DSG-Revision: Schweizer Unternehmen im Nachteil
Ab Mai 2018 gilt in allen EU-Mitgliedsstaaten die Datenschutzgrundverordnung (EU-DSGVO). Sie führt neue Anforderungen an die Bearbeitung von Personendaten ein und sanktioniert Verletzungen mit drakonischen Strafen. Die EU führt damit einen Standard ein, der sich auch auf Schweizer Unternehmen erstreckt, die etwa ihre Produkte und Dienstleistungen in der EU anbieten. Der Bundesrat befürchtet, dass ohne eine komplette Revision des Schweizerischen Datenschutzgesetzes DSG der Datenaustausch über die Grenze hinweg in Zukunft gefährdet sein könnte. Jedoch sind im Vorentwurf zur DSG-Revision des Bundesrates einzelne Punkte sogar noch strenger ausgelegt als in der EU-Vorlage.
Die Schweiz und die EU anerkennen heute ihre Datenschutzgesetze gegenseitig als gleichwertig. Simsa vertritt die Meinung, dass eine Teilrevision des DSG genügt, um den Herausforderungen der Digitalisierung zu begegnen und einen gegenüber der EU angemessenen Datenschutz zu erhalten. Rolf Auf der Maur, Vizepräsident von Simsa und Partner bei Vischer Rechtsanwälte in Zürich, im Interview.
Sind Sie der Auffassung, dass das heute geltende DSG genügt und die Revision überflüssig ist?
Rolf Auf der Maur: Selbstverständlich entwickelt sich die Technologie rasch weiter. Sie schafft nicht nur neue Chancen, sondern auch neue Risiken. Noch vor wenigen Jahren sprach niemand von Big Data, Cloud Computing oder Artificial Intelligence. Die Angst vor Kontrollverlust aufgrund von automatisierten Filtern und Algorithmen ist berechtigt. Hier entstehen Risiken, die auch die EU-DSGVO nicht adressiert. Es stört mich zum Beispiel nicht, wenn der Musikstreaming-Dienst Tracks vorschlägt, die mir aufgrund meiner «Hörgewohnheiten» beim selben Dienst gefallen könnten. Etwas unheimlicher ist es, wenn eine Versicherung über Sensoren an Körper und Fahrzeugen ein immer präziseres Risikoprofil des Einzelnen erstellen und «schlechte Risiken» ohne transparente Gründe diskriminieren kann. Hier sind risikobasierte Regulierungsansätze gefragt, nicht detaillierte administrative Regeln für alle, die den Aufwand erhöhen und möglichen Fortschritt behindern. Kurz gesagt: eine schlanke Teilrevision des DSG hätte genügt. Es braucht keine Totalrevision mit der Ambition, die EU-DSGVO in das Schweizer Recht zu kopieren. Erst recht braucht es keine Verschärfung gegenüber den neuen EU-Regeln. Leider enthielt der Vorentwurf des Bundesrates auch solche Verschärfungen, also eine Art «Swiss Finish». Diesen haben die ICT-Verbände und die Wirtschaftsverbände in der Vernehmlassung meines Wissens unisono kritisiert.
In welcher Hinsicht war der Schweizer Vorentwurf strenger als das neue EU-Recht?
Ein für die ICT-Branche relevantes Beispiel ist die Regelung der Auftragsdatenbearbeitung. Der Revisionsentwurf sieht eine Pflicht des Unternehmens vor, Personen, deren Daten bearbeitet werden, über die Identität des Auftragsdatenbearbeiters zu informieren. Bisher galt und gemäss EU-DSGVO gilt noch immer, dass lediglich darüber informiert werden muss, dass ein Dritter mit der Bearbeitung beauftragt wurde. Die neue Pflicht wäre mit einem erheblichen Aufwand verbunden, zumal Unternehmen ihre Auftragnehmer je nach Angebot oft wechseln. Auch für die Auftragsdatenbearbeiter wären weitergehende Pflichten vorgesehen: Sie hätten künftig die schriftliche Zustimmung des Auftraggebers einzuholen, wenn sie jemanden unterbeauftragen. In einer arbeitsteiligen Welt muss der Auftragsbearbeiter flexibel und zeitnah Unteraufträge vergeben können. Die vorgesehene Pflicht wäre praxisfern und für Anbieter in der Schweiz diskriminierend.
Medienberichten zufolge wurde der Vorentwurf der Revision des DSG vonseiten der ICT- und der Medienbranche stark kritisiert. Wo sehen Sie den grössten Kritikpunkt?
