Brüssel gibt den Takt an

Während die Digitalisierung in riesigen Sprüngen voranschreitet, scheint der Datenschutz immer noch nicht im 21. Jahrhundert angekommen zu sein. Nun wird das Datenschutzgesetz des Bundes endlich revidiert. Dabei sorgt insbesondere die grenzüberschreitende Wirkung des EU-Rechts für Unruhe.

Quelle: Belinda Grasnick (CC BY-ND 2.0)

Alles ist vernetzt: Die EU-Gesetzgebung zum Datenschutz hat auch Auswirkungen auf die Schweiz (im Bild: das Atomium in Brüssel).

Digitalisierung und Datenschutz sind ein ungleiches Paar. Während die Digitalisierung immer tiefer in sämtliche Bereiche der Wirtschaft und des Privatlebens eindringt, scheint der Datenschutz stets hinterherzuhinken. Datenschutz kann bestenfalls die Kollateralschäden des technologischen Fortschritts eindämmen, lautet eine landläufige Meinung.

Dabei geht oft vergessen, dass der Datenschutz nicht die Beaufsichtigung der digitalen Informationsströme bezweckt. Er ist technikneutral und gilt dem Schutz der Persönlichkeitsrechte. Ob bei der Datenbearbeitung Technologie oder ein altes Aktenumlaufregal zur Anwendung kommen, spielt keine Rolle.

Das Datenschutzgesetz des Bundes (DSG) wurde als Folge der Fichenaffäre Anfang der 1990er-Jahre erlassen. Im grössten Bespitzelungsskandal der Schweizer Geschichte ging es um Karteikarten von über einer Million Bürgern. In den Fichen des Staatsschutzes wurden Einzelheiten über unbescholtene Personen wie etwa gewerkschaftliches Engagement oder auch reine Verleumdungen durch Nachbarn festgehalten.

Hektik herrscht vor

Die Datenschutzgesetze des Bundes und der Kantone wollen auch vor geringeren Auswüchsen als einer Fichenaffäre schützen. Im betrieblichen Alltag ist dies allerdings leichter gesagt als getan. Neben dem Datenschutz steht zum einen das strafrechtlich geschützte Amtsgeheimnis. Dieses wird durch das Öffentlichkeitsprinzip in der Verwaltung sowie durch die Amtshilfe und andere Mechanismen des Datenaustauschs - relativiert (siehe Artikel «Von Kanton zu Kanton verschieden»).

Zum andern steht das DSG infolge des Technologiesprungs der letzten Jahre und der Rechtsentwicklung in der EU in Revision. Das Orientierungsbedürfnis in den Compliance-Abteilungen sowohl privater als auch öffentlicher Unternehmen ist markant. Landauf landab werden deshalb Tagungen zum Datenschutzrecht durchgeführt:

Auslöser der Hektik ist die Europäische Datenschutzgrundverordnung, die im Mai 2018 in Kraft treten wird. Die Datenschutzgrundverordnung – oft mit dem Kürzel GDPR für «General Data Protection Regulation» versehen – droht mit drakonischen Bussen von bis zu vier Prozent des weltweiten Jahresumsatzes gegen fehlbare Unternehmen.

Ob die Suppe so heiss gelöffelt wird, wie sie gekocht wurde, dürfte sich noch weisen. Fest steht indes, dass Brüssel ein Bürokratiemonster von der Leine lässt, vor dem auch Schweizer Einrichtungen Respekt haben. Die Westschweizer Zeitung Le Temps kürte die GDPR unlängst zum «Cauchemar de 2018», zum Alptraum des Jahres.

EU-Recht über Grenze hinaus

Aufgrund des in der GDPR neu eingeführten Marktortprinzips werden auch Betriebe ausserhalb der EU erfasst, wenn diese Daten von Personen in der EU bearbeiten. Deshalb müssen schweizerische Akteure GDPR-konform werden. Damit erstreckt sich der Anwendungsbereich des EU-Rechts faktisch auf die Schweiz.

