Wettbewerb & Regulatorisches
Neustart

Neu­start für den Da­ten­schutz in Eu­ro­pa und der Schweiz

Artikel 03.07.2018

Die EU-Da­ten­schutz­grund­ver­ord­nung (DSGVO) und das sich in Re­vi­si­on be­fin­den­de Schwei­zer Da­ten­schutz­ge­setz (DSG) bauen die Rech­te na­tür­li­cher Per­so­nen bei der Kon­trol­le ihrer per­so­nen­be­zo­ge­nen Daten aus und füh­ren so auch zu ad­mi­nis­tra­ti­vem Mehr­auf­wand für Un­ter­neh­men. Die Schweiz kann sich den in­ter­na­tio­na­len Ent­wick­lun­gen beim Da­ten­schutz nicht ver­schlies­sen und tut daher gut daran, sich an der Re­gu­lie­rung ihrer wich­tigs­ten Han­dels­part­ner zu ori­en­tie­ren. Dabei darf sie aber nicht zu weit gehen.

Warum ist eine an­ge­mes­se­ne Schwei­zer Da­ten­schutz­ge­setz­ge­bung so wich­tig? Was be­deu­ten die neuen Re­geln für Schwei­zer Un­ter­neh­men? Und wieso ist eine gänz­li­che Über­nah­me der eu­ro­päi­schen Re­geln zwecks An­ge­mes­sen­heit nicht not­wen­dig? Neben der Be­ant­wor­tung die­ser Fra­gen wagt die­ser Bei­trag auch einen Blick in die Zu­kunft des Da­ten­schut­zes, wel­che von deut­lich mehr Ei­gen­ver­ant­wor­tung in die­ser The­ma­tik ge­prägt sein soll­te als dies bis­her der Fall war.

Der lange Arm der DSGVO

Seit dem 25. Mai 2018 ent­fal­tet die DSGVO zwar nicht für alle, aber doch für zahl­rei­che Schwei­zer Un­ter­neh­men Wir­kung. Ein Schwei­zer Un­ter­neh­men kann unter den An­wen­dungs­be­reich fal­len, wenn es be­ab­sich­tigt, Ge­schäf­te mit Kon­su­men­ten in der EU zu be­trei­ben, deren In­ter­net­ak­ti­vi­tä­ten be­ob­ach­tet oder diese auf­zeich­net. Bei der ers­ten Ka­te­go­rie kön­nen nicht nur Ban­ken in­fra­ge kom­men, die ihren EU-Kun­den mass­ge­schnei­der­te Pro­duk­te an­bie­ten, son­dern auch Schwei­zer Ex­por­teu­re, Ver­sand­händ­ler und Be­trei­ber von On­line­platt­for­men für Be­stel­lun­gen oder Rei­sen. Auch als di­gi­ta­li­sier­tes KMU be­fin­det man sich schnel­ler im recht­li­chen An­wen­dungs­be­reich der DSGVO, als es auf den ers­ten Blick den An­schein hat. So müs­sen auch KMU prü­fen, ob die DSGVO auf sie an­wend­bar ist und falls nötig die ent­spre­chen­den An­pas­sun­gen vor­neh­men. Die ak­tu­el­le Re­vi­si­on der Schwei­zer Da­ten­schutz­re­gu­lie­rung (ins­be­son­de­re das DSG) ist von der DSGVO sowie der Ra­ti­fi­zie­rung der Eu­ro­pa­rechts­kon­ven­ti­on 108 durch die Schweiz, die we­sent­li­che Prin­zi­pi­en der DSGVO auf­greift, ge­trie­ben.

An­ge­mes­se­nes Schwei­zer Da­ten­schutz­ge­setz ist zen­tral für Un­ter­neh­men

