DSG

(Diese Erläuterungen finden sich in der Botschaft von 2003.)

Mit der hier gegenüber dem Vernehmlassungsentwurf neu vorgeschlagenen Bestimmung wird ein Element der Selbstregulierung ins Datenschutzgesetz eingeführt. Damit soll die Selbstverantwortung der Inhaber der Datensammlungen gestärkt und der Wettbewerb stimuliert werden. Dies trägt zu einer kontinuierlichen Verbesserung von Datenschutz und Datensicherheit bei; bestehende Defizite beim Vollzug der einschlägigen Gesetzgebung können so abgebaut werden. Darüber hinaus führt das Konzept der Selbstkontrolle zu einem gewissen Grad zu einer Berücksichtigung der technologischen Entwicklung. Das Fehlen entsprechender Bestimmungen im Vernehmlassungsentwurf wurde von verschiedenen Vernehmlassern kritisiert. Die vorliegende Bestimmung orientiert sich an Artikel 43a Umweltschutzgesetz, mit dem positive Erfahrungen gemacht werden.

Absatz 1 hält das Grundprinzip fest. Gefördert werden sollen sowohl Zertifizierungsverfahren von datenschutzrelevanten betrieblichen Abläufen bzw. Organisationsstrukturen (Datenschutz-Audits) als auch die Evaluation informatiktechnischer Systeme oder Programme – also von Produkten – hinsichtlich der Einhaltung von Datenschutzstandards. Das Zertifizierungsverfahren soll, wenn festgestellt wird, dass die einschlägigen gesetzlichen und technischen Normen und Standards eingehalten werden, zur Vergabe eines Datenschutz-Qualitätszeichens (Datenschutzlabel) führen. Diese Auszeichnung kann durch zertifizierte Firmen insbesondere zu Werbezwecken verwendet und dazu der Öffentlichkeit zur Kenntnis gebracht werden. Zertifizierte Behörden und Firmen sind von der Pflicht zur Meldung ihrer Datensammlungen nach Artikel 11a Absatz 2 bzw. 3 ausgenommen, wenn sie das Ergebnis des Zertifizierungsverfahrens dem Datenschutzbeauftragten mitgeteilt haben (Art. 11a Abs. 5 Bst. f). Dieser Erleichterung soll eine Anreizfunktion zukommen.