Close
Wonach suchen Sie?
Site search
6. März 2017 Welchen Datenschutz braucht die Schweiz?

Digital Business Law Bites # 25

Mit der Reihe "Digital Business Law Bites" geben wir einen kleinen Einblick in die Fülle unserer Erfahrungen und Klientenprojekte rund um digitale Geschäftsprozesse. 

Der EU ist es gelungen, das Thema Datenschutz mit Hilfe der Androhung drakonischer Strafen auf die Agenda von Verwaltungsräten und Geschäftsleitungen in Unternehmen rund um die Welt zu setzen: Die EU-Datenschutz-Grundverordnung (DSGVO) sieht bei Pflichtverletzungen Bussen bis zum höheren Betrag von EUR 20 Mio. bzw. 4% des zuletzt weltweit erzielten Jahresumsatzes vor. Die DSGVO wird im Mai 2018 für alle EU Staaten in Kraft treten und extraterritoriale Wirkungen entfalten. Die abschreckenden Bussen drohen dann all jenen Unternehmen, die ihre Angebote innerhalb der EU zugänglich machen, Kunden aus der EU bedienen oder das Verhalten von Personen in der EU untersuchen. Der Sitz des Unternehmens und der Ort der Datenbearbeitung sind irrelevant.

Die Schweiz verfügt heute über ein von der EU als gleichwertig anerkanntes Datenschutzgesetz. Unternehmen können ohne zusätzliche Massnahmen Daten zwischen der Schweiz und EU Staaten austauschen. Diesen Standortvorteil will die Schweiz nicht aufgeben, wenn die EU ihre verschärfte Verordnung in Kraft setzt. Ausserdem ist die Schweiz verpflichtet, die neue Konvention des Europarates zum Datenschutz umzusetzen. Das Schweizer Datenschutzgesetz aus dem Jahr 1992 befindet sich daher zurzeit in Revision. Der Vorentwurf vom 21. Dezember 2016 (VE-DSG) ist Gegenstand einer Vernehmlassung, die noch bis zum 4. April 2017 andauert.

Der VE-DSG verzichtet zwar auf die Einführung abschreckender Verwaltungsbussen, setzt stattdessen aber auf einen massiv erweiterten strafrechtlichen Sanktionskatalog mit Bussen bis CHF 500'000.– . Sanktioniert werden sollen Verletzungen datenschutzrechtlicher Nebenpflichten wie Informations-, Dokumentations-, Auskunfts-, Melde- und Genehmigungspflichten. Weiterhin nicht strafrechtlich sanktioniert wären Persönlichkeitsverletzungen aufgrund von Datenbearbeitungen und Verletzungen der Datenbearbeitungsgrundsätze – also der eigentliche Kernbereich des Datenschutzes.

Lässt sich die verantwortliche Person in einem Unternehmen nicht mit angemessenem Aufwand feststellen, soll stattdessen dem Unternehmen eine Busse von maximal CHF 100'000.– drohen. Das wäre für Betreiber globaler Online-Plattformen ein Klacks gegenüber einer Busse in der EU. Verantwortliche in Unternehmen in der Schweiz liessen sich demgegenüber leicht feststellen und zur Rechenschaft ziehen. Der Compliance Aufwand von Unternehmen würde exponentiell zunehmen, weil sich die Verantwortlichen gegen strafrechtliche Risiken absichern werden. Ausserdem werden sie sich im Zweifel für eine weniger risikoreiche (und meist weniger innovative) Variante der Datenbearbeitung entscheiden. Das wäre gut für  Beratungsunternehmen und Anwaltskanzleien, nicht aber für Unternehmen, welche innovative datenbasierte Geschäftsmodelle in der Schweiz realisieren möchten.

Auch sonst geht der VE-DSG in vielen Punkten über das hinaus, was gemäss DSGVO ab Mai 2018 in der EU gelten soll. Das Datenschutzteam von VISCHER hat den Gesetzesentwurf analysiert und unterstützt mehrere Verbände und Unternehmen bei der Vorbereitung von Vernehmlassungen. Partner Rolf Auf der Maur erörterte die Kritikpunkte am VE-DSG aus Sicht der ICT Branche anlässlich eines Sessionsanlasses des Dachverbandes ICT Switzerland in Bern. Die Folien der Präsentation sind auf der VISCHER Website zugänglich.

Autor: Rolf Auf der Maur

Autor