Seit Mai 2018 ist die Datenschutzgrundverordnung der Europäischen Union (EU-DSGVO) zum Alltagsgegenstand vieler Betriebe in Europa geworden – so auch in der Schweiz. Denn wer zum Beispiel Waren oder Dienstleistungen in der EU (zum Beispiel über einen Online-Shop) anbietet, muss sich seit 2018 an die neu geltenden, recht strengen Regeln der EU zum Persönlichkeitsschutz im digitalen Raum halten. Ansonsten läuft man Gefahr, eine saftige Busse einzufahren.
Aufgrund der unterschiedlichen datenschutzrechtlichen Regelung in der Schweiz und in der EU lief unser Land Gefahr, in «ein Datenschutzvakuum» zu verfallen, wie der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Adrian Lobsiger 2018 zu «Swiss IT Magazine» gesagt hatte.
Die EU-DSGVO basiert auf der Datenschutzkonvention 108, welche die Schweiz als Mitglied des Europarates 1998 unterzeichnet hatte. Eine Überarbeitung des Schweizerischen Datenschutzrechts auf Basis der Konvention war also nur eine Frage der Zeit – und diese Zeit ist nun gekommen: Die Revision des Schweizer Datenschutzgesetzes (DSG) wurde jüngst – am 25. September 2020 – von beiden Kammern des Schweizer Parlamentes gutgeheissen, nachdem man das Geschäft für mehr als zwei Jahre mehr schlecht als recht bearbeitet hatte. Die Referendumsfrist wird am 14. Januar 2021 ablaufen. In Kraft treten wird das Gesetz frühestens Anfangs 2022, so die Schätzung von Expert
Das neue DSG ist nur teilweise DSGVO
Eine Reihe von Grundsätzen zum Schutz persönlicher Daten lässt sich fürs DSG fast eins zu eins aus der DSGVO übernehmen, wie etwa die Prinzipien von Privacy by Default und Privacy by Design oder das Recht auf Datenportabilität.
Die EU-DSGVO ungefiltert zu übernehmen, würde aber weder dem Charakter noch den Ansprüchen der Schweiz Genüge tun und somit gibt es durchaus Unterschiede zwischen dem Schweizer Datenschutzgesetz und dem der EU. So sind einige Bereiche etwa strenger geregelt als in der EU-DSGVO. Beispielsweise die Informationspflichten, hier muss das Land angegeben werden, im welchen die Daten bearbeitet werden. Auch wenn die Details – namentlich sind dies die Verordnungen, welche weitere Interpretationen des Gesetzes definieren werden – noch auf sich warten lassen, gibt Michèle Balthasar, Rechtsanwältin und Head Data Privacy und Legal Consulting vom Kompetenzzentrum für Datenschutz und Informatikrecht bei
Swiss Infosec, ihre Einschätzung zum aufgefrischten DSG bereits heute ab.
Es muss etwas weh tun: Die Bussen
Auffällig sind insbesondere die Bussen für Verstösse des Datenschutzes, die bei der Einführung der EU-DSGVO für viel Redestoff gesorgt haben. Im Gegensatz zu den enorm hohen Strafen in der EU (bis zu 4 Prozent des Unternehmensumsatzes oder 20 Millionen Euro) ist die Maximalstrafe in der Schweiz bei 250’000 Franken angesetzt. «Das ist natürlich recht viel für ein Schweizer KMU», kommentiert Michèle Balthasar. «Das Reputationsrisiko spielt aber fast eine wichtigere Rolle. Und für jedes Unternehmen mit Consumer-Kunden gilt es, zu zeigen, dass man sorgfältig mit den Kundendaten umgeht. Ja, es sind keine drakonischen Bussenandrohungen wie in der EU, aber letztlich ist vor allem der Vertrauens- und Reputationsschaden bei einem Zwischenfall relevant.»
Bisher war die Maximalbusse für Datenschutzverstösse in der Schweiz bei 10’000 Franken angesetzt, neu sind die bereits erwähnten 250’000 Franken die Höchstmarke, wobei der Bussenkatalog ebenfalls verschärft wurde. Hierbei entscheidend: Die Busse wird nur gegen natürliche Einzelpersonen ausgesprochen, im Gegensatz zur EU, wo das Unternehmen gebüsst wird. «Es handelt sich dabei um eine strafrechtliche Bestimmung und diese richtet sich nur gegen Einzelpersonen. Das ist das Schweizer Konstrukt, welches auch im Datenschutz Anwendung findet», so Balthasar. «Des Weiteren betreffen die Strafen in der Schweiz nur vorsätzliches oder eventualvorsätzliches, also in Kauf nehmendes Handeln, während in der EU bereits Fahrlässigkeit im Datenschutz strafbar ist».
