Seit 25.05.2018 gilt die Datenschutzgrundverordnung im Europäischen Wirtschaftsraum (EWR). Sie gilt unmittelbar und soll lediglich in Details durch nationale Gesetze gestaltet werden.
Doch hatte die DSGVO auch Auswirkungen auf die Rechtslage in Drittstaaten wie der Schweiz?
Die DSGVO muss in allen EWR-Staaten beachtet werden, d.h. Drittstaaten sind nicht an sie gebunden. Bei der Übermittlung von personenbezogenen Daten aus dem EWR an einen Drittstaat müssen besondere Maßnahmen getroffen werden, damit den Daten ein angemessenes Schutzniveau gewährt wird.
Diese Anforderung entfällt bei Staaten mit sog. Angemessenheitsbeschlüssen. Solche werden von der Europäischen Kommission gemäß Art. 45 DSGVO vorgenommen. Dabei wird geprüft, ob das betreffende Drittland oder die internationale Organisation ein angemessenes Schutzniveau für personenbezogene Daten bietet. Für die Schweiz besteht derzeit ein solcher Angemessenheitsbeschluss.
Jedoch kann die EU-Kommission diesen ändern, ersetzen oder aufheben nach Art. 45 Absatz 9 DSGVO. Das bedeutet es obliegt ihr zu überprüfen, ob der Schweizer Datenschutz weiterhin das erforderliche Schutzniveau für personenbezogene Daten aus dem EWR garantiert. Ein neuer Entschluss könnte somit auch ergeben, dass die Schweiz die geforderten Voraussetzungen nach Art. 45 DSGVO nicht mehr erfüllt.
Welche Folgen hätte eine negative Entscheidung der EU-Kommission?
Sollte das Schweizer Datenschutzrecht nicht mehr ausreichend Schutz für personenbezogene Daten gewähren, hätte das große Auswirkungen für Schweizer Unternehmen. Vor allem kleine und mittlere Unternehmen (KMU) wären stark betroffen.
Möchten sie weiterhin mit EU-Staaten Handel betreiben, müssten sie grundsätzlich bei jedem Geschäftsabschluss vertraglich zusichern und beweisen, dass sie dabei die Datenschutzstandards der EU einhalten.
Dies erfordert die zusätzliche Einschaltung von Anwälten, die passende Verträge entwerfen. Daraus ergeben sich hohe zusätzliche Kosten für beide Vertragsparteien, bevor überhaupt ein Geschäft abgewickelt werden kann.
Europäische Geschäftspartner überlegen sich in einem solchen Fall sicherlich, ob dasselbe Produkt oder eine vergleichbare Dienstleistung nicht einfacher innerhalb der EU zu beschaffen ist.
Somit verlöre die Schweiz und vor allem der Großteil ihrer Wirtschaft potenzielle Handelspartner.
Daher wird nun überwiegend eine Anpassung des Schweizer Datenschutzgesetzes (DSG) an das digitale Zeitalter gefordert.
Im Datenschutz manifestiert sich das Grundrecht auf informationelle Selbstbestimmung. Daten sind aber auch ein wirtschaftlich wertvolles Gut, dass es zu schützen gilt. Daher sollte das Schutzniveau an das der DSGVO angepasst werden, um zu verhindern, dass die über 20.000 KMU in der Schweiz nicht unter den Folgen eines zu niedrigen Schutzes Einbuße erleiden.
Das DSG stammt aus dem Jahr 1992, in welchem das Internet noch nicht kommerziell genutzt wurde. Entsprechend lag der Fokus des Datenschutzes auf anderen Bereichen als der Digitalisierung. Die aktuellen Bestimmungen des DSG werden jüngsten Entwicklungen im technologischen Bereich deshalb nicht mehr gerecht.
Hinzu kommt, dass sich aufgrund der zunehmenden Internationalisierung auch immer weniger Schweizer Unternehmen den Datenschutzvorschriften der EU entziehen können. Entsprechend wichtig erscheint die laufende Totalrevision des DSG.
Eine Revision des DSG in Form eines Reformentwurfs wurde erstmals im Herbst 2017 durch den Schweizer Bundesrat veröffentlicht. Im Januar 2018 wurde vom Parlament beschlossen, die Revision in zwei Etappen einzuteilen. Die erste Etappe befasste sich mit neuen Datenschutzbestimmungen für die Bearbeitung von Personendaten im Bereich der Schengener Zusammenarbeit in Strafsachen. In einer zweiten Etappe sollte es schließlich um die Totalrevision des Datenschutzgesetzes gehen.
