Neustart

Neustart für den Datenschutz in Europa und der Schweiz

Die EU-Datenschutzgrundverordnung (DSGVO) und das sich in Revision befindende Schweizer Datenschutzgesetz (DSG) bauen die Rechte natürlicher Personen bei der Kontrolle ihrer personenbezogenen Daten aus und führen so auch zu administrativem Mehraufwand für Unternehmen. Die Schweiz kann sich den internationalen Entwicklungen beim Datenschutz nicht verschliessen und tut daher gut daran, sich an der Regulierung ihrer wichtigsten Handelspartner zu orientieren. Dabei darf sie aber nicht zu weit gehen.

Warum ist eine angemessene Schweizer Datenschutzgesetzgebung so wichtig? Was bedeuten die neuen Regeln für Schweizer Unternehmen? Und wieso ist eine gänzliche Übernahme der europäischen Regeln zwecks Angemessenheit nicht notwendig? Neben der Beantwortung dieser Fragen wagt dieser Beitrag auch einen Blick in die Zukunft des Datenschutzes, welche von deutlich mehr Eigenverantwortung in dieser Thematik geprägt sein sollte als dies bisher der Fall war.

Der lange Arm der DSGVO

Seit dem 25. Mai 2018 entfaltet die DSGVO zwar nicht für alle, aber doch für zahlreiche Schweizer Unternehmen Wirkung. Ein Schweizer Unternehmen kann unter den Anwendungsbereich fallen, wenn es beabsichtigt, Geschäfte mit Konsumenten in der EU zu betreiben, deren Internetaktivitäten beobachtet oder diese aufzeichnet. Bei der ersten Kategorie können nicht nur Banken infrage kommen, die ihren EU-Kunden massgeschneiderte Produkte anbieten, sondern auch Schweizer Exporteure, Versandhändler und Betreiber von Onlineplattformen für Bestellungen oder Reisen. Auch als digitalisiertes KMU befindet man sich schneller im rechtlichen Anwendungsbereich der DSGVO, als es auf den ersten Blick den Anschein hat. So müssen auch KMU prüfen, ob die DSGVO auf sie anwendbar ist und falls nötig die entsprechenden Anpassungen vornehmen. Die aktuelle Revision der Schweizer Datenschutzregulierung (insbesondere das DSG) ist von der DSGVO sowie der Ratifizierung der Europarechtskonvention 108 durch die Schweiz, die wesentliche Prinzipien der DSGVO aufgreift, getrieben.

Angemessenes Schweizer Datenschutzgesetz ist zentral für Unternehmen

Die Schweiz ist heute aus Sicht der EU in Bezug auf den Datenschutz angemessen reguliert und sollte dies auch bleiben, da ansonsten die Interessen unserer Unternehmen gefährdet sind. Die Revision der Schweizer Datenschutzgesetzgebung ist entsprechend von grosser Bedeutung, entwickelt sich jedoch momentan zeitverzögert. Gemäss aktueller Einschätzung des Bundesrats steht damit der Angemessenheitsbeschluss der EU auf dem Spiel. Der freie Datenverkehr zwischen der Schweiz und der EU wäre dann nicht mehr gewährleistet und Personendaten aus der EU könnten nur unter zusätzlichen Schutzgarantien in die Schweiz übermittelt werden. Dies wäre ein Wettbewerbsnachteil für Schweizer Unternehmen. So könnten diese Unternehmen von Geschäftspartnern in der EU vermieden und umgangen und solche bevorzugt werden, die über ein angemessenes Datenschutzniveau verfügen. Auch müssen sich in der Schweiz niedergelassene Unternehmen auf eine ausreichende gesetzliche Grundlage verlassen können. Ferner gilt es zu vermeiden, dass Schweizer Konsumenten sich ausländischen Anbietern zuwenden, weil dort ein höherer Schutz von personenbezogenen Daten besteht. Darüber hinaus bringt die Verzögerung der Revision Rechtsunsicherheit und zusätzlichen administrativen Aufwand mit sich, da Schweizer Unternehmen je nach Konstellation zwei unterschiedliche Regelwerke beachten müssen – einerseits die DSGVO und andererseits das nicht revidierte Schweizer DSG.

