Das sagt der oberste Zürcher Datenschützer zur EU-DSGVO
Die Schonfrist für die Europäische Datenschutz-Grundverordnung (EU-DSGVO) ist abgelaufen und das neue Schweizer Datenschutzgesetz steht in den Startlöchern. Für viele Schweizer Unternehmen bringt die EU-DSGVO grosse Änderungen. Bruno Baeriswyl, Datenschutzbeauftragter des Kantons Zürich, nimmt dazu Stellung.
Wie haben Sie die Debatte um die EU-DSGVO erlebt?
Bruno Baeriswyl: Die Debatte zeigte – und zeigt – eine grosse Verunsicherung in Bezug auf die Wirkung der EU-DSGVO auf die einzelnen Unternehmen und Datenbearbeiter. Dabei wurden immer neue Details diskutiert und die grossen Linien sind ein wenig aus dem Blick geraten. Es ist aber normal, dass nicht alles von Anfang an klar ist, wenn eine neue Gesetzgebung in Kraft tritt. Dies ist umso mehr der Fall, als es sich hier um eine neue rechtliche Regulierung von Datenbearbeitungen handelt, die in unserer technologieorientierten Gesellschaft einer besonderen Dynamik unterliegen.
Haben sich die Schweizer Unternehmen ausreichend vorbereitet für die EU-DSGVO?
Der definitive Text der EU-DSGVO war ja schon seit mehr als zwei Jahren bekannt. Schweizer Unternehmen, die auf dem globalen Markt tätig sind und auch in der EU Niederlassungen haben, haben sich seither mit dieser Gesetzgebung auseinandergesetzt und sind heute auch in einer Situation, in der sie mit einer gewissen Gelassenheit den Vollzug der EU-DSGVO in der Praxis mitverfolgen können. Dieser Vollzug ist nämlich alles andere als einfach, geht es doch darum, die bisher unterschiedliche Datenschutzpraxis in den einzelnen EU-Ländern zu vereinheitlichen. Hier wartet noch eine grosse Aufgabe auf die verschiedenen EU-Datenschutzbehörden, die hierfür in einem Gremium zusammengeschlossen sind. Auch wird es noch einige Jahre dauern, bis die ersten Gerichtsurteile des Europäischen Gerichtshofs (EuGH) vorliegen, die Gewissheit bei offenen Rechtsfragen schaffen. Unternehmen, die sich erst jetzt mit dem Thema der EU-DSGVO beschäftigen, sind wahrscheinlich in Bezug auf die schweizerische Datenschutzgesetzgebung auch nicht à jour. Ihnen ist zu raten, sich grundsätzlich mit den datenschutzrechtlichen Rahmenbedingungen ihrer Tätigkeit auseinanderzusetzen und die spezifischen Fragen in Bezug auf die Anwendbarkeit der EU-DSGVO für ihr Unternehmen in diesem Zusammenhang zu prüfen.
Erhielten Sie viele Anfragen zu dem Thema?
Das Thema der EU-DSGVO hat in den letzten Wochen viele bewegt, und die diesbezüglichen Anfragen haben bei allen Datenschutzbehörden stark zugenommen. Es war aber nicht möglich, alle Anfragen individuell zu beantworten. Darum gibt es auch Merkblätter für öffentliche Organe und Unternehmen.
Was waren die häufigsten Probleme, und wie konnten Sie helfen?
Die Grundfrage, die sich überall stellte, war die, ob die EU-DSGVO überhaupt zur Anwendung gelangt. Dabei war von Anfang an klar, dass wer eine Niederlassung in einem EU-Staat hat, damit unter den Geltungsbereich der EU-DSGVO fällt. Sie kennt aber auch das sogenannte Marktortprinzip. Dieses sagt, dass wer Waren und Dienstleistungen Bürgern in der EU anbietet oder das Verhalten von EU-Bürgern beobachtet, unter die Bestimmungen der EU-DSGVO fällt. Wer nun auf seiner Website Produkte anbietet und sich klar auch an Personen in der EU wendet, beispielsweise weil er Preise in Euro nennt, der fällt unter die Bestimmungen der EU-DSGVO. Ebenso derjenige, der mit Trackingtools auf seiner Website das Verhalten von Nutzern auch aus der EU beobachtet. Diese Bestimmungen muss man aber nüchtern betrachten. Die Absicht dahinter ist, die grossen amerikanischen Firmen, die umfassend Daten über Personen in der EU bearbeiten, in den "datenschutzrechtlichen Griff" zu bekommen. Der Fokus liegt also nicht auf den vielen kleinen Unternehmen