1. Etappe: Datenschutzbestimmungen für die Schengener Zusammenarbeit in Strafsachen
Ziel der Einteilung war es die Schengen-relevante Richtlinie der EU 2016/680, auf welcher die neuen Datenschutzbestimmungen in Strafsachen beruhen, möglichst schnell umzusetzen. Mit Erfolg, da die neuen Datenschutzbestimmungen bereits am 1. März 2019 in Kraft getreten sind. Dadurch erfüllt die Schweiz ihre Verpflichtung bei der Weiterentwicklung des Schengen-Besitzstands. Außerdem wird so die effiziente Bekämpfung der internationalen Kriminalität und des Terrorismus sichergestellt. Durch das neue Gesetz sollten weiterhin personenbezogene Daten auch im internationalen Datenaustausch stärker geschützt werden, indem es Regeln für die Datenbearbeitung bei Schengener Zusammenarbeit festlegt. Diese neuen Datenschutzbestimmungen betreffen vor allem den öffentlich rechtlichen Bereich weshalb Unternehmen von diesen Änderungen wenig betroffen sind.
2. Etappe: Totalrevision des Datenschutzgesetzes
In dieser zweiten Etappe wurde die Totalrevision des DSG beraten. Bisher zeichneten sich deutliche Unterschiede zur Verordnung (EU) 2016/679 ab. Nun sollte sich das DSG jedoch dem Schutzniveau der DSGVO annähern.
Das generelle Ziel der DSG-Revision war laut Bundesrat der bessere Schutz von personenbezogenen Daten. Dies sollte erreicht werden, indem die Transparenz der Datenbearbeitung und die Selbstbestimmung der betroffenen Personen über ihre Daten verbessert werden. Zugleich sollte das Verantwortungsbewusstsein der Auftragsverarbeiter erhöht werden. Auch die Aufsicht über die Anwendung und Einhaltung der eidgenössischen Datenschutznormen wurde verbessert.
Dies war nötig, damit die EU die Schweiz weiterhin als Drittstaat mit angemessenen Datenschutzniveau im Sinne des Art. 45 DSGVO anerkennt und die grenzüberschreitende Datenübermittlung auch künftig ohne weitere Hürden möglich bleibt. Diese Änderungen würden freilich alle Unternehmen betreffen.
Weiterer Ablauf der DSG-Revision
Im Herbst 2020 hat das Parlament das neue Datenschutzgesetz verabschiedet. Für dessen Inkrafttreten mussten jedoch zahlreiche Bestimmungen im neuen Datenschutzgesetz auf Verordnungsebene konkretisiert werden. Das bedeutet es waren entsprechende Ausführungsbestimmungen in der VDSG anzupassen. Hierzu hatte der Bundesrat an seiner Sitzung vom 23. Juni 2021 die Vernehmlassung eröffnet, welche bis zum 14. Oktober 2021 andauerte. Derzeit ist ein Inkrafttreten des neuen Datenschutzrechts für den 1. September 2023 vorgesehen.
Sollte das der Fall sein, wirkt sich dies insbesondere positiv auf die Überprüfung des Angemessenheitsbeschlusses der Schweiz durch die EU-Kommission aus, sowie auf Unternehmen im Hinblick auf die durchzuführenden Vorbereitungsmaßnahmen.
Überprüfung des Angemessenheitsbeschlusses
Falls die EU-Kommission erneut über die Gleichwertigkeit des Schweizer Datenschutzniveaus entscheiden wird, ist angesichts der seit 2018 anwendbaren DSGVO das absehbare Inkrafttreten eines aktualisierten Schweizer Datenschutzrechts ab September 2023 zweifellos von Vorteil.
Vorbereitungen auf das revidierte DSG
Sollte das revidierte DSG im September 2023 in Kraft treten, gilt es für Unternehmen, im laufenden Jahr sich bestmöglich auf die neuen datenschutzrechtlichen Anforderungen vorzubereiten. Diese Vorbereitungen werden voraussichtlich erheblichen Aufwand verursachen. Dies gilt, aufgrund zahlreicher Abweichungen zur DSGVO, selbst für Unternehmen, die sich in den letzten Jahren nach europäischem Datenschutzrecht auszurichten hatten. Bei Unternehmen, die sich bisher nicht nach der DSGVO zu orientieren hatten, werden ohnehin zahlreiche neue Anforderungen umzusetzen sein.
Die Weichen für das DSG werden somit neu gestellt. Die dabei eingeschlagene Richtung wird die Schweizer Unternehmenslandschaft in den nächsten Jahren vor einige Herausforderungen stellen, welche jedoch mit vorausschauender Planung und Umsetzung zu bewältigen sein werden.