Vor gut einem Jahr wurde das neue Datenschutz­gesetz (DSG) nach langwierigen Geburtswehen vom Parlament verabschiedet. Damit ist zumindest der rechtliche Rahmen für die künftige Handhabung des Datenschutzes in der Schweiz abgesteckt. Allerdings wird noch munter an den zugehörigen Verordnungen gebastelt, sodass mittlerweile damit gerechnet wird, dass das total revidierte DSG erst 2023 in Kraft treten kann.

Was da auf Schweizer Firmen zukommt und inwiefern sich das helvetische Recht von der europäischen Gesetz­gebung in Form der Datenschutz-Grundverordnung (DSGVO) unterscheidet, beantwortet David Rosenthal, Experte für Daten- und Technologierecht sowie Partner der Anwaltskanzlei Vischer, im Gespräch mit Computerworld.

David Rosenthal: Natürlich gab es im Vorfeld der Revision des DSG Stimmen, die forderten, die DSGVO eins zu eins zu kopieren. Ich persönlich bin aber froh, dass dies nicht passiert ist. Es ist nämlich aus meiner Sicht vorteilhaft, dass die Schweiz bei solchen Vorgängen langsamer agiert und – undiplomatisch ausgedrückt – nicht einfach jeden Unsinn übernimmt. Denn tatsächlich gibt es in der DSGVO ein paar Regelungen, die in dieser Form nicht sinnvoll sind. Sie entsprechen nicht der schweizerischen Tradition, wie bei uns Gesetze gemacht werden. Die DSGVO ist nämlich viel komplizierter formuliert und viel formalistischer. Sie ist darüber hinaus viel mehr regelbasiert, während wir in der Schweiz viel mehr mit Prinzipien arbeiten. Deshalb sind bei uns nicht nur im Datenschutzbereich Gesetze wesentlich kürzer. Schliesslich sind wir in der Schweiz pragmatischer und es wurde sehr darauf geachtet, dass wir hierzulande möglichst nicht über die DSGVO hinausgehen. Leider ist das nicht in allen Bereichen gelungen, denn es finden sich leider auch «Swiss Finishes» im Gesetz, die weitergehen als die Regelungen der DSGVO. Allerdings wurde in der überwiegenden Mehrheit der Bereiche die europäische Ver­ordnung nicht genau nach Strich und Komma umgesetzt. Damit macht man das Leben all jener Firmen in der Schweiz etwas einfacher, die nicht unter der DSGVO stehen. Das dürfte die Mehrheit der Unternehmen sein.

Rosenthal: Hier gibt es zwei Aspekte. Wenn man sich die Frage stellt, welche Verarbeitungen von persönlichen Daten ich als Unternehmen vornehmen darf und welche nicht, so hat sich nicht wirklich viel geändert. Das, was bislang verboten ist, bleibt auch im revidierten Gesetz verboten. Die Grundsätze in Bezug auf den Datenschutz sind somit gleich geblieben. Das war übrigens auch bei der DSGVO gegenüber den alten europäischen Datenschutzbestimmungen so.

Was sich allerdings verändert hat – mit grossen Aus­wirkungen auf die Praxis übrigens –, ist das ganze Regelwerk drumherum, mit dem den Grundprinzipien Rechnung getragen wird. Das hat zweierlei Konsequenzen. Einerseits kann befürwortend argumentiert werden, dadurch werde die Datenschutz-Governance gestärkt. Sinn und Zweck vieler Regelungen ist es, dass Unternehmen auf dem Weg einer Datenverarbeitung einen Zwischenhalt machen und sich vergewissern müssen, ob das, was sie vorhaben, den Zielen des Datenschutzes genügt. Das ist meines Erachtens ein positiver Effekt. Denn in der Praxis habe ich oft be­obachten können, dass beispielsweise eine vernünftige Dokumentationspflicht dazu führt, dass ein Unternehmen punkto Datenschutz sensibilisiert wird.

Auf der anderen Seite muss natürlich auch eingewendet werden, dass der Gesetzgeber mehr Bürokratie geschaffen hat. Denn es gibt jetzt Melde- und Dokumentationspflichten, die es vorher so nicht gegeben hat. Das führt oft dazu, dass Firmen sich nun mehr mit der Form als mit der Substanz beschäftigen.

Rosenthal: Generell lässt sich feststellen, dass das DSG weniger formalistisch ist als die DSGVO. Hierzu zählt auch, dass viele Bestimmungen der DSGVO nach dem Giesskannenprinzip funktionieren. Von der Bäckerei bis zum Techkonzern werden oft alle Unternehmen über den selben Leisten geschlagen. Daneben fallen inhaltlich sehr weit­gehende Regelungen im Governance-Bereich ebenfalls unter diesen Punkt. Ich denke da etwa an die Informationspflicht: Die DSGVO verlangt oft viel ausführlichere Datenschutzerklärungen, als nötig und sinnvoll ist.

