Datenschutz im Smart Grid
Status
Das BFE beschäftigt sich mit der Weiterentwicklung der Elektrizitätsnetze; ein Grundlagenbericht wurde am 28. November 2014 verabschiedet. Eine unter der Beteiligung der HSG erstellte Studie hat regulatorischen Handlungsbedarf identifiziert. Am 27. März 2015 veröffentlichte das BFE schliesslich eine "Smart Grid Roadmap". Der Bundesrat möchte den Datenschutz in einer kommenden Revision entlang der Linien des europäischen Rechts stärken. Der Vorentwurf des EJPD für eine Totalrevision des DSG wurde vom Bundesrat am 21. Dezember 2016 in die Vernehmlassung geschickt.
Am 15. September 2017 hat der Bundesrat die Botschaft der Totalrevision des DSG verabschiedet. Nach ersten Berichten hat der Bundesrat das geplante Gesetz in wesentlichen Punkten abgeschwächt. Er kommt vor allem der Wirtschaft entgegen und setzt auf mehr Selbstregulierung und schwächere Sanktionen.
Am 12. Januar 2018 wurde beschlossen, die Revision des DSG in zwei Etappen durchzuführen, konkret soll zuerst eine Anpassung an Schengen durchgeführt werden und anschliessend die Totalrevision des DSG.
Am 13. April 2018 hat die Staatspolitische Kommission des Nationalrates (SPK-N) die notwendigen Anpassungen an die Anforderungen des EU-Rechts (Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts) verabschiedet. Damit ist gemäss SPK-N die erste Etappe der Revision abgeschlossen. Die zweite Etappe soll die Totalrevision des Datenschutzgesetzes umfassen.
Am 12. Juni 2018 hat die grosse Kammer als Erstrat die Totalrevision des Datenschutzgesetzes und weiterer verwandter Erlasse an die Hand genommen und einen Grundsatzentscheid gefällt: Sie möchte die Vorlage teilen und zuerst die Anpassungen ans europäische Recht vornehmen.
Am 22. Juni 2018 hat die Staatspolitische Kommission (SPK) des Ständerates der ersten Etappe der Revision des Datenschutzgesetzes zugestimmt. Damit sollen die notwendigen Anpassungen an die Anforderungen der Weiterentwicklung des Schengen-Vertrags vorgenommen werden. Die Kommission geht davon aus, dass nun auch die eigentliche Totalrevision des Datenschutzgesetzes ohne Verzögerung zum Ziel geführt wird.
Am 11. September 2018 hat sich das Parlament für eine Revision des Datenschutzgesetzes in zwei Etappen ausgesprochen. In einem ersten Schritt sollen die Anpassungen an das europäische Recht vorgenommen werden, damit die europäische Kommission die Schweiz auch weiterhin als Drittstaat mit “angemessenem Datenschutzniveau” akzeptiert. Somit kann sichergestellt werden, dass die grenzüberschreitenden Datenübermittlung auch in Zukunft möglich bleibt.
Am 28. September 2018 hat der Nationalrat eine Bestimmung zur Netzneutralität gutgeheissen.
Am 16. August 2019 hat die Staatspolitische Kommission des Nationalrates (SPK-N) die Beratung der Vorlage zur Totalrevision des Datenschutzgesetzes (17.059) abgeschlossen. Sie hat die Vorlage in der Gesamtabstimmung mit 9 zu 9 Stimmen bei 7 Enthaltungen und Stichentscheid des Präsidenten angenommen.
Am 24. und 25. September 2019 hat der Nationalrat die Totalrevision des Datenschutzgesetzes beraten und ist weitgehend den Vorschlägen seiner vorberatenden Kommission gefolgt. Als Zweitrat ist nun der Ständerat an der Reihe.
Der Bundesrat hat das Änderungsprotokoll zur Datenschutzkonvention 108 des Europarats unterzeichnet und wird die entsprechende Botschaft zur Genehmigung des Protokolls zuhanden des Parlaments noch in diesem Jahr verabschieden. Die Schweiz bekennt sich damit zu einem international anerkannten Datenschutzstandard.
Am 20. November 2019 hat die SPK-S die Detailberatung der Vorlage für das neue Datenschutzgesetz (17.059) abgeschlossen. In der Gesamtabstimmung wurde die Vorlage einstimmig an den Ständerat überwiesen, wo sie in der Wintersession beraten wird. Die SPK-S beantragt ihrem Rat in mehreren Punkten von Nationalrat abzuweichen.