Profiling mit hohem Risiko
«Einer der wesentlichsten Unterschiede der beiden Gesetzgebungen ist aber die Differenzierung zwischen Profiling und Profiling mit hohem Risiko – dahingehend wird in der EU nicht unterschieden», so Balthasar. Ein hohes Risiko für die betroffene Person ist dann gegeben, wenn es zu einer Verknüpfung von Persönlichkeitsdaten kommt, die eine Beurteilung wesentlicher Aspekte einer natürlichen Person erlauben. Unternehmen müssen unter der neuen Gesetzgebung klären, ob ihre Datenbearbeitungen hochriskant sind und falls ja, von den Betroffenen eine ausdrückliche Einwilligung für die Datenbearbeitung einholen.
Brauchen ich jetzt einen Datenschutzbeauftragten?
«In der EU gibt es ganz klare Bedingungen, wann ein Unternehmen einen Datenschutzbeauftragten braucht, etwa wenn das Unternehmen in seiner Kerntätigkeit Profiling betreibt oder unfangreiche sensible Daten bearbeitet», erklärt die Rechtsanwältin und ergänzt: «In der Schweiz wird das aber etwas komplizierter sein.»
Falls es die Abklärung braucht, ob eine Datenbearbeitung zulässig ist, weil diese ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, muss, wie in der EU, eine Datenschutzfolgeabschätzung (DSFA) erstellt werden. Ergibt sich aus der Datenschutzfolgenabschätzung, dass die geplante Bearbeitung trotz der vom Unternehmen vorgesehenen Massnahmen noch ein hohes Risiko zur Folge hat, so muss vorgängig die Stellungnahme des EDÖB eingeholt oder aber ein Datenschutzbeauftragter engagiert werden. Für die Expertin geht die schweizerische Regelung damit etwas weniger weit als in der EU. «In der EU besteht die Pflicht als solche, in bestimmten Fällen einen Datenschutzbeauftragten zu bestimmen. In der Schweiz steht es den Unternehmen frei, einen solchen zu benennen. Tun sie dies nicht, sind sie allerdings verpflichtet, bei verbleibendem hohem Risiko nach einer DSFA die vorgängige Stellungnahme des EDÖB einzuholen» so Balthasar.
Das Verzeichnis der Bearbeitungen
Das Datenbearbeitungsverzeichnis ist vereinfacht gesagt eine Liste mit allen Datenbearbeitungen, des verantwortlichen Unternehmens. Hier muss also definiert werden, welche Daten erfasst und bearbeitet werden, wer davon betroffen ist, wer an der Bearbeitung beteiligt ist, beziehungsweise in welches Land die Daten übermittelt werden, wann diese Daten wieder gelöscht werden und wie man sie schützt. Das neue DSG definiert, dass dieses ab 250 Mitarbeitern für Schweizer Unternehmen obligatorisch sein soll. Aber: Es wird Ausnahmeregelungen geben, etwa dann, wenn die Bearbeitungen nur geringe Risiken mit sich bringen. Auch hier gilt: Man muss auf die Verordnung warten. Michèle Balthasar relativiert die Hoffnung, dass man als Schweizer Betrieb um diese Pflicht herumkommt jedoch gleich wieder: «Man kann schon davon ausgehen, dass sich ein solches Verzeichnis für praktisch jede Organisation aufdrängt, da das Verzeichnis die Grundlage für die Überprüfung und Einhaltung des Datenschutzes überhaupt erst schafft, wir nennen das auch Data Mapping.» Als Unternehmen muss man, trotz aller Ausnahmen, letztlich nachweisen können, dass der Datenschutz eingehalten wird, wofür ein solches Data Mapping fast unabdingbar sein wird.
Einheitlich vorgehen und den strengeren Ansatz verfolgen
Das neue DSG lehnt sich stark an die EU-DSGVO an, wobei es nach wie vor Unterschiede gibt. Bei allen Unterschieden rät die Expertin letztlich zu einem durchgängigen Ansatz für Unternehmen: «Es ist recht wahrscheinlich, dass im Fall von Datenbearbeitungen neben dem DSG auch die EU-DSGVO zu Anwendung kommt. In der Theorie kann man zwar schon bei der Umsetzung des Datenschutzes im Unternehmen zwischen den Gesetzgebungen unterscheiden, aber es ist meist viel zu kompliziert, den Unterschied in der Praxis umzusetzen. Mein Rat: Machen Sie es möglichst einheitlich und verfolgen Sie den strengeren Ansatz. Bei Unklarheiten kann man dann immer noch den Einzelfall anschauen.»
Die Expertin Michèle Balthasar
Michèle Balthasar, Rechtsanwältin, leitet als Head Data Privacy und Legal Consulting das Kompetenzzentrum für Datenschutz und Informatikrecht bei
Swiss Infosec. Sie ist in der Beratung, Ausbildung und Unternehmensentwicklung tätig und bearbeitet Mandate, die ein umfassendes Experten-Know-how verlangen. Die Datenschutzspezialistin unterstützt nationale wie international tätige Unternehmen bei komplexen juristischen und organisatorischen Herausforderungen. Des Weiteren ist Michèle Balthasar externe Datenschutzbeauftragte nach DSGVO (GDPR) und betriebliche Datenschutzverantwortliche (BDSV) nach DSG, sowie zertifizierte Lead Auditorin ISO 27001.
(win)