Work in Progress 16.04.2018, 11:00 Uhr

Die Schweiz lässt sich Zeit mit dem Datenschutz

Am 25. Mai tritt die Datenschutz-Grundverordnung der EU in Kraft. Von da an drohen bei Verstössen drakonische Sanktionen. Auch die Schweiz überarbeitet ihr Datenschutzgesetz. Bis es vorliegt, könnte es aber noch eine Weile dauern.
(Quelle: © 2008 Béatrice Devènes / Pixsil)
Datenschutz – es ist wohl eines der meistbenutzten Wörter der vergangenen Monate. Je näher der Stichtag zum Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union kommt, desto mehr rückt das Thema in den Fokus. Denn das verschärfte Datenschutzgesetz der EU tangiert nicht nur europäische Unternehmen, sondern auch viele in der Schweiz. Massgeblich tragen zum Wirbel um die DSGVO auch die drakonischen Bussgelder bei, die bei Verstössen aus­gesprochen werden können – bis zu 4 Prozent des Jahresumsatzes oder bis zu 20 Millionen Euro sind es im Extremfall.
Trotz der Omnipräsenz der Thematik brachten die Ergebnisse der Computerworld-Swiss-IT-Studie Erstaunliches zutage: Noch mehr als jeder fünfte befragte IT-Entscheider ist der Ansicht, dass die DSGVO für seine Firma aktuell nicht von Bedeutung ist (siehe Grafik). Bei den Managern sind etwas weniger dieser Meinung. Auffallend ist zudem, dass sowohl beim Management als auch bei den CIOs der Anteil jener überwiegt, die das Thema entweder beobachten oder links liegen lassen. Die Dringlichkeit der DSGVO scheint demnach noch nicht überall angekommen zu sein.

Die Schweiz revidiert 

Auch die Schweiz arbeitet aktuell an einer Revision ihres Datenschutzgesetzes. Denn das aktuelle ist mehr als 20-jährig und wurde seither nur stellenweise an neue Gesetzmässigkeiten angepasst. 2011 beauftragte der Bundesrat das Eidgenössische Justiz- und Polizeidepartement damit, Massnahmen zur Stärkung des Datenschutzes zu prüfen und bis Ende 2014 Vorschläge zum weiteren Vorgehen zu unterbreiten. Ende 2016 schickte der Bundesrat einen Vorentwurf in die Vernehmlassung, letzten Herbst folgte die Botschaft und der Entwurf zur Totalrevision des Schweizer Datenschutzgesetzes. Entgegen den Befürchtungen der Wirtschaft sah der Bundesrat von einem sogenannten Swiss-Finish ab, das Schweizer Gesetz soll also nicht weiter gehen als das europäische. 
Der Ball liegt nun bei der Staatspolitischen Kommission des Nationalrates. Diese entschied sich im Januar dazu, die Totalrevision in zwei Teilschritten anzugehen. Wie die Kommission damals mitteilte, erlaubt das Aufteilen der Vorlage, die aufgrund der Schengen-Verträge innerhalb einer bestimmten Frist notwendige Umsetzung von EU-Recht im Bereich der Strafverfolgung vorab zu beraten. Im Anschluss könne danach die Totalrevision des Datenschutzgesetzes ohne Zeitdruck angegangen werden. So könne die Kommission der grossen Komplexität der Thematik gerecht werden. 