Dann gibt es einen konzeptionellen Unterschied: In der Schweiz haben wir mit dem DSG eine sogenannte Missbrauchsgesetzgebung. Das heisst, es muss nur derjenige eine Rechtfertigung vorweisen, der Daten anders als vorgesehen bearbeiten will. Erst dann schreitet das Gesetz ein. Ganz anders unter der DSGVO: Hier muss jeder immer von vornherein begründen können, warum er überhaupt persönliche Daten verarbeitet. Dieser konzeptionelle Unterschied führt dazu, dass jede Aktivität unter der DSGVO komplizierter und aufwendiger ist als unter dem Schweizer DSG. Hierzulande kennen wir etwa die epischen Diskussionen um Einwilligungen und andere Rechtsgrundlagen so nicht.

Der dritte rechtliche Unterschied sind die Dokumentationspflichten. Unter der DSGVO muss jeder beweisen, dass er sie einhält. In der Schweiz ist dies nicht so. Leider wurde das bei der Ausarbeitung des Entwurfs der Verordnung zum DSG missachtet: Dort wird versucht, entgegen dem DSG weitere Dokumentationspflichten einzuführen.

In der Praxis gibt es schliesslich einen weiteren wichtigen Unterschied, und zwar wie das Datenschutzrecht durchgesetzt wird. In der EU gehen manche Behörden sehr viel extremer vor. Einige von ihnen verhängen sehr gerne Bus­sen in einer Höhe, die in keinem Verhältnis zur angeblichen Unregelmässigkeit stehen. Der Chef einer solchen Behörde gab dies sogar offen zu und rechtfertigte dies damit, dass die Bussen nach dem Konzept der DSGVO eben «aufzehrend» sein sollten, wie er es formulierte. Diese Situation kennen wir in der Schweiz nicht; es entspricht schlicht nicht unserer Tradition. Hier schreitet die Datenschutzbehörde zwar auch ein, aber solche extremen und häufigen Bussen kennen wir nicht. Auch in der Auslegung des Rechts gehen manche der EU-Datenschützer sehr fundamentalistisch vor, verfechten extreme und praxisferne Auslegungen. Da werden zum Beispiel für Datenschutzerklärungen, die nicht ganz so formuliert sind, wie sich die Behörden das vorstellen, mehrstellige Millionenbussen verhängt. Glücklicherweise korrigieren die Gerichte diese Auswüchse immer wieder. Solche Bussen haben nämlich mit den Kernanliegen des Datenschutzes nichts mehr zu tun.

Rosenthal: Durchaus. In der Schweiz haben wir meiner Meinung nach ein wesentlich «vernünftigeres» Recht. Das gilt übrigens nicht nur für das Datenschutzgesetz, sondern auch für andere Bereiche wie beispielsweise das Arbeitsrecht. Indem den Unternehmen das Leben nicht unnötig erschwert wird, fallen für diese weniger Kosten an. Trotzdem haben wir Rechtssicherheit. Das ist klar ein Standortvorteil. Interessanterweise beginnt Grossbritannien, das noch als EU-Mitglied die DSGVO übernommen hat, jetzt nach dem Brexit damit, die Verordnung zu entrümpeln.

Ausgemistet werden sollen insbesondere jene Regelungen, die unnötige Kosten verursachen oder der Innovation im Datenbereich im Weg stehen. So soll etwa die Pflicht zum Verzeichnis über die Bearbeitungsaktivitäten wieder ab­geschafft werden. Die Briten haben also erkannt, dass es im Datenschutz mehr um die Essenz als um formale An­forderungen gehen sollte. Genau diese Haltung nahm die Schweiz schon immer ein.

Rosenthal: Zunächst einmal sollte jedem bewusst sein, dass es niemanden gibt, der das Datenschutzgesetz vollständig einhält oder einhalten kann. Wenn also ein Berater einem Unternehmen verspricht, dass er dieses vollständig Datenschutzrecht-compliant machen werde, so ist das unseriös. Der Weg ist das Ziel. Abgesehen davon also: Wenn ein Unternehmen die Vorgaben der DSGVO einigermassen vernünftig umgesetzt hat, kann es zu 97 Prozent davon ausgehen, dass es auch dem neuen DSG genügt. Es gibt allerdings bestimmte Bereiche, in denen die Schweiz über die Regelungen der DSGVO hinausgeht. So müssen in der Datenschutzerklärung bestimmte Punkte anders formuliert werden. Aber grundsätzlich ist eine Firma, die sich schon jetzt an die DSGVO hält, «DSG-ready».