Im öffentlichen Sektor ist etwa an Versorgungsunternehmen mit Kundschaft in der EU zu denken. Damit wird die Konstellation des Anbietens von Waren oder Dienstleistungen in der EU erfasst. Sodann dürften Schweizer Behörden und Betriebe unter die Brüsseler Regelung fallen, die zum Beispiel Daten von Grenzgängern erfassen. In dieser zweiten Konstellation geht es nicht um Kundenmanagement, sondern um die Verhaltensbeobachtung von Personen in der EU. Diese fällt aufgrund des Marktortprinzips ebenfalls unter die GDPR.

An einer kürzlich durchgeführten Tagung der Stiftung juristische Weiterbildung Zürich wurde die Frage diskutiert, inwiefern unser Internationales Privatrecht (IPRG) ein zusätzliches Einfallstor für die EU-Datenschutzgrundverordnung öffnet. Das IPRG überlasst nämlich den Geschädigten die Wahl, nach welchem Recht die Wiedergutmachung einer Verletzung der Persönlichkeit infolge Datenbearbeitung erfolgen soll. Geschädigte können damit vor einem Schweizer Gericht auf Basis der GDPR klagen.

Das mag nach Theorie klingen. Unter Experten rechnet auch niemand damit, dass nun eine Welle von Klagen und Sanktionen über das Land hereinbricht. Gleichwohl müssen sich die Unternehmen wappnen und ihr Datenmanagement auf EU-Compliance einstellen. Laut Insidern führt dies zu teils erheblichem administrativem Zusatzaufwand.

Anpassungen in der Schweiz

Wie reagiert nun die offizielle Schweiz? Damit die Schweiz für Europa nach wie vor als Drittstaat mit hinreichender Datensicherheit gilt, hat der Bundesrat im Herbst 2017 die Botschaft zur Revision des Datenschutzgesetzes lanciert. Neu eingeführt wird infolge der zunehmenden Automatisierung in der Datenbearbeitung der EU-Begriff des «Profiling». Dabei handelt es sich um eine Bewertung bestimmter Merkmale einer Person auf Basis einer rein digitalen Erfassung. Profiling erfolgt, um Merkmale wie die Arbeitsleistung, Einkommensverhältnisse, die Gesundheit oder die Mobilität zu analysieren oder vorherzusagen.

Damit unterscheidet sich das Profiling vom Persönlichkeitsprofil nach bisherigen DSG, das als blosse Datenzusammenstellung eine Bewertung der Person ermöglicht. Profiling wird gemäss DSG-Entwurf nur mit Erlaubnis auf formellgesetzlicher Stufe zulässig sein.

Eine weitere Anpassung an die GDPR bildet die Datenschutz-Folgenabschätzung. Eine solche Abschätzung wird erforderlich, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Dies ist laut Gesetzesentwurf beim Profiling jeweils der Fall. In der Datenschutz-Folgenabschätzung sind die geplante Bearbeitung sowie die Risiken für die betroffene Person und die Schutzmassnahmen zu umschreiben.

Föderaler Datenschutz

Im revidierten DSG werden ansonsten keine Berge versetzt. Nach wie vor gelten die Prinzipien der Rechtmässigkeit und der Richtigkeit, wonach Behörden Personendaten nur auf Basis einer gesetzlichen Grundlage bearbeiten dürfen. Zudem müssen die Daten nachweisbar korrekt sein.

Wie bisher wird das DSG aufseiten der Datenbearbeiter Private und die Bundesorgane erfassen. Auf kommunaler Stufe wird also weiterhin ein Blick in das betreffende kantonale Informations- und Datenschutzgesetz notwendig sein.

Unter dem Titel des föderalen Datenschutzes weist Bruno Baeriswyl, Datenschutzbeauftragter des Kantons Zürich, darauf hin, dass Datenschutz keineswegs nur ein Thema für die Zentralverwaltung und die Privatwirtschaft ist. Die Gesetze gelten auch für Privatbetriebe, die mit öffentlichen Aufgaben von Kanton oder Gemeinden betraut sind. Gleichermassen fallen privatrechtlich agierende öffentlichrechtliche Organisationen darunter.

Die Behörden und Unternehmen werden im Datenschutz aktiver agieren müssen als bisher. Die Anforderungen an die Transparenz und die ausdrückliche Einwilligung der Betroffenen werden strenger, bei entsprechend angezogener Sanktionsschraube im Unterlassungsfalle. Noch verbleibt den Verantwortlichen in den Betrieben etwasZeit, das Nötige vorzukehren.