Administrativer Mehraufwand und Sanktionen

Klar ist, dass die neuen Regelwerke einen unabwendbaren Administrativaufwand für Schweizer Unternehmen bedeuten. Die Unternehmen müssen neu weitreichende Auskunftsrechte gewähren. Die Pflichten für verantwortliche Datenbearbeiter werden ausgeweitet. Namentlich handelt es sich dabei um erweiterte Informations-, Dokumentations- und Meldepflichten. Ferner kann es sich aufdrängen, gewisse neue Funktionen in einem Unternehmen zu schaffen. Ein angemessener Umgang mit Daten ist unabdingbare Voraussetzung für eine nachhaltige Datenwirtschaft. Es ist jedoch sinnvoll, die Anwendbarkeit der DGSVO für jeden einzelnen Datenbearbeitungsvorgang in einem Unternehmen einzeln zu prüfen. Auch soll das Schweizer DSG nicht einen Swiss Finish, das heisst Vorgaben, die über die an sich schon strenge europäische Regulierung hinausgehen, enthalten. In der DSGVO sind zwecks Durchsetzung (verwaltungsrechtliche) Massnahmen von Aufsichtsbehörden vorgesehen, insbesondere die Androhung von Bussen bis zu vier Prozent des weltweit erzielten Jahressatzes oder bis zu 20 Millionen Euro. Im Entwurf zum Schweizer DSG findet sich ein strafrechtliches Sanktionssystem, welches in seiner jetzigen Form Bussen von bis zu 250 000 Franken mit primärer Ausrichtung auf Privatpersonen vorsieht. Hier gilt es innerhalb des Revisionsvorhabens die primäre Strafbarkeit auf Unternehmen auszurichten. Auch wird sich in der Praxis zeigen müssen, ob Schweizer Unternehmen und Private bei Verstössen doppelt, also nach beiden Regimes zur Verantwortung gezogen werden können. Nicht nur gilt es innerhalb der Revision zum Schweizer DSG einen Swiss Finish zu vermeiden, sondern es sollen auch keine Instrumente Eingang finden, die für die Aufrechterhaltung des Angemessenheitsentschlusses nicht notwendig sind. Dies ist insbesondere bei der sogenannten Datenportabilität der Fall.

Datenportabilität macht im Schweizer DSG keinen Sinn

Die DSGVO sieht nebst Bestimmungen zum Datenschutz auch eine Verpflichtung zur Datenportabilität vor. Diese Bestimmung wird irrigerweise auch als «Recht auf Kopie» bezeichnet. Eine Person, die sie betreffende Daten beispielsweise in einem sozialen Netzwerk bereitgestellt hat, kann diese Daten in einem strukturierten, gängigen und maschinenlesbaren Format herausverlangen. Ein solcher Anspruch wurde im aktuellen Entwurf zum Schweizer DSG zu Recht nicht vorgesehen. Mittels Abreden und Verträgen zwischen dem Verantwortlichen und der betroffenen Person kann eine viel bessere Lösung erzielt werden. Das Konzept einer absoluten Portabilität stösst schnell an Grenzen. So ist die Portierung von sogenannten «abgeleiteten Daten», die grösseren Datenanalysen entstammen, problematisch wie auch der Umgang mit verschlüsselten Daten. Auch dürfte es schwierig sein, Daten zu portieren, die erst aus der Verbindung mit anderen Personen entstehen, wie zum Beispiel ein «Like» auf Facebook. Es kann nicht zugeordnet werden, wem ein solches gehört. Gerade diese hergestellten Aussagen und Erkenntnisse dürften für die betroffene Person jedoch von Interesse sein. Ferner ist Datenportabilität – anders als immer mal wieder kolportiert wird – nicht start-up-freundlich. Ein Start-up reagiert auf eine Abwanderung von Daten weitaus empfindlicher als eine grosse, etablierte Plattform.

Eigenverantwortung im Vordergrund

Auch im Lichte der neuen Regulierungen in Europa und der Schweiz ist die Eigenverantwortung des Einzelnen zentral. Die «beste» Regulierung kann die betroffene Person nicht davon abhalten, ihre Daten leichtfertig ins Netz einzugeben. Diese Problematik wird dadurch verstärkt, dass sich Konsumenten der Möglichkeiten der neuen Technologien häufig nicht bewusst sind. Hier gilt es nicht, alle Entwicklungen durch Regulierungen im Keim zu ersticken, sondern vielmehr bei der Sensibilisierung des Einzelnen anzusetzen. Eine Flut an Informationen seitens der Anbieter wird den Effekt der impliziten Kenntnisnahme, gefolgt von einem unmittelbaren «Wegklicken», verstärken. Zielführend wäre eine angemessene und für den Nutzer verständliche Information. Unternehmen tätigen regelmässig grosse Investitionen in den Ausbau des Datenschutzes, da dieser für eine nachhaltige Datenwirtschaft unabdingbar ist. Der Fokus muss hier auf Vertrauen und Dialog zwischen Wirtschaft und Gesellschaft liegen, nicht auf einer staatlichen Überregulierung. Insbesondere auch im Hinblick auf zukünftige dynamische Entwicklungen, die von einer starren Gesetzgebung nicht erfasst werden können.

 

Der Artikel wurde in der it business veröffentlicht