Was mit dem neuen Datenschutzgesetz auf Schweizer Unternehmen zukommt

Das revidierte Datenschutzrecht (DSG) tritt voraussichtlich 2022 in Kraft. Wer hat bis dahin wohl am meisten Nachholbedarf – und warum?

Reto Fanger: Den grösste Nachholbedarf haben Unternehmen, die bisher wenig bis keine Datenschutzmassnahmen umgesetzt haben: Das sind in der Regel Unternehmen, nicht der DSGVO unterstehen beziehungsweise trotz deren Anwendbarkeit bewusst oder unbewusst auf Massnahmen verzichtet hatten.

Auf welche Neuerungen müssen Schweizer KMUs besonders Acht geben?

Wichtig sind alle Neuerungen. Besonderes Gewicht sollten KMUs insbesondere auf die Mindestangaben des Bearbeitungsverzeichnisses, auf Data Breach Notifications bei Datenschutzverletzungen mit hohem Risiko für Persönlichkeit und Grundrechte sowie auf die Durchführung von Datenschutz-Folgenabschätzungen bei hohem Risiko von Persönlichkeits- oder Grundrechtsverletzungen legen.

Die Gesetzesrevision war eine Zangengeburt, wie Sie in Ihrem Fachbeitrag schreiben. Besonders umstritten war der Punkt bezüglich Profiling. Wie haben Sie diese Debatten erlebt?

Die Debatten waren spannend zu verfolgen. Die Abgrenzung zwischen Profiling und Profiling mit hohem Risiko wird sich künftig in der Praxis herausbilden müssen.

Die bürgerliche Mehrheit im Parlament wehrte sich gegen strenge Regeln für die automatisierte Bearbeitung von Daten, um daraus Persönlichkeitsprofile zu erstellen und Verhaltensmuster zu analysieren. Nun müssen Betroffene nur dann ihre ausdrückliche Einwilligung erteilen, wenn es um Profiling "mit hohem Risiko" geht. Was bedeutet das konkret?

Das Profiling mit hohem Risiko erlaubt aufgrund einer Datenaggregierung die Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person, nimmt also den bisherigen Begriff des Persönlichkeitsprofils auf.

Ist das "normale" Profiling, wie es im DSG nun beschrieben wird, aus Ihrer Sicht unbedenklich?

Das Profiling ist die maschinelle Bewertung einer natürlichen Person – somit trifft ein Computer selbstständig einen Wertentscheid, basierend auf einer Analyse oder einer Vorhersage. Es ist vergleichsweise weniger bedenklich, als dabei kein Persönlichkeitsprofil erstellt wird, das zur Beurteilung wesentlicher Aspekte der Persönlichkeit führt.

Bezüglich der Anforderungen an die Einwilligung der Nutzerinnen und Nutzer geht das DSG weniger weit als die EU-DSGVO. Sehen sie das eher als Vorteil für den Wirtschaftsstandort Schweiz oder als Nachteil für die hiesigen Bürgerinnen und Bürger?

Das schweizerische Datenschutzrecht hat für die private Bearbeitung von Personendaten bereits bisher keine Einwilligung verlangt, sofern Einhaltung der Bearbeitungsgrundsätze eingehalten und ein allfälliger Widerspruch Betroffener beachtet wird (Erlaubnis mit Verbotsvorbehalt). Daran ändert sich auch künftig nichts. Dieses schweizerische Konzept steht im Gegensatz zur DSGVO, wo grundsätzlich jede Datenbearbeitung verboten ist, die nicht durch Einwilligung oder eine andere Rechtsgrundlage legitimiert werden kann (Verbot mit Erlaubnisvorbehalt). Meiner Meinung nach passt die Erlaubnis mit Verbotsvorbehalt besser zum Schweizerischen Rechtssystem.

Wer mit Personendaten arbeitet, muss künftig strengere Dokumentationspflichten einhalten. Was genau gehört zu diesen Pflichten?

Dazu gehört das Verzeichnis der Personendatenbearbeitungen mit der Identität des Verantwortlichen, dem Bearbeitungszweck, den Kategorien betroffener Personen, bearbeiteter Personendaten sowie Empfängerinnen und Empfängern, der Aufbewahrungsdauer, den Datensicherheitsmassnamen, den Ländern in die Personendaten exportiert werden sowie der Rechtsgrundlagen für diesen Exporte. Weiter dokumentiert werden müssen allfällige Datenschutz-Folgenabschätzungen mit der Beschreibung der geplanten Bearbeitung, den entstehenden Risiken sowie den geeigneten Massnahmen um diese Risiken zu vermeiden oder zu minimieren.

Die EU-Kommission muss noch entscheiden, ob sie den Datenschutz in der Schweiz als gleichwertig anerkennt. Wie hoch stehen die Chancen für ein Okay aus Brüssel?

Mit dem nun vorliegenden Gesetzesentwurf liegen die Chancen meines Erachtens gut. Es handelt sich um eine pragmatische Lösung in Richtung DSGVO, ohne deren Anforderungen in allen Bereichen vollumfänglich abzudecken. Verlangt ist denn auch nicht die Gleichheit des Datenschutzniveaus, sondern dessen Gleichwertigkeit.

Falls der Entscheid über die Datenäquivalenz negativ ausfallen würde: Was wären die Konsequenzen für die Schweiz?

Für diesen Fall würde der grenzüberschreitende Datenaustausch mit Europa sehr viel aufwändiger, es bräuchte Standardvertragsklauseln oder einzelvertragliche Regelungen. Der administrative Aufwand der Unternehmen würde massiv steigen.