Nun wissen wir also, was mit dem neuen Datenschutzgesetz auf uns zukommt. Viel hat sich nicht geändert, seit der Entwurf hier kommentiert wurde. Viele Diskussionen fanden auf der politischen „Scheinebene“ statt, d.h. in Bereichen, welche in der Praxis eigentlich keine Bedeutung haben. Nach wie vor bin ich der Meinung, dass es ich bei diesem Gesetz um ein Bürokratiemonster erster Güte handelt und dem Datenschutz einen Bärendienst erweist. Ausserdem ist das Gesetz in dieser Form nicht DSGVO-konform, das hat zwar mit der Anerkennung durch die EU nichts zu tun (denn das wird im Kuhhandelsmodus entschieden), trotzdem sollte es zu denken geben, was hier abgelaufen ist.

Einer der wesentlichsten Punkte kam in der Debatte nicht einmal vor, bzw. wurde schlichtwegs ignoriert: Die Beweislastverteilung: Die Beweislastumkehr zu Lasten des Verantwortlichen wurde definitiv NICHT eingeführt. Dies im Gegensatz zu Art. 82 DSGVO, hiernach muss der Verantwortliche im Schadensfall nachweisen, dass er „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“ Das ist m.E. auch eine zu weitgehende Formulierung, denn es ist in der Regel ja nicht so, dass der Verantwortliche hundertprozentig alle Sorgfaltspflichten erfüllen kann. Die Schweiz hat aber gänzlich auf einen Beweislast für den Verantwortlichen  verzichtet (aus der Botschaft):

Auf eine Beweislastumkehr nach dem Beispiel von Artikel 13a des Bundesgesetzes vom 19. Dezember 1986 über den unlauteren Wettbewerb (UWG)43, wonach das Gericht von den Datenbearbeitenden im Einzelfall den Nachweis einer datenschutzkonformen Bearbeitung verlangen könnte, wenn dies unter Berücksichtigung der berechtigten Interessen der am Verfahren beteiligten Parteien angemessen erscheint, hat der Bundesrat verzichtet. Bereits heute sind die Zivilgerichte in der Lage, im Rahmen der freien Beweiswürdigung und der Mitwirkungsobliegenheiten der Parteien mit Beweisproblemen umzugehen. Ausserdem hat die Vernehmlassung zum FIDLEG gezeigt, dass Vorschläge zur Beweislastumkehr auf starken Widerstand stossen.

Man stelle sich vor: Der Betroffene (der ja bereits einen Schaden erlitten hat) muss also nun noch beweisen, dass der Verantwortliche seine Sorgfaltspflicht nicht erfüllt hat, z.B. indem er seine Daten ungenügend geschützt hat, so dass sie durch Hacker oder andere Angreifer kopiert werden konnten. Oder noch schwieriger: Der Integritätsschutz sei ungenügend gewesen, deshalb seien Daten manipuliert worden.  Das ist in der komplexen Datenbearbeitungswelt von 2020 völlige Illusion. Die Gerichte werden  massivst überfordert sein, wenn es um die Bewertung solcher Sorgfaltsbewertungen  geht. Was passiert in der Praxis? Im Zweifelsfall wird das Gericht ein Expertengutachten in Auftrag geben müssen, was meist durch den Kläger (den Betroffenen) vorfinanziert werden muss. Das ist Rechtsverweigerung im unschönsten Stil, denn solch ein Gutachten wird sofort im fünfstelligen Bereich liegen.

Damit wird das Gesetz nicht einmal mehr zum zahmen Tiger, schon eher zur altersschwachen Hauskatze. Ohne Beweislastumkehr und in Kombination mit den schwachen Bussgeldandrohungen ist dieses Gesetz unbrauchbar. Oder wie es David Rosenthal formuliert hat (David Rosenthal, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020):

[192] In zweierlei Hinsicht steht die Schweiz allerdings deutlich hinter der DSGVO zurück: In der Schweiz wird nur die vorsätzliche Verletzung des DSG bestraft, der Katalog der Tatbestände ist ungleich kleiner als jener der DSGVO. Während fast jede Verletzung der DSGVO bussenbewehrt ist, gilt dies im revidierten DSG nur für einige wenige Bestimmungen. Die Verletzung der Bearbeitungsgrundsätze ist für sich ebenso wenig strafbar, wie die Verletzung der meisten flankierenden Massnahmen.

Der Schutz des Betroffen ist damit so aufgeweicht worden, dass lediglich jemand davon profitiert: Der Datenschutzbeauftragte in Bern darf sich über eine Armada von neuen Beamten freuen.