Am 06. Dezember 2019 hat der Bundesrat die Botschaft über die Genehmigung des Protokolls zur Änderung der Datenschutzkonvention des Europarats verabschiedet. Eine Ratifikation bedingt einige Änderungen des Datenschutzgesetzes (DSG) und ist auch für die Kantone verbindlich.
Am 18. Dezember 2019 hat der Ständerat die Vorlage beraten und folgte dabei vollumfänglich seiner Kommission. Zur Differenzbereinigung geht das Geschäft nun zurück an den Nationalrat.
Am 05. März 2020 hat der Nationalrat die vom Ständerat vorgeschlagene Unterscheidung bezüglich Data-Profiling abgelehnt. Stattdessen sollen verschärfte Bestimmungen nur gelten, wenn als Resultat von Profiling besonders schützenswerte Personendaten entstehen. Über diesen Vorschlag muss nun wieder der Ständerat befinden.
Am 19. Mai 2020 hat die SPK-S dem Ständerat beantragt, sich in mehreren Punkten dem Nationalrat anzuschliessen. Bei der Definition von Profilings hat sich die SPK-S einstimmig für die Kompromisslösung des Nationalrats ausgesprochen. Demnach sollen verschärfte Bestimmungen nur gelten, wenn als Resultat von Profiling besonders schützenswerte Personendaten entstehen.
Voraussichtlich Anfang Juni wird sich die EU-Kommission zur Äquivalenzanerkennung äussern und entscheiden, ob die EU das Schweizerische Datenschutzgesetz anerkennt.
Die Äquivalenzanerkennung der EU wurde bis auf Weiteres verschoben. Die Kommission möchte zuerst das «Schrems 2»-Urteil des Europäischen Gerichtshofes vom 16. Juli abwarten (C-311/18).
Am 02. Juni 2020 hat der Ständerat verschiedene Differenzen bei der Revision des Datenschutzgesetzes behandelt. Im Zentrum standen das Profiling, die Bonitätsprüfung und die Definition von genetischen Daten.
Der Bundesrat kann die modernisierte Datenschutzkonvention des Europarates ratifizieren, sobald das revidierte Datenschutzgesetz in Kraft ist. Das hat nach dem Nationalrat auch der Ständerat beschlossen.
Die SPK-N hält an seiner Sitzung vom 03. Juli 2020 an den Anträgen des Nationalrates fest. Die Kommission befürchtet ansonsten negative Folgen für die Wirtschaft.
Der Ständerat hat am 23. September 2020 an seiner Position betreffend des Profilings festgehalten. Damit geht das Geschäft in die Einigungskonferenz.
Die Einigungskonferenz hat am 24. September 2020 die letzte Differenz bereinigt und folgt dem Kompromissvorschlag des Ständerats. Die Einigungskonferenz reagiert damit auf den drohenden Absturz des Datenschutzgesetzes.
In der Schlussabstimmung vom 25. September 2020 fand das revidierte Datenschutzgesetz in beiden Kammer eine deutliche Mehrheit. Es wurde im Nationalrat mit 141:54 Stimmen bei einer Enthaltung und im Ständerat einstimmig gutgeheissen. Den Schlussabstimmungstext finden Sie hier.
Der Bundesrat hat am 23. Juni 2021 die Vernehmlassung für die Revision der Datenschutzverordnung eröffnet. Sie dauert bis am 14. Oktober 2021. Die Verordnung soll gleichzeitig mit dem neuen DSG per 1. September 2023 in Kraft treten. Zeitgleich mit dem Inkrafttreten des neuen DSG wird die Schweiz auch die modernisierte Datenschutzkonvention 108 des Europarates ratifizieren.
An seiner Sitzung vom 31. August 2022 hat der Bundesrat definitiv beschlossen, das neue DSG sowie die neue DSV und VDSZ ab 1. September 2023 in Kraft zu setzen. Gestützt auf die erfolgten Vernehmlassungen hat der Bundesrat die DSV zudem in mehreren Punkten angepasst.
Links
DSG - Bundesgesetz über den Datenschutz, DSG, SR 235.1
DSG SG - Datenschutzgesetz des Kantons SG, sGS 142.1
DSG - Schlussabstimmungstext vom 25. September 2020 (Vorlage der Redaktionskommission)
Aktuelle Entwicklungen
Inhalte
Die Datenschutzgesetze des Bundes und der Kantone dienen dem Schutz der Persönlichkeit von (natürlichen und juristischen) Personen. Die Bearbeitung von Personendaten ist nur unter eingeschränkten Voraussetzungen möglich.