Kontroverses Vorgehen 

An dem Entscheid der Kommission scheiden sich die Geister. Der Rechtsanwalt Simon Schlauri bezeichnet diesen als «einen Fehler». «Ich halte das Vorgehen insofern für problematisch, als die EU-Kommission nach Inkrafttreten des neuen, strengeren EU-Datenschutzrechts Ende Mai feststellen könnte, dass die Äquivalenz des Schweizer mit dem EU-Datenschutzrecht nicht mehr gewährt ist.» Dabei handelt es sich gemäss Schlauri bis zu einem gewissen Grad um eine politische Entscheidung. «Allerdings sehe ich nicht ein, warum man auf solche ‹künstliche› Verzögerungsmanöver des Schweizer Gesetzgebers eingehen sollte, zumal das neue EU-Recht sehr viel strikter ist als das noch geltende alte Schweizer Recht.» 
Die Verzögerung beim Schweizer Datenschutzgesetz bringt laut Schlauri gleich drei Probleme mit sich. Erstens müssten die meisten Schweizer Unternehmen, die Daten im Auftrag von EU-Unternehmen bearbeiten, ihre Verträge mit EU-Anbietern nachverhandeln. Zweitens wäre es für EU-Unternehmen umgekehrt künftig einfacher, Verträge mit EU-Unternehmen abzuschliessen als mit solchen aus der Schweiz. Die Konsequenz davon seien mögliche Umsatzverluste. Drittens trüge die Schweiz künftig das Label eines Landes mit schwachem Datenschutz. «Viele Unternehmen der Schweizer ICT-Branche profitieren aber heute gerade vom Vertrauen in die Zuverlässigkeit unserer Wirtschaft, in unseren Datenschutz und unsere Datensicherheit. Ein Verlust der Äquivalenz könnte sehr schädlich für dieses Vertrauen sein.» Auch bezweifle er, dass sich ein solcher Vertrauensverlust später mit einem neuen Gesetz einfach wieder beheben liesse. 

«Keine Hexerei» 

Franz Grüter, SVP-Nationalrat und Vize-Präsident von ICTswitzerland, sieht das nicht ganz so eng: «Aus Sicht der ICT-Branche, aber auch der ganzen Wirtschaft, wäre eine zügige Beratung des Datenschutzgesetzes in einem Stück wünschenswert gewesen.» Weil die meisten Schweizer Unternehmen von der DSGVO betroffen seien, müssten sich diese – solange die Revision des DSG nicht abgeschlossen ist – eben an zwei Regelwerken orientieren. «Das ist etwas mühsam, aber keine Hexerei», sagt Grüter. Das Wichtigste für die Schweizer Wirtschaft sei im Grunde die Rechtssicherheit. «Diese kann nur geschaffen werden, wenn Schweizer Unternehmen baldmöglichst eine aktuelle nationale Datenschutzgesetzgebung erhalten, die unter optimaler Nutzung unserer nationalen Stärken die wichtigsten Eckwerte der DSGVO übernimmt.» 
Die Vorlage, wie sie nun in der Kommission beraten wird, erachtet Grüter als «sinnvoll». Denn sie richte sich nach dem Grundsatz «so viel wie nötig». Trotz der grossen Bedeutung der Vorlage fordert er «etwas mehr Augenmass und weniger Bürokratie als die EU». Froh sei er darüber, dass dem Gesetzesentwurf in der Vernehmlassung noch «Zähne gezogen werden konnten» – etwa im Bereich der Bussgelder. Im Vergleich zu den Strafen der EU-DSGVO sieht der Schweizer Entwurf bei den Bussgeldern eine Obergrenze von 250'000 Franken vor. «Unser Ziel muss sein, den Marktzugang zum EU-Raum zu sichern und gleichzeitig die Attraktivität des Wirtschaftsstandorts Schweiz zu erhalten und somit keinen unnötigen Administrationsaufwand zu schaffen.» Weiter sagt Grüter: «So wie die aktuelle Vorlage aussieht, sind wir meines Erachtens auf einem guten Weg, auch wenn es gilt, dies noch weiter zu optimieren.» 

Anerkennung fraglich 

Im Gegensatz zu Grüter hält Schlauri den aktuellen Gesetzesentwurf für ungenügend. Wie er erklärt, weichen die Sanktionsnormen erheblich vom EU-Recht ab. Und zwar nicht nur in der Höhe der Sanktionen, sondern auch in Bezug auf die Frage, was überhaupt strafbar ist. Eine Reihe der in der EU sanktionierten Handlungen sollen in der Schweiz nämlich straflos bleiben – etwa das Verschweigen von Datenlecks vor den Behörden. «Die Schweizer Norm bleibt damit wohl toter Buchstabe. Ich sehe nicht, warum die EU-Kommission solches für äquivalent halten sollte.» Hinzu komme, dass sich viele Schweizer Firmen ohnehin nach EU-Recht ausrichten müssten, weil sie Kunden mit Wohnsitz in der EU haben. «Es lohnt sich für diese Unternehmen kaum, für Schweizer und EU-Einwohner unterschiedliche Standards zu fahren. Von daher bringt eine Verwässerung des Schweizer Rechts auch für Unternehmen wenig.» 
Beat Rudin, Präsident der Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) und Datenschützer des Kantons Basel-Stadt, schätzt die Lage ähnlich ein. Es sei alles andere als sicher, dass die EU-Kommission die Angemessenheit der schweizerischen Regelung anerkennen würde. Nebst den entschärften Sanktionsregelungen fehlen gemäss Rudin im Entwurf das Recht auf Datenportabilität, die Pflicht zum Nachweis der Datenschutzkonformität sowie das «Recht auf Vergessenwerden». 

