Die neue Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten von Betroffenen in der Europäischen Union. Ziel war es, die heterogene Gesetzgebung in der EU zu vereinheitlichen und die gros-sen Anbieter vermehrt in die Pflicht zu nehmen. Der Fokus war auf die sozialen Medien, Suchmaschinen und dergleichen gerichtet. Die Wirkungen reichen aber weit über diesen Bereich hinaus.
Wie aus Artikel 3 DSGVO ersichtlich, wird dieser Erlass über das Gebiet der EU hinaus Wirkung entfalten. Anknüpfungspunkt für die Unterstellung ist nicht mehr nur der Sitz des datenverarbeitenden Unternehmens, sondern zusätzlich der Aufenthaltsort der betroffenen Personen. Liegt dieser in der EU, kann die DSGVO anwendbar werden. Dies ist etwa dann der Fall, wenn das datenverarbeitende Unternehmen Waren oder Dienstleistungen für den EU-Raum anbietet. Ob es zu einem Vertragsschluss kommt oder ob eine Zahlungspflicht begründet wird, ist irrelevant. Wird «das Verhalten» einer in der EU ansässigen Person durch die Datenbearbeitung beobachtet, und findet das beobachtete Verhalten innerhalb der EU statt, ist die DSGVO ebenfalls anwendbar. Das Sitzprinzip wird um das sogenannte Marktorientierungsprinzip ergänzt. Hinzu kommt, dass gemäss Artikel 44 der DSGVO die Übermittlung von personenbezogenen Daten in einen Drittstaat nur möglich ist, wenn das Drittland über ein angemessenes Datenschutz–Niveau verfügt. Schweizer Unternehmen werden sich in Zukunft nicht mehr nur auf das Schweizer Datenschutzgesetz (DSG) berufen können. Sie werden vielmehr gezwungen sein, sich auch mit dem Inhalt der DSGVO auseinanderzusetzen.
Beschränkung entfällt
In den 90er-Jahren hat die Schweiz die Konvention 108 des Europarates (CON108) ratifiziert. Diese war ursprünglich als Übereinkommen zum Schutz des Menschen bei automatischer Verarbeitung personenbezogener Daten konzipiert. Auch dieses Übereinkommen befindet sich seit längerer Zeit in Überarbeitung. Aus den vorliegenden Entwürfen geht hervor, dass die Beschränkung auf automatische Datenverarbeitung entfallen wird. Die CON108 wird zu einem eigentlichen, länderübergreifenden Datenschutzgesetz.
Die Bearbeitung der Konvention 108 ist unter dem Druck der EU für einige Zeit ausgesetzt worden, um einen Abgleich mit der DSGVO zu ermöglichen. Da diese nun vorliegt, werden die Verhandlungen wohl rasch finalisiert werden.
Die Presse hat sich bis jetzt wenig mit der CON108 beschäftigt, sondern ihr Augenmerk mehr auf die DSGVO gerichtet. Das Regelwerk wird uns im Ergebnis aber wohl stärker tangieren als die DSGVO.
Die Schweiz hat den stellvertretenden eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten in die Kommission delegiert, welche die vorliegenden Entwürfe erarbeitet hat. Die Abfassung ist auch hier ohne vorgängige, demokratische Diskussion erfolgt. Das Parlament wird die Übereinkunft nur ratifizieren oder ablehnen können. In der Schweiz wird seit einigen Jahren über eine Revision des Datenschutzrechts diskutiert. Der Bundesrat hat 2011 seinen Bericht über die Evaluation des Datenschutzgesetzes veröffentlicht. Von 2012 bis 2014 hat eine sogenannte Begleitgruppe (ein Expertenteam, in dem die Wirtschaft nur sehr unzureichend vertreten war) weitere Vorarbeiten geleistet, die im Oktober 2014 mit der Verabschiedung eines Normenkonzepts zur Revision des Datenschutzgesetzes abgeschlossen wurden. Die diversen, parlamentarischen Vorstösse zum Datenschutz wurden in den -letzten Jahren regelmässig damit beant-wortet, die Überarbeitung des Datenschutzgesetzes sei im Gange, und die Anliegen der Parlamentarier würden im Rahmen der geplanten Gesamtrevision geprüft.