Rosenthal: Hier schlagen zwei Herzen in meiner Juristenbrust. Einerseits hätte ich es für sachgerechter gehalten, wenn in der Schweiz wie auch in der EU die Unternehmen für ihr Fehlverhalten in Sachen Datenschutz selbst zur Rechenschaft gezogen werden würden. Andererseits verstehe ich, dass der Gesetzgeber sich für Bussen für natürliche Personen entschieden hat, weil in der Schweiz noch die verfahrensrechtlichen Grundlagen für Bussen gegen Unternehmen fehlen. Allerdings sollten Mitarbeiter, denen mal ein Fehler unterläuft, nicht zittern müssen: Bussen sieht das Datenschutzrecht nur für vorsätzliche Verstösse vor. Ausserdem sind im Gegensatz zur DSGVO im neuen DSG nur wenige Tatbestände bussenbewehrt.

Rosenthal: Für die Maximalstrafe müssen schon sehr grobe Verletzungen vorliegen. Ich kann mir kaum vorstellen, dass jemand in den nächsten zehn Jahren je mit auch nur annähernd 250 000 Franken gebüsst werden wird. Auch bei anderen, vergleichbaren Gesetzen wird der Spielraum nicht genutzt. Es ist auch symptomatisch, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte EDÖB selbst gar keine Bussen verteilen wollte; das Gesetz überlässt dies nun den Kantonen. Um aber auf Ihre Frage zurückzukommen: Für eine hohe Busse müsste jemand schon gehörige kriminelle Energie entwickeln, etwa indem er geradezu ein Geschäftsmodell entwickelt, bei dem er mithilfe ausgefeilter Betrugsmethoden in den Besitz hoch­sensibler Gesundheitsdaten gelangt und diese dann auf dem Schwarzmarkt verkauft. Wenn aber jemand in der Datenschutzerklärung den einen oder anderen Punkt auf­zuführen vergisst, dürften die Bussen – wenn sie überhaupt ausgesprochen werden – unter 10 000 Franken bleiben. Hinzu kommt, dass eine solche Unterlassung sowieso meist nicht vorsätzlich ist.

Allerdings schmerzt auch dieser Betrag und dürfte dazu führen, dass viele Angestellte sich bemühen werden, den Datenschutz ernst zu nehmen oder die Verantwortung intern weiterzureichen. Bussen können also durchaus dafür sorgen, dass der Datenschutz ernst genommen wird. Allerdings geht häufig vergessen, dass für manche Unternehmen der Reputationsschaden und Bereinigungs­aufwand aufgrund eines Datenschutzskandals viel mehr kostet als eine Busse von einigen Tausend Franken. In diesen Fällen – und die werden immer häufiger – bringen Bus­sen wenig und wären eigentlich nicht nötig.

Rosenthal: Die Regelung im alten DSG ist im Grunde genommen dieselbe wie im neuen, allerdings war die Höhe der Busse auf 10 000 Franken beschränkt und es gab nur halb so viele Bussentatbestände. Und selbst hier sind Bus­sen seit Inkrafttreten des Gesetzes im Jahr 1993 nur einige wenige Male verhängt worden.

«Für eine hohe Busse müsste jemand schon gehörige kriminelle Energie entwickeln», meint David Rosen­thal

Quelle: Jens Stark/Computerworld

Rosenthal: Das ist tatsächlich eine Neuerung, weil die Meldepflicht nun für alle Firmen gilt und nicht wie bis anhin nur für regulierte Unternehmen, die der FINMA unterstellt sind. Im Prinzip gibt es hier zwei Arten von Meldungen.

Zum einen muss die Datenschutzbehörde informiert werden, damit diese prüfen kann, ob alles unternommen worden ist, um die von einem Data Breach betroffenen Personen zu schützen. Allerdings besteht diese Meldepflicht an den EDÖB nur, wenn ein hohes Risiko für die betroffenen Personen besteht. Wenn beispielsweise Daten nur für kurze Zeit im Netz zugänglich waren, aber davon ausgegangen werden kann, dass niemand diese zu Gesicht bekam, muss keine Meldung erstattet werden. Oder wenn ich einer vertrauenswürdigen Person fälschlicherweise eine E-Mail schicke, die nicht für sie gedacht war und ich davon ausgehen kann, dass sie die Nachricht nicht weiterverbreitet, ist ebenfalls keine Meldung nötig. Wenn aber ein Mailing im grossen Stil fehlgeleitet wird, so wie vor einigen Jahren eine Bank Hunderte von Kontoauszügen von Kunden verwechselt hatte und an die falschen Personen verschickte, dann muss dies gemeldet werden.