Vorschlag: zwei separate Gesetze 

Wie es nun mit der Totalrevision des Schweizer Datenschutzgesetzes weitergehen soll, dazu hat Privatim einen konkreten Vorschlag in petto. Denn Zeitdruck besteht gemäss der Konferenz der schweizerischen Datenschutzbeauftragen primär bei der Umsetzung der Schengen-relevanten Richtlinie. Die Regeln dieser Richtlinie betreffen die Bundesorgane und sollten bis zum 1. August 2018 umgesetzt sein. «Die diesbezüglichen Vorschläge des Bundesrates sind auch kaum umstritten», erklärt Rudin.
“Am besten wäre eine Trennung der beiden Gesetze und eine rasche Umsetzung für die Bundesorgane„
Beat Rudin, Präsident der Konferenz der schweizerischen Datenschutzbeauftragten (Bild: bs.ch/Juri Weiss)
Weniger Zeitdruck bestehe danach für die Umsetzung der DSGVO, da die EU-Kommission über die Angemessenheit der Datenschutzregelungen von Drittstaaten wie der Schweiz nicht gleich nach dem Inkrafttreten neu entscheiden werde. «Am besten wäre eine Trennung der beiden Gesetze und eine rasche Umsetzung für die Bundesorgane.» Für die Privaten solle danach in Zusammenarbeit mit den Wirtschaftsverbänden und Konsumentenorganisationen in Ruhe geprüft werden, wie im schweizerischen Recht souverän ein angemessenes Datenschutzniveau geschaffen werden könne. «Die DSGVO verlangt nicht, dass die Regeln und Instrumente eins zu eins übernommen werden – vielmehr muss mit den konkret gewählten Regeln und Instrumenten eine angemessene Datenschutzwirkung erreicht werden», sagt Rudin.

Kommission übergibt dem Nationalrat

Am 12. und 13. April tagte die Staatspolitische Kommission des Nationalrates nun erneut. Dabei stimmte sie einerseits über die notwendigen Anpassungen an die Anforderungen des EU-Rechts bei der Schengen-relevanten Richtline 2016/680 im Bereich des Strafrechts ab. Sie blieb in der Kommission weitgehend unumstritten, die Vorlage wurde bei der Gesamtabstimmung mit 18 zu 0 Stimmen bei 4 Enthaltungen angenommen, wie die Staatspolitische Kommission in einer Mitteilung schreibt. Nun möchte diese laut eigenen Angaben umgehend die zweite Etappe der Revision in Angriff nehmen, welche die Totalrevision des Datenschutzgesetzes umfasst und auf alle Datenbearbeitungen durch private Datenbearbeiter und Bundesorgane Anwendung findet. Sie werde dazu an einer ihrer nächsten Sitzungen zusätzliche Anhörungen durchführen. Im Nationalrat wird die Anpassung der Schengen-relevanten Richtlinie in der kommenden Sommersession thematisiert. Dabei solle dieser grundsätzlich entscheiden, ob er der vorgesehenen Teilung der Totalrevision zustimme. Eine Minderheit der Kommission stellte an der Tagung zudem den Antrag an den Nationalrat, die gesamte Vorlage an die Kommission zurückzuweisen mit dem Auftrag, die Revision des Datenschutzrechts in einem Stück zu beraten. Dieser Vorschlag wurde jedoch mit 17 zu 6 Stimmen bei einer Enthaltung abgelehnt, wie es in der Mitteilung abschliessend heisst.



Das könnte Sie auch interessieren