Mit der Totalrevision des Datenschutzgesetzes (DSG) soll der Schutz der Bürgerinnen und Bürger verbessert und das Schweizer Datenschutzrecht den europäischen Standards angepasst werden. Um die schnelle Übernahme einer zum Schengen-Besitzstand gehörenden EU-Datenschutzrichtlinie zu ermöglichen, hatte das Parlament 2018 entschieden, die Vorlage zu teilen und erst die für die Umsetzung dieser Richtlinie erforderlichen Bestimmungen zu verabschieden. Diese traten am 1. März 2019 in Kraft.
Parallel dazu wurde die Beratung der restlichen Bestimmungen fortgesetzt. Im Rahmen der Detailberatung traf der Nationalrat folgende Beschlüsse:
Ernennung des Datenschutz- und Öffentlichkeitsbeauftragten mittels Direktwahl durch das Parlament
Recht auf Datenportabilität, d.h. jede Person soll von einem Dienstleister (z. B. einem Anbieter von Onlinediensten) verlangen können, gewisse, sie betreffende Personendaten kostenlos in einem elektronischen Format an sie herauszugeben, um diese Daten einem anderen Dienstleister übergeben zu können
Definition der besonders schützenswerten Personendaten, u.a. genetische Daten, nicht aber Daten über Sozialhilfemassnahmen
Ausländische Unternehmen, die in der Schweiz Dienstleistungen anbieten, soll sich an das Schweizer Datenschutzrecht halten müssen sowie eine Vertreterin oder einen Vertreter in der Schweiz bezeichnen
Keine gesonderte Regelung für den Umgang mit Daten verstorbener Personen
Keine ausdrückliche Einwilligung der Betroffenen für ein Profilig (=automatisierte Datenauswertung in Bezug auf bestimmte Merkmale einer Person)
Verschärfung der strafrechtlichen Sanktionen, namentlich Maximalbussen für natürliche Person bis zu CHF 250’000.-, dagegen Verzicht auf verwaltungsrechtliche Sanktionen gegen juristische Personen
Anpassungszeit von zwei Jahren für die Unternehmen nach Ablauf der Referendumsfrist bzw. einer allfälligen Volksabstimmung
Strittig ist, ob die revidierten Datenschutzbestimmungen äquivalent zum europäischen Datenschutzniveau sind. Wird die Äquivalenz von der EU negativ beurteilt, drohen Schweizer Unternehmen künftig Mehraufwände im Austausch von Personendaten in/von EU-Mitgliedsstaaten.
Der Ständerat verfolgt insbesondere zwei Ziele: Zum einen sollen die Bürgerinnen und Bürger auch im Zeitalter der Digitalisierung ein hohes Schutzniveau geniessen, zum anderen soll der Schutzstandard in der Schweiz mit demjenigen der EU vergleichbar sein, sodass von einer Anerkennung der Äquivalenz des Schweizer Datenschutzrechts ausgegangen werden kann. Um letzteres zu erreichen weicht die SPK-S in mehreren Punkten vom Nationalrat ab:
Die Daten über gewerkschaftliche Ansichten oder Tätigkeiten sollen wieder in die Liste besonders schützenswerter Personendaten aufgenommen werden (Art. 4 Bst. c Ziff. 1 E-DSG).
Die Ausnahme von der Informationspflicht bei unverhältnismässigem Aufwand sei entgegen dem Nationalrat aufzuheben (Art. 18 Abs. 1 Bst. e E-DSG).
Die Kommission verzichtet darauf, bei der Ausübung des Auskunftsrechts einen abschliessenden Katalog der zu erteilenden Informationen einzuführen (Art. 23 Abs. 2 E-DSG).
Die vorsätzliche Nichteinhaltung der Anforderungen an die Datensicherheit soll entsprechend dem Vorschlag des Bundesrates strafrechtlich sanktioniert werden.
Zur Erhöhung des Schutzniveaus ist die SPK-S auch in folgenden Punkten von den Beschlüssen des Nationalrates abgewichen:
Aufgrund vorhandener Lücken im Bereich Profiling wird von der SPK-S beantragt, dass die Datenverarbeitung einen erhöhten Schutz vorsieht. Allerdings hat sich die Kommission entgegen dem Bundesrat für eine Kompromisslösung ausgesprochen, welche nur einen erhöhten Schutz vorsieht, wenn es sich um ein “Profiling mit hohem Risiko“ handelt.
Die Rechte der einer Bonitätsprüfung unterzogenen Person sollen gestärkt werden. Dazu wird die Datenverarbeitung von Daten, die von Minderjährigen stammen oder älter als fünf Jahre alt sind, eingeschränkt.