Die Schweiz ist heute aus Sicht der EU in Bezug auf den Da­ten­schutz an­ge­mes­sen re­gu­liert und soll­te dies auch blei­ben, da an­sons­ten die In­ter­es­sen un­se­rer Un­ter­neh­men ge­fähr­det sind. Die Re­vi­si­on der Schwei­zer Da­ten­schutz­ge­setz­ge­bung ist ent­spre­chend von gros­ser Be­deu­tung, ent­wi­ckelt sich je­doch mo­men­tan zeit­ver­zo­̈ge­rt. Ge­mäss ak­tu­el­ler Ein­schät­zung des Bun­des­rats steht damit der An­ge­mes­sen­heits­be­schluss der EU auf dem Spiel. Der freie Da­ten­ver­kehr zwi­schen der Schweiz und der EU wäre dann nicht mehr ge­währ­leis­tet und Per­so­nen­da­ten aus der EU könn­ten nur unter zu­sätz­li­chen Schutz­ga­ran­ti­en in die Schweiz über­mit­telt wer­den. Dies wäre ein Wett­be­werbs­nach­teil für Schwei­zer Un­ter­neh­men. So könn­ten diese Un­ter­neh­men von Ge­schäfts­part­nern in der EU ver­mie­den und um­gan­gen und sol­che be­vor­zugt wer­den, die über ein an­ge­mes­se­nes Da­ten­schutz­ni­veau ver­fü­gen. Auch müs­sen sich in der Schweiz nie­der­ge­las­se­ne Un­ter­neh­men auf eine aus­rei­chen­de ge­setz­li­che Grund­la­ge ver­las­sen kön­nen. Fer­ner gilt es zu ver­mei­den, dass Schwei­zer Kon­su­men­ten sich aus­län­di­schen An­bie­tern zu­wen­den, weil dort ein hö­he­rer Schutz von per­so­nen­be­zo­ge­nen Daten be­steht. Dar­über hin­aus bringt die Ver­zö­ge­rung der Re­vi­si­on Rechts­un­si­cher­heit und zu­sätz­li­chen ad­mi­nis­tra­ti­ven Auf­wand mit sich, da Schwei­zer Un­ter­neh­men je nach Kon­stel­la­ti­on zwei un­ter­schied­li­che Re­gel­wer­ke be­ach­ten müs­sen – ei­ner­seits die DSGVO und an­de­rer­seits das nicht re­vi­dier­te Schwei­zer DSG.

Ad­mi­nis­tra­ti­ver Mehr­auf­wand und Sank­tio­nen

Klar ist, dass die neuen Re­gel­wer­ke einen un­ab­wend­ba­ren Ad­mi­nis­tra­tiv­auf­wand für Schwei­zer Un­ter­neh­men be­deu­ten. Die Un­ter­neh­men müs­sen neu weit­rei­chen­de Aus­kunfts­rech­te ge­wäh­ren. Die Pflich­ten für ver­ant­wort­li­che Da­ten­be­ar­bei­ter wer­den aus­ge­wei­tet. Na­ment­lich han­delt es sich dabei um er­wei­ter­te In­for­ma­ti­ons-, Do­ku­men­ta­ti­ons- und Mel­de­pflich­ten. Fer­ner kann es sich auf­drän­gen, ge­wis­se neue Funk­tio­nen in einem Un­ter­neh­men zu schaf­fen. Ein an­ge­mes­se­ner Um­gang mit Daten ist un­ab­ding­ba­re Vor­aus­set­zung für eine nach­hal­ti­ge Da­ten­wirt­schaft. Es ist je­doch sinn­voll, die An­wend­bar­keit der DGSVO für jeden ein­zel­nen Da­ten­be­ar­bei­tungs­vor­gang in einem Un­ter­neh­men ein­zeln zu prü­fen. Auch soll das Schwei­zer DSG nicht einen Swiss Fi­nish, das heisst Vor­ga­ben, die über die an sich schon stren­ge eu­ro­päi­sche Re­gu­lie­rung hin­aus­ge­hen, ent­hal­ten. In der DSGVO sind zwecks Durch­set­zung (ver­wal­tungs­recht­li­che) Mass­nah­men von Auf­sichts­be­hör­den vor­ge­se­hen, ins­be­son­de­re die An­dro­hung von Bus­sen bis zu vier Pro­zent des welt­weit er­ziel­ten Jah­res­sat­zes oder bis zu 20 Mil­lio­nen Euro. Im Ent­wurf zum Schwei­zer DSG fin­det sich ein straf­recht­li­ches Sank­ti­ons­sys­tem, wel­ches in sei­ner jet­zi­gen Form Bus­sen von bis zu 250 000 Fran­ken mit pri­mä­rer Aus­rich­tung auf Pri­vat­per­so­nen vor­sieht. Hier gilt es in­ner­halb des Re­vi­si­ons­vor­ha­bens die pri­mä­re Straf­bar­keit auf Un­ter­neh­men aus­zu­rich­ten. Auch wird sich in der Pra­xis zei­gen müs­sen, ob Schwei­zer Un­ter­neh­men und Pri­va­te bei Ver­stös­sen dop­pelt, also nach bei­den Re­gimes zur Ver­ant­wor­tung ge­zo­gen wer­den kön­nen. Nicht nur gilt es in­ner­halb der Re­vi­si­on zum Schwei­zer DSG einen Swiss Fi­nish zu ver­mei­den, son­dern es sol­len auch keine In­stru­men­te Ein­gang fin­den, die für die Auf­recht­er­hal­tung des An­ge­mes­sen­heits­ent­schlus­ses nicht not­wen­dig sind. Dies ist ins­be­son­de­re bei der so­ge­nann­ten Da­ten­por­ta­bi­li­tät der Fall.

