«Der Gesetzgeber hat mehr Bürokratie geschaffen»

Vor gut einem Jahr wurde das neue Datenschutz­gesetz (DSG) nach langwierigen Geburtswehen vom Parlament verabschiedet. Damit ist zumindest der rechtliche Rahmen für die künftige Handhabung des Datenschutzes in der Schweiz abgesteckt. Allerdings wird noch munter an den zugehörigen Verordnungen gebastelt, sodass mittlerweile damit gerechnet wird, dass das total revidierte DSG erst 2023 in Kraft treten kann.

Was da auf Schweizer Firmen zukommt und inwiefern sich das helvetische Recht von der europäischen Gesetz­gebung in Form der Datenschutz-Grundverordnung (DSGVO) unterscheidet, beantwortet David Rosenthal, Experte für Daten- und Technologierecht sowie Partner der Anwaltskanzlei Vischer, im Gespräch mit Computerworld.

David Rosenthal: Natürlich gab es im Vorfeld der Revision des DSG Stimmen, die forderten, die DSGVO eins zu eins zu kopieren. Ich persönlich bin aber froh, dass dies nicht passiert ist. Es ist nämlich aus meiner Sicht vorteilhaft, dass die Schweiz bei solchen Vorgängen langsamer agiert und – undiplomatisch ausgedrückt – nicht einfach jeden Unsinn übernimmt. Denn tatsächlich gibt es in der DSGVO ein paar Regelungen, die in dieser Form nicht sinnvoll sind. Sie entsprechen nicht der schweizerischen Tradition, wie bei uns Gesetze gemacht werden. Die DSGVO ist nämlich viel komplizierter formuliert und viel formalistischer. Sie ist darüber hinaus viel mehr regelbasiert, während wir in der Schweiz viel mehr mit Prinzipien arbeiten. Deshalb sind bei uns nicht nur im Datenschutzbereich Gesetze wesentlich kürzer. Schliesslich sind wir in der Schweiz pragmatischer und es wurde sehr darauf geachtet, dass wir hierzulande möglichst nicht über die DSGVO hinausgehen. Leider ist das nicht in allen Bereichen gelungen, denn es finden sich leider auch «Swiss Finishes» im Gesetz, die weitergehen als die Regelungen der DSGVO. Allerdings wurde in der überwiegenden Mehrheit der Bereiche die europäische Ver­ordnung nicht genau nach Strich und Komma umgesetzt. Damit macht man das Leben all jener Firmen in der Schweiz etwas einfacher, die nicht unter der DSGVO stehen. Das dürfte die Mehrheit der Unternehmen sein.

Rosenthal: Hier gibt es zwei Aspekte. Wenn man sich die Frage stellt, welche Verarbeitungen von persönlichen Daten ich als Unternehmen vornehmen darf und welche nicht, so hat sich nicht wirklich viel geändert. Das, was bislang verboten ist, bleibt auch im revidierten Gesetz verboten. Die Grundsätze in Bezug auf den Datenschutz sind somit gleich geblieben. Das war übrigens auch bei der DSGVO gegenüber den alten europäischen Datenschutzbestimmungen so.

Was sich allerdings verändert hat – mit grossen Aus­wirkungen auf die Praxis übrigens –, ist das ganze Regelwerk drumherum, mit dem den Grundprinzipien Rechnung getragen wird. Das hat zweierlei Konsequenzen. Einerseits kann befürwortend argumentiert werden, dadurch werde die Datenschutz-Governance gestärkt. Sinn und Zweck vieler Regelungen ist es, dass Unternehmen auf dem Weg einer Datenverarbeitung einen Zwischenhalt machen und sich vergewissern müssen, ob das, was sie vorhaben, den Zielen des Datenschutzes genügt. Das ist meines Erachtens ein positiver Effekt. Denn in der Praxis habe ich oft be­obachten können, dass beispielsweise eine vernünftige Dokumentationspflicht dazu führt, dass ein Unternehmen punkto Datenschutz sensibilisiert wird.

Auf der anderen Seite muss natürlich auch eingewendet werden, dass der Gesetzgeber mehr Bürokratie geschaffen hat. Denn es gibt jetzt Melde- und Dokumentationspflichten, die es vorher so nicht gegeben hat. Das führt oft dazu, dass Firmen sich nun mehr mit der Form als mit der Substanz beschäftigen.