Um Bedenken von Medienunternehmen aus dem Weg zu räumen, soll eine Präzisierung vorgenommen werden, wonach auch die journalistische Recherche vom Rechtfertigungsgrund umfasst wird. Dadurch können Medien eine Datenverarbeitung, welche Persönlichkeitsrechte verletzt, auch dann rechtfertigen, wenn die Daten im Hinblick auf eine Publikation erhoben und gespeichert wurden. Dies gilt auch, wenn die Publikation nicht veröffentlicht wird.
Bei den Erleichterungen, von denen Unternehmen bei Ernennung von Datenschutzberatern profitieren können, folgt die SPK-S dem Nationalrat. Dadurch könne die Selbstregulierung und das Verantwortungsbewusstsein gestärkt werden.
Das Änderungsprotokoll der Datenschutzkonvention sieht im Bereich des Verantwortlichen für die Datenverarbeitungen folgende Änderungen vor:
Die Pflichten werden ausgeweitet. So sind Datenschutzverletzungen der Aufsichtsbehörde zu melden und die betroffene Person muss über die Beschaffung der Personendaten informiert werden.
Im Vorfeld bestimmter Datenbearbeitungen muss eine Datenschutz-Folgenabschätzung vorgenommen werden.
Das Änderungsprotokoll der Datenschutzkonvention sieht im Bereich der Rechte der betroffenen Person folgende Änderungen vor:
Insgesamt wird es ein Ausbau der Rechte sein, insbesondere in Bezug auf das Auskunftsrecht sowie bei automatisierten Einzelentscheiden.
Die Vertragsstaaten werden verpflichtet, ein Sanktionssystem sowie ein Rechtsmittelsystem einzuführen. Zudem soll den Aufsichtsbehörden eine Befugnis eingeräumter werden, wonach diese verbindliche Entscheide erlassen können.
Für die Modernisierung sowie den Schutz der Privatsphäre hat die Datenschutzkonvention grosse Bedeutung. So berücksichtigt die EU bei der anstehenden Angemessenheitsprüfung des Schweizerischen Datenschutzniveaus, ob die Schweiz der Konvention beigetreten ist. Zudem würde ein Beitritt den Datenaustausch mit jenen Ländern erleichtern. Um dies aber zu erreichen sind diverse Anpassungen im Datenschutzgesetz (DSG) vorzunehmen. Mit einer Ratifikation würden auch die Kantone verpflichtet, die Anforderungen zu erfüllen und in ihre Recht umzusetzen.
Durch die von der SPK-S beantragte Kompromisslösung wird der risikobasierte Ansatz bestätigt und die Definition von Profiling mit hohem Risiko dahingehend präzisiert, dass sich diese nun an der Definition des Persönlichkeitsprofils im geltenden Recht orientiert. Dadurch soll gemäss SPK-S Rechtssicherheit geschaffen werden. Überdies beantragt die Kommission, dass Daten, anhand derer die Kreditwürdigkeit einer Person beurteilt wird, nicht älter als fünf Jahre sein dürfen.
Der Ständerat hat sich am 02. Juni 2020 mit den verbleibenden Differenzen auseinandergesetzt. Ziel des Ständerates ist es, das Datenschutzgesetz europarechtskompatibel zu revidieren:
Beim Profiling (automatisierte Bearbeitung von Personendaten, bspw. in Onlineshops) hat der Ständerat dem Kompromissvorschlag der SPK-S zugestimmt. Demnach sollen die verschärften Vorschriften für die Unternehmen nur gelten, wenn mit der Datenverknüpfung wesentliche Aspekte der Betroffenen beurteilt werden können. Diese Bestimmung soll Rechtssicherheit schaffen, da sie sich an der Definition des Persönlichkeitsprofils im geltenden Recht orientiert. Abweichend davon hält die SPK-N an seiner Sitzung vom 03. Juli 2020 am Antrag des Nationalrates fest, wonach auf besondere Voraussetzungen für das Profiling zu verzichten ist, namentlich auf die ausdrückliche Einwilligung der betroffenen Person. Der Kompromissvorschlag des Ständerates vermochte die SPK-N nicht zu überzeugen und sie befürchtet negative Folgen für die Wirtschaft, wenn es zu einem «Swiss finish» kommen sollte. Im weiteren hat sich die Kommission gegen einen Antrag auf Einführung des Widerspruchsrechts gegen das Profiling ausgesprochen.
Der Ständerat hat bei der Bonitätsprüfung abweichend vom Nationalrat beschlossen, dem Bundesrat zu folgen. Demnach sollen bei der Bonitätsprüfung die Personendaten lediglich über einen Zeitraum von fünf Jahren zurückverfolgt werden dürfen. Abweichend davon hält die SPK-N am Antrag des Nationalrates fest, wonach die Bearbeitung erst nach zehn Jahren eingeschränkt werden soll.