Zum anderen betrifft es die Information der Betroffenen des Data Breaches selbst. Wenn einem Unternehmen also Passwörter seiner Kunden gestohlen werden, muss es die Kunden anschreiben und diese bitten, ihre Passwörter zu ändern. Mit dieser Benachrichtungspflicht sollen also betroffene Personen geschützt werden.

Rosenthal: Das kann sehr wohl sein. Hier stellt sich die Frage: Hat der Kunde dem Webshop-Besitzer seine persönlichen Daten anvertraut in der Meinung, dass dieser diese vertraulich behandelt? Denken Sie etwa an einen Online-Händler für Erwachsenen-Spielzeug. Wenn dieser dann auch noch auf seiner Seite eine «diskrete Zustellung» der Ware verspricht, wäre die Weitergabe der Daten des Kunden ein Vertrauensbruch – und es drohen entsprechende Sanktionen. Umgekehrt kann eine Webseite sehr wohl persönliche Daten teilen, wenn sie diese Praxis in der Datenschutzerklärung auflistet und diese nicht so ungewöhnlich ist, dass der Kunde nicht damit rechnen konnte. Das führt uns immer zum selben Punkt: Was ist die Erwartung der­jenigen, die einer anderen Person im Rahmen deren Berufstätigkeit Personendaten anvertrauen? Selbstverständlich gilt die Schweigepflicht nur, wenn diese anvertrauten Daten auch ein Geheimnis sind, also nicht einer unbeschränkten Zahl von Personen zugänglich und der Betroffene will, dass das so bleibt.

Rosenthal: Ein gutes Beispiel ist der IT-Supporter, dem ich als Angestellter mein Passwort anvertraue, weil er eine Firmen-App auf meinem Handy einrichten muss. Hier gehe ich nicht davon aus, dass dieser diese Information und das, was er dabei sieht, weitergibt oder dies dazu missbraucht, um kompromittierende Mails von mir zu veröffentlichen. In diesen Fällen würde der IT-Supporter das Vertrauens­verhältnis missbrauchen und könnte persönlich zur Rechen­schaft gezogen werden. Der Gesetzgeber wollte also das, was schon für Anwälte, Ärzte und gewisse andere Berufsgruppen gilt, in einer etwas weniger strengen Form für alle Berufstätigen einführen. Im Grunde wird also der Bruch des für einen Job nötigen Vertrauensverhältnisses strafbar.

Rosenthal: Die jetzige Version der Verordnung ist meiner Meinung nach überhaupt nicht gelungen. Sie strotzt vor sachlichen Fehlern und weist etliche Bestimmungen auf, die keine gesetzliche Grundlage haben. Eine Verordnung sollte eigentlich immer nur ausführen, was im Gesetz steht. Das ist hier nicht der Fall. Es sollen diverse Dinge sozusagen durch die Hintertür wieder eingeführt werden, die im Gesetz bewusst weggelassen wurden. So werden unter dem Titel der Datensicherheit Dokumentationspflichten ein­geführt, die damit nichts zu tun haben. Oder es werden Mitteilungspflichten statuiert, die völlig praxisfremd sind. Kurzum: Meine Hoffnung ist, dass der Entwurf der Verordnung nochmals stark ausgemistet wird.

Rosenthal: Mittlerweile wird tatsächlich allgemein davon ausgegangen, dass der 1. Januar 2023 das Datum sein wird, an dem das Gesetz in Kraft treten kann. Aber so wie ich das sehe, könnte das Ganze auch noch etwas mehr Zeit in Anspruch nehmen.

Rosenthal: Ich glaube nicht, dass die EU den Angemessenheitsbeschluss der Schweiz verweigern wird. Allerdings: Es gibt politisch gesehen einige Differenzen zwischen der EU und der Schweiz, sodass der Datenschutz als Pfand missbraucht werden könnte. Aber nach rein sachlichen Kriterien beurteilt habe ich keine Zweifel, dass wir das «Okay» aus Brüssel bekommen werden. Ich mache mir auch keine Sorgen, dass die Verzögerungen bei der Einführung die EU umstimmen werden. Vielleicht erhält die Schweiz den Angemessenheitsbeschluss sogar zusammen mit anderen Staaten bereits viel früher. Denn schliesslich ist ja bekannt, was im neuen DGS stehen wird.