Dezember 2017

Die nun seit zwei Jahren bekannte europäische Datenschutz-Grundverordnung (DSGVO) wird ab dem 25. Mai 2018 Geltung haben. Die DSGO schafft ein in den EU Mitgliedstaaten unmittelbar anwendbares einheitliches Datenschutzrecht. Sie enthält aber eine ganze Reihe von so genannten Öffnungsklauseln, in denen die Mitgliedstaaten in ihrem nationalen Recht ergänzende oder abweichende Regelungen zur DSGVO vorsehen können und zum Teil auch müssen.

Viele EU-Mitgliedstaaten haben daher ihre nationale Gesetzgebung bereits angepasst oder sind daran, dies zu tun. Solche nationalen Regelungen betreffen beispielsweise die Herabsetzung des Mindestalters, ab welchem ein Kind ohne Zustimmung der Eltern gültig in die Bearbeitung seiner Daten einwilligen kann, Voraussetzungen für die Bearbeitung von besonderen (sensitiven) Kategorien von Daten, gewisse Beschränkungen für die Ausübung der Rechte der Betroffenen, die Ausweitung der Pflicht zur Ernennung eines Datenschutzbeauftragten, spezifische Regelungen zum Datenschutz im Arbeitsverhältnis.

Die DSGVO wird auch für viele Schweizer Unternehmen Geltung haben, und zwar nicht nur für diejenigen, die in der EU über eine Niederlassung verfügen - eine Tochtergesellschaft, eine Zweigniederlassung oder eine Agentur - sondern auch für alle diejenigen Unternehmen, die Personen in der EU Waren oder Dienstleistungen anbieten (etwa wenn sie eine Website mit Bestellmöglichkeit für Personen in der EU betreiben), oder das Verhalten von Internet-Nutzern in der EU beobachten (mittels Webtracking, ausser dieses erfolgt ausschliesslich gestützt auf Daten, die keinen Personenbezug erlauben).

In der Schweiz wurde der Entwurf des neuen Datenschutzgesetzes des Bundes vom Bundesrat an das Parlament überwiesen. Entgegen der allgemeinen Erwartung, dass dieses mit seinen Beratungen raschmöglichst bereits in der Wintersession beginnen werde, damit das neue Datenschutzrecht möglichst zeitnah zur DSGVO in Kraft gesetzt werden kann, ist zurzeit leider noch offen, wann das Parlament sich mit dem neuen Gesetz befassen wird.

Ein wesentliches Ziel des neuen Gesetzes ist es, die Gleichwertigkeit des Datenschutzes in der Schweiz mit demjenigen in der EU sicherzustellen, damit der für die schweizerzische Wirtschaft wichtige grenzüberschreitende Datenverkehr weiterhin möglichst einfach erfolgen kann. Der Entwurf des Bundesrates enthält denn auch in wichtigen Punkten vergleichbare, wenn auch nicht identische Regelungen zu denjenigen in der DSGVO, so beispielsweise bezüglich der Erstellung eines Verzeichnisses der Bearbeitungsaktivitäten, der Information der betroffenen Personen bei der Datenerhebung, der vorgängigen Durchführung einer Datenschutz-Folgeabschätzung bei Datenbearbeitungen mit einem voraussichtlich hohen Risiko für die betroffenen Personen, des Grundsatzes des «Privacy by Design», das heisst, der Umsetzung von geeigneten technischen und organisatorischen Massnahmen bei Auswahl und Einsatz von für die Datenverarbeitung eingesetzten Mitteln, um die Einhaltung der Datenschutzgrundsätze sicherzustellen, sowie der Pflicht zur Meldung von Verletzungen des Datenschutzes bzw. der Datensicherheit (Data Breaches).

Daneben bestehen aber auch erhebliche Unterschiede zur DSGVO. Das gilt insbesondere für die Sanktionen. In der Schweiz ist vorgesehen, dass die Sanktionen grundsätzlich nicht gegenüber Unternehmen erfolgen, sondern gegenüber den für Datenschutzverstösse verantwortlichen Personen. Die maximale Höhe der Busse ist dabei auf 250'000 CHF beschränkt und setzt ein vorsätzliches Verhalten voraus. Gemäss der DSGVO werden demgegenüber Bussgelder gegen Unternehmen ausgesprochen, und zwar auch bei Fahrlässigkeit, und können maximal 20 Mio. Euro oder, falls höher, bis 4% des weltweiten Jahresumsatzes, welcher in dem Geschäftsjahr erzielt wurde, welches dem Datenschutzverstoss voranging, ausmachen.

Auch wenn sich die parlamentarische Beratung des Datenschutzgesetzes nun verzögert, besteht für Schweizer Unternehmen kein Anlass, sich nicht bereits jetzt auf das neue Datenschutzrecht vorzubereiten. Für diejenigen, welche der DSGVO unterstellt sein werden, besteht hierzu sogar eine hohe Dringlichkeit. Um die erwähnten neuen datenschutzrechtlichen Anforderungen der EU einhalten zu können, sind organisatorische Massnahmen erforderlich, um die im Unternehmen für den Datenschutz zuständigen Stellen und deren Aufgaben und Verantwortlichkeiten festzulegen, und es sind Prozesse zu definieren, die sicherstellen, dass die von der DSGVO verlangten Massnahmen umgesetzt werden, etwa damit die Meldepflicht bei Datenschutzverstössen eingehalten werden kann. Weiter sind auch rechtliche Vorbereitungen zu treffen, wie die inhaltlich korrekte Formulierung von Standardtexten für die Information der betroffenen Personen bei der Erhebung von Daten oder für Einwilligungserklärungen betroffener Personen zur Bearbeitung ihrer Daten (bei Vertragsabschlüssen, auf Webseiten, bei Wettbewerben etc.).

Neben dem Bundesgesetz über den Datenschutz werden auch die Datenschutzgesetze der Kantone revidiert werden müssen. Zurzeit ist noch nicht bekannt, bis wann dies geschehen wird. Es wäre wünschbar, wenn zwischen den kantonalen Regelungen und dem revidierten Datenschutzgesetz des Bundes möglichst grosse Übereinstimmung bestehen würde.