Da­ten­por­ta­bi­li­tät macht im Schwei­zer DSG kei­nen Sinn

Die DSGVO sieht nebst Be­stim­mun­gen zum Da­ten­schutz auch eine Ver­pflich­tung zur Da­ten­por­ta­bi­li­tät vor. Diese Be­stim­mung wird ir­ri­ger­wei­se auch als «Recht auf Kopie» be­zeich­net. Eine Per­son, die sie be­tref­fen­de Daten bei­spiels­wei­se in einem so­zia­len Netz­werk be­reit­ge­stellt hat, kann diese Daten in einem struk­tu­rier­ten, gän­gi­gen und ma­schi­nen­les­ba­ren For­mat her­aus­ver­lan­gen. Ein sol­cher An­spruch wurde im ak­tu­el­len Ent­wurf zum Schwei­zer DSG zu Recht nicht vor­ge­se­hen. Mit­tels Ab­re­den und Ver­trä­gen zwi­schen dem Ver­ant­wort­li­chen und der be­trof­fe­nen Per­son kann eine viel bes­se­re Lö­sung er­zielt wer­den. Das Kon­zept einer ab­so­lu­ten Por­ta­bi­li­tät stösst schnell an Gren­zen. So ist die Por­tie­rung von so­ge­nann­ten «ab­ge­lei­te­ten Daten», die grös­se­ren Da­ten­ana­ly­sen ent­stam­men, pro­ble­ma­tisch wie auch der Um­gang mit ver­schlüs­sel­ten Daten. Auch dürf­te es schwie­rig sein, Daten zu por­tie­ren, die erst aus der Ver­bin­dung mit an­de­ren Per­so­nen ent­ste­hen, wie zum Bei­spiel ein «Like» auf Face­book. Es kann nicht zu­ge­ord­net wer­den, wem ein sol­ches ge­hört. Ge­ra­de diese her­ge­stell­ten Aus­sa­gen und Er­kennt­nis­se dürf­ten für die be­trof­fe­ne Per­son je­doch von In­ter­es­se sein. Fer­ner ist Da­ten­por­ta­bi­li­tät – an­ders als immer mal wie­der kol­por­tiert wird – nicht start-up-freund­lich. Ein Start-up re­agiert auf eine Ab­wan­de­rung von Daten weit­aus emp­find­li­cher als eine gros­se, eta­blier­te Platt­form.

Ei­gen­ver­ant­wor­tung im Vor­der­grund

Auch im Lich­te der neuen Re­gu­lie­run­gen in Eu­ro­pa und der Schweiz ist die Ei­gen­ver­ant­wor­tung des Ein­zel­nen zen­tral. Die «beste» Re­gu­lie­rung kann die be­trof­fe­ne Per­son nicht davon ab­hal­ten, ihre Daten leicht­fer­tig ins Netz ein­zu­ge­ben. Diese Pro­ble­ma­tik wird da­durch ver­stärkt, dass sich Kon­su­men­ten der Mög­lich­kei­ten der neuen Tech­no­lo­gi­en häu­fig nicht be­wusst sind. Hier gilt es nicht, alle Ent­wick­lun­gen durch Re­gu­lie­run­gen im Keim zu er­sti­cken, son­dern viel­mehr bei der Sen­si­bi­li­sie­rung des Ein­zel­nen an­zu­set­zen. Eine Flut an In­for­ma­tio­nen sei­tens der An­bie­ter wird den Ef­fekt der im­pli­zi­ten Kennt­nis­nah­me, ge­folgt von einem un­mit­tel­ba­ren «Weg­kli­cken», ver­stär­ken. Ziel­füh­rend wäre eine an­ge­mes­se­ne und für den Nut­zer ver­ständ­li­che In­for­ma­ti­on. Un­ter­neh­men tä­ti­gen re­gel­mäs­sig gros­se In­ves­ti­tio­nen in den Aus­bau des Da­ten­schut­zes, da die­ser für eine nach­hal­ti­ge Da­ten­wirt­schaft un­ab­ding­bar ist. Der Fokus muss hier auf Ver­trau­en und Dia­log zwi­schen Wirt­schaft und Ge­sell­schaft lie­gen, nicht auf einer staat­li­chen Über­re­gu­lie­rung. Ins­be­son­de­re auch im Hin­blick auf zu­künf­ti­ge dy­na­mi­sche Ent­wick­lun­gen, die von einer star­ren Ge­setz­ge­bung nicht er­fasst wer­den kön­nen.

 

Der Ar­ti­kel wurde in der it busi­ness ver­öf­fent­licht
Unternehmensrecht
Un­ter­neh­mens­recht
Zum Schwerpunkt