Bei der Definition der genetischen Daten folgt der Ständerat dem Bundesrat und möchte die Definition abweichend vom Nationalrat nicht näher definieren. Der Ständerat befürchtet ansonsten eine Unvereinbarkeit mit dem EU-Schutzniveau. Die SPK-N beantragt hier einstimmig, dem Ständerat zu folgen.
Aufgrund der Massnahmen der bevorstehenden Ratifizierung der modernisierten Datenschutzkonvention müssen die Vertragsstaaten ein Sanktionssystem und Rechtsmittel vorsehen. Zudem müssen Aufsichtsbehörden die Befugnis haben, verbindliche Entscheidungen zu erlassen.
Der Ständerat hat an seiner Sitzung vom 23. September 2020 die Differenz bei der Bonitätsprüfung bereinigt. Der Ständerat folgt stillschweigend dem Nationalrat. Demnach dürfen Personendaten über zehn Jahre zurückverfolgt werden, um die Kreditwürdigkeit einer Person abzuschätzen. Festgehalten hat der Ständerat hingegen an seiner Position bezüglich des Profilings. Er will weiterhin zwischen normalem Profiling und Profiling mit “hohem Risiko“ unterscheiden. Damit geht diese Differenz in die Einigungskonferenz. Bereits am 24. September 2020 hat die Einigungskonferenz auch diese letzte Differenz bereinigt und der Nationalrat folgt dem Kompromissvorschlag des Ständerats. Demnach wird künftig zwischen normalen Profiling und Profiling mit “hohem Risiko“ unterscheiden. Letzteres ist nur mit ausdrücklicher Zustimmung der Betroffenen möglich.
Revision Datenschutzverordnung:
Die vorgesehenen Änderungen betreffen u.a. die Bestimmungen über die Mindestanforderungen an die Datensicherheit, die Modalitäten der Informationspflichten und des Auskunftsrechts oder die Meldung von Verletzungen der Datensicherheit. Für private Verantwortliche mit weniger als 250 Mitarbeitenden regelt die Verordnung die Ausnahmen, in welchen sie von der Pflicht befreit sind, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Weiter werden in der Verordnung für die Bekanntgabe von Personendaten ins Ausland die Kriterien festgehalten, gemäss welchen der Bundesrat beurteilt, ob er das Datenschutzrecht eines Staates als angemessen erachtet oder nicht. Weitere Anpassungen betreffen die Bestimmungen über den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), dessen Stellung und Unabhängigkeit mit dem neuen DSG gestärkt wird.
Der Vorentwurf, der erläuternde Bericht und eine Vergleichstabelle der alten zur neuen Verordnung sind online einsehbar.
Relevanz für Unternehmen der Energiewirtschaft
Parallelität von Bundesrecht und kantonalem Recht: Das bundesrechtliche Datenschutzgesetz gilt für privaten Unternehmen der Energiewirtschaft, die kantonalen Datenschutzgesetze finden auf viele öffentliche Energieunternehmen Anwendung.
Unternehmen der Energiewirtschaft bearbeiten Personendaten und haben die Datenschutzgesetze zu beachten. Der Rollout von Smart Metern und der Aufbau des Smart Grids wird zu einem Anwachsen des Datenvolumens führen.
Die derzeitige Regulierung dürfte die Einführung von Smart Grid-Funktionalitäten und von neuen Geschäftsmodellen eher hemmen als fördern. Es ist mit der Einführung einer allgemeinen und sektorspezifischen Bundesregelung für alle Energieunternehmen zu rechnen.
Durch einen Beitritt zur modernisierten Datenschutzkonvention des Europarates soll der grenzüberschreitende Datenverkehr im öffentlichen Sektor aber auch in der Privatwirtschaft erleichtert werden. Dazu würden die Pflichten des Verantwortlichen ausgeweitet, er würde insbesondere dazu verpflichtet, der zuständigen Aufsichtsbehörde gewisse Datenschutzverletzungen zu melden. Zudem hätte er die betroffenen Personen zu informieren und im Vorfeld bestimmter Datenbearbeitungen eine Datenschutz-Folgenschätzung vorzunehmen.
Weiterführende Informationen / Publikationen
Datensicherheit und Datenschutz für Smart Grids: Offene Fragen und mögliche Lösungsansätze (2014)
Folgeabschätzung einer Einführung von «Smart Metering» (2012).
<CS/SW/ 31. August 2022>