Darum gehts
- Finanzkontrolle kritisiert neues Datenschutzgesetz wegen hoher Kosten und Bürokratie
- EFK fordert Sistierung der Protokollierungspflicht für alle Personendaten
- Geschätzte einmalige Kosten von 165 Millionen Franken für Systemanpassungen
Sogar die Eidgenössische Finanzkontrolle (EFK) selbst berichtet von einer Eskalation. Vom ÖV über Forschung bis zur Armee schaut sie der Bundesverwaltung genau auf die Finger – schliesslich ist mit Steuergeldern sorgsam umzugehen. Verbesserungspotenzial finden die Finanzprüfer immer wieder. «Erhebliche Mängel» aber, bei denen die EFK gleich an den Gesamtbundesrat gelangt, sind selten. Laut dem neuen Jahresbericht gab es 2024 genau einen Fall. Und dieser sorgt für rote Köpfe.
Ein Dorn im Auge ist der EFK das neue Datenschutzgesetz. Für die Finanzaufseher ist es zum eigentlichen Bürokratiemonster angewachsen. Neu müssen Bundesstellen bei der Bearbeitung von Personendaten wirklich alles protokollieren: Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten. Ein Riesenaufwand! Die Pflicht wurde damit enorm ausgeweitet. Bisher galt sie nur für besonders schützenswerte Personendaten; nun aber gibt es keine Ausnahmen mehr.
«Kosten könnten zu einem wesentlichen Teil vermieden werden»
Zwar sei der Datenschutz auch der EFK wichtig, versichern die Finanzaufseher. Die neuen Regeln gehen ihnen aber viel zu weit. Die Kosten stünden in keinem Verhältnis zum Nutzen. So verursache die umfassende Protokollierungspflicht nach internen Schätzungen einerseits einmalige Kosten von rund 165 Millionen Franken, weil Systeme angepasst und grosse Datenmengen gespeichert werden müssen. Dieser Aufwand verursacht andererseits nochmals Kosten von über 32 Millionen pro Jahr.
Für die EFK ist klar: «Diese Kosten könnten zu einem wesentlichen Teil vermieden werden.» Die Protokollierungspflicht könne mit den besonders schützenswerten Personendaten auf ein Minimum reduziert werden. Hinzu kämen präventive Massnahmen wie ein beschränkter Datenzugang. So protokolliere auch die EU nicht nach dem «Giesskannenprinzip», sondern nach risikoorientierten Überlegungen.
Justizdepartement erkennt keine Sonderregel
Gleich zweimal hat die EFK vergangenes Jahr deshalb beim zuständigen Justizdepartement interveniert. Die neuen Bestimmungen seien sofort zu sistieren, um unnötige Kosten zu vermeiden. Nachdem sie beim Departement aber aufgelaufen war, habe sie ihr «Anliegen als Mangel von erheblicher finanzieller Bedeutung an den Gesamtbundesrat eskaliert». Bisher aber ebenfalls erfolglos.
Das Justizdepartement dagegen will von einer Schweizer Sonderregel nichts wissen. Zwar enthält das EU-Datenschutzrecht tatsächlich keine analoge Bestimmung. Die Protokollierung von Datenbearbeitungen sei aber in der Informationssicherheit wie im Datenschutzrecht seit langem gängig. Frankreich etwa sehe sie als unverzichtbare Massnahme.
Und dennoch zeichnet sich ein Kompromiss ab. «Wir können nachvollziehen, dass die Protokollierungsbestimmung als zu weitreichend und damit zu kostspielig verstanden werden kann, da der risikobasierte Ansatz nicht explizit genannt ist», erklärt das Justizdepartement. Das neue Gesetz sei aber erst seit September 2023 in Kraft. Ob es Anpassungsbedarf gibt, werde sich in der weiteren Umsetzung zeigen. Erste Konkretisierungen zur Protokollierung seien mittlerweile aufgegleist. Die Finanzkontrolle könnte sich also doch noch durchsetzen.