Die Botschaft des Bundesrates zur Revi-sionsvorlage soll nach abgeschlossener Ämterkonsultation im Dezember 2016 – vier Monate später als ursprünglich angekündigt – veröffentlicht werden. Bereits jetzt steht fest, dass die Verwaltung den Entwurf stark auf die DSGVO und die Konvention 108 des Europarates -zurechtgetrimmt hat. Wie erwähnt, wird sich die DSGVO direkt oder indirekt auch auf Nicht-EU-Staaten auswirken. Ins-besondere mussten jedoch vorweg allfällige Widersprüche zur CON108 aus-gemerzt werden, da die Schweiz die (absehbare) neue Fassung andernfalls nicht ratifizieren kann. Diese Stossrichtung der Verwaltung – die sich schon seit Längerem abzeichnet – ist bis heute kaum Gegenstand ernsthafter Diskussion geworden.
Schwelle nicht unnötig erhöhen
Stimmen aus der Lehre und der Wissenschaft sagen, dass das heutige, schweizerische Datenschutzgesetz einen angemessenen Schutz gewährt und von der EU anerkannt werden müsste. Dies zeigt der Kriterienkatalog, anhand dessen die Angemessenheit des EU-USA Privacy Shield (vergleiche auch Kolumne zum Thema im Sicherheitsschwerpunkt dieser Ausgabe) beurteilt worden ist. Die Wirtschaft muss sich dafür einsetzen, dass die Schwelle nicht unnötig erhöht wird. Die Politik wird gefordert sein, die Interessen einer funktionierenden Wirtschaft auch in diesem Bereich zu vertreten.
Abgesehen von der Tatsache, dass sich die Mehrheit der Schweizer Unternehmer in Zukunft mit zwei verschiedenen Datenschutzgesetzgebungen wird auseinandersetzen müssen, ist auch landesintern mit erheblichem, administrativem Zusatzaufwand für die Wirtschaft zu rechnen. So sind unter anderem folgende Punkte in der Diskussion, die in das Schweizer Datenschutzgesetz aufgenommen werden sollen:
- Erweiterte Informationspflichten datenverarbeitender Unternehmen. Je nach Ausgestaltung können diese bei Datenanbietern zu einem geradezu grotesken Aufwand führen.
- Erweiterung des Auskunftsrechtes der Betroffenen, obwohl die geltende Regelung sich bewährt hat.
- Höhere Anforderungen an die Einwilligung des Betroffenen als Rechtfertigungsgrund.
- Neueinführung eines Rechts Betroffener, sich gegen automatisierte Einzel-entscheidungen zu wehren. Über die Sinnhaftigkeit einer solchen Regelung lässt sich wahrhaftig streiten; sie dürfte die Tätigkeit von Online-Anbietern erheblich erschweren.
- Ein kostenloses Klagerecht Betroffener samt einer Umkehr der Beweislast. In Abkehr von bewährten, rechtsstaat-lichen Prinzipien soll nicht der Kläger eine Persönlichkeitsverletzung beweisen müssen, sondern das datenverar-beitende Unternehmen den Nachweis zu erbringen haben, dass es sich keines Verstosses gegen das DSG schuldig gemacht hat.
- Stärkung des «Rechts auf Vergessen»
- Verpflichtung der Unternehmen zur Durchführung einer Datenschutzfolgeabschätzung für ihre Datenbearbeitung
- Pflicht zur Bestellung eines Datenschutzverantwortlichen
- Verstärkung der Kontrolle durch die Aufsichtsbehörde
- Einführung einer Meldepflicht für Datenschutzverletzungen
Dies alles wird für betroffene Unternehmen zu einem Kostenschub führen. Dieser dürfte zusätzlich durch eine Ausweitung der Kompetenzen des EDOEB verstärkt werden. Unter anderem soll der EDOEB neu die Kompetenz erhalten, selber Sanktionen auszusprechen. Er wird also als Richter in eigener Sache auftreten; hier wird ohne Not die Gewaltenteilung geritzt.
Verschärfung Einhalt gebieten
Damit die Unternehmen all diesen Anforderungen gerecht werden können, müssten sie ein umfassendes Datenschutz-managementsystem aufbauen. Ansonsten werden sie im Streitfall oft nicht beweisen können, dass sie sich korrekt verhalten haben. Können sich KMU Datenbearbeitungen überhaupt noch leisten? Diese Frage wurde auch bei der Ausarbeitung der DSGVO gestellt, jedoch nie befriedigend beantwortet. Für die ganz Grossen, die man eigentlich in die Pflicht nehmen wollte, werden die Folgen jedenfalls weit weniger drastisch sein als für die kleinen und mittleren Unternehmen.
Die Revision des Datenschutzgesetzes geht uns alle an! Unternehmen und Verbände sind gefordert, einer unnötigen Verschärfung Einhalt zu gebieten. Das heutige Datenschutzgesetz hat seinen Zweck nun viele Jahre erfüllt und ist dazu auch weiterhin in der Lage.
Weitere Informationen:
www.creditreform.ch