierungsprozess durchläuft. Die Vorgängerorganisation der Europäischen Union, die Europäische Gemeinschaft, erliess mit der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr 1995 erstmals ein Datenschutzdokument. Die 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO / GDPR) hat dieses inzwischen ersetzt und bildet heute zusammen mit der JI-Richtlinie für den Datenschutz in den Bereichen Polizei und Justiz das datenschutzrechtliche Fundament der Union. Die Grundrechtecharta der Europäischen Union und die Europäischen Menschenrechtskonvention verankern den Schutz von personenbezogenen Daten schliesslich auch als Menschenrecht.
In der Schweiz erfolgten die ersten Gesamtkodifikationen zum Datenschutz auf kantonaler Ebene: Die Pionierrolle nahm der Kanton Genf ein, welcher bereits im Jahr 1976 das «loi sur la protection des informations traitées automatiquement par ordinateur» erliess. 1981 und 1982 folgten die Westschweizer Kantone Waadt und Neuenburg. Auf eidgenössischer Ebene wurden zwar bereits in den 1970er Jahren verschiedene parlamentarische Vorstösse zum Datenschutzrecht eingereicht. Ein Vorentwurf für ein Bundesgesetz über den Datenschutz wurde aber erst 1981 durch die von Prof. Mario M. Pedrazzini geleitete Expertenkommission ausgearbeitet, welcher aber zu diesem Zeitpunkt lediglich den Datenschutz innerhalb der Bundesverwaltung betraf. Erst zwölf Jahre später, am 1. Juni 1993, wurde das heute geltende Datenschutzgesetz in Kraft gesetzt.
Das Datenschutzgesetz hat seit seinem Inkrafttreten keine grundlegenden Revisionen erfahren. Es erfolgten lediglich partielle Anpassungen, um es instand zu halten.
2011 veröffentlichte der Bundesrat seinen Bericht bezüglich der Evaluation des Bundesgesetzes über den Datenschutz. Er stellte darin eine erhöhte Bedrohungslage für den Datenschutz aufgrund der fortschreitenden technologischen und gesellschaftlichen Entwicklungen fest. Diese Entwicklungen würden das bestehende Datenschutzgesetz herausfordern, weil sie zu einer Zunahme von Datenbearbeitungen und zu intransparenten sowie verstärkt zu grenzüberschreitenden Datenbearbeitungen geführt hätten. Aufgrund der Ergebnisse der Evaluation ist der Bundesrat schliesslich zum Schluss gelangt, dass eine Prüfung der Datenschutzgesetzgebung erforderlich sei, um diesen Entwicklungen Rechnung zu tragen. Insbesondere durch die Verabschiedung der Datenschutz-Grundverordnung der Europäischen Union und ihrer Aufnahme in den Schengen-Acquis ergab sich nochmals zusätzlicher Reformdruck für die Schweiz, da sie aufgrund des Schengen-Assoziierungsabkommens zu deren Umsetzung verpflichtet ist.
Am 15. September 2017 verabschiedete der Bundesrat die Botschaft zur Totalrevision des Datenschutzgesetzes. Die Revision verfolgt hauptsächlich folgende Zielsetzungen:
Erstens soll auf den Schutz der Daten juristischer Personen verzichtet und der Geltungsbereich des Gesetzes entsprechend angepasst werden. Zweitens soll die Transparenz der Bearbeitung verbessert werden. Daneben soll die Revision die Selbstregulierung bei den Verantwortlichen fördern. Weiterhin sollen Unabhängigkeit und Position des Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gestärkt werden. Schliesslich sollen auch die Strafbestimmungen des Gesetzes in verschiedener Hinsicht verschärft werden.
Der Nationalrat debattierte den Entwurf am 24. und 25. September 2019 und fasste einen vom Entwurf abweichenden Beschluss. Umstritten in der Debatte waren insbesondere die Abschaffung der Qualifizierung von Angaben zu gewerkschaftlichen Tätigkeiten als besonders schützenswerte Personendaten. Ein anderes umstrittenes Themenfeld bildete das Profiling: Dabei handelt es sich um eine automatisierte Datenbearbeitung, mit welcher bestimmte Merkmale einer Person bewertet werden. Die Ratslinke forderte das Erfordernis einer ausdrücklichen Einwilligung der Betroffenen für Profiling, scheiterte mit diesem Vorhaben aber. In Ergänzung der bundesrätlichen Vorlage forderte der Nationalrat ein Recht auf Datenportabilität. Dieses sieht vor, dass jede Person von einem Dienstleister verlangen kann, die sie betreffenden Personendaten in einem gängigen Format an sie herauszugeben, um diese Daten einem anderen Dienstleister übergeben zu können. Ebenfalls schlug die grosse Kammer neu vor, den Datenschutz- und Öffentlichkeitsbeauftragten von der Bundesversammlung wählen zu lassen. Das neue DSG wurde vom National- und Ständerat nach langem hin und her in der Schlussabstimmung vom 25. September 2020 angenommen. Zwar bleibt noch die 100-tägige Referendumsfrist abzuwarten, ein Referendum gegen das neue DSG erscheint jedoch unwahrscheinlich. Mit einem Inkrafttreten ist im Jahr 2022 zu rechnen.