Dieser liegt bei den vorgeschlagenen Strafmassnahmen. Der Vorentwurf verzichtete zwar auf eine Übernahme der erwähnten hohen Verwaltungsbussen der EU-DSGVO. Stattdessen enthielt der VE-DSG einen stark erweiterten strafrechtlichen Sanktionskatalog mit Bussen bis 500 000 Franken für die verantwortliche Person. Eine Busse von maximal 100 000 Franken für Unternehmen war in Fällen vorgeschlagen, in denen sich die verantwortliche Person innerhalb des Unternehmens nicht mit vernünftigem Aufwand feststellen liesse. Der Compliance-Aufwand von Unternehmen würde exponentiell zunehmen, weil sich die Verantwortlichen gegen strafrechtliche Risiken absichern würden. Auf der anderen Seite hätten grosse internationale Onlineunternehmen ohne verantwortliche Personen in der Schweiz wenig zu befürchten. Sie kämen mit einer maximalen Busse von 100 000 Franken davon, wenn sich diese überhaupt an ihrem Sitz vollstrecken liesse. Ein Klacks gegenüber einer Busse in der EU.
Sehen Sie weitere Kritikpunkte beziehungsweise weiteres Verbesserungspotenzial für einen neuen Datenschutz in der Schweiz?
Die weitreichenden Informationspflichten wurden als unverhältnismässig kritisiert. Bisher mussten Betroffene nur informiert werden, wenn Datenbearbeiter besonders schützenswerte Personendaten, wie etwa Gesundheitsdaten oder Persönlichkeitsprofile bearbeitet haben. Neu soll für jede Bearbeitung von Personendaten eine Informationspflicht bestehen. Die ICT- und Medienbranchen betonten, dass längere Datenschutzerklärungen nicht zwingend eine bessere Information der betroffenen Person zur Folge hätten. Daher sollten Informationspflichten auf das für den Betroffenen «Erforderliche» beschränkt werden. Schon heute liest sich niemand die AGBs und Privacy Policies von Angeboten im Netz durch. Wir müssen anerkennen, dass Daten der Rohstoff für unverzichtbare Geschäftsmodelle sind. Jeder nutzt Facebook (oder zumindest den zu Facebook gehörenden Messenger Whatsapp). Warum bietet Facebook keine kostenpflichtige Variante, die dafür auf die Nutzung von Personendaten verzichtet? Weil die Nutzung der enormen Datenmengen aller Nutzer eben sehr lukrativ ist. Statt auf immer mehr Formalitäten für eine informierte Zustimmung der betroffenen Person zu pochen, würde der Gesetzgeber besser konkrete Risiken identifizieren und adressieren (etwa die Nutzung von Gesundheitsdaten oder die Datensicherheit).
Wie geht es nun weiter mit der Revision?
Es ist nicht zu erwarten, dass das revidierte DSG in der Form des Vorentwurfes vom 21. Dezember 2016 Eingang in das Schweizer Recht findet. Jedoch ist davon auszugehen, dass die Pflichten der verantwortlichen Datenbearbeiter sowie der Auftragsdatenbearbeiter zukünftig zunehmen. Der Aufwand in Bezug auf den Datenschutz dürfte somit für viele Unternehmen zunehmen. Dies umso mehr für Datenbearbeiter mit grenzüberschreitendem Geschäft, die sich an die Regeln der EU-DSGVO werden halten müssen. Aber man darf die Frage stellen, ob diese Tendenz der Rechtsetzung am Ende wirklich zu einem besseren Schutz der Privatsphäre oder nur zu mehr Aufwand führt. Der überarbeitete Entwurf zu einem revidierten Datenschutzgesetz soll voraussichtlich im Herbst veröffentlicht werden. Dann wird es Sache des Parlaments sein, dafür zu sorgen, dass keine Regulierung entsteht, welche die Schweizer ICT-Branche unnötig behindert.
Update: Bundesgericht akzeptiert Swisscom-Beschwerde gegen Weko-Entscheid
Firewalls von Palo Alto enthalten eine kritische Sicherheitslücke
Der Astrologe rettet den Tag ... oder auch nicht
Peoplefone lanciert Mobile-Abos für Geschäftskunden
Das sind die Finalisten der Swiss Fintech Awards 2024
Whatsapp und Threads verschwinden aus chinesischem App Store
EU-Datenschützer beurteilen Bezahlzwang für Datenschutz als inakzeptabel
Update: Österreichischer Investor übernimmt Devolo
Was KI zur Barrierefreiheit im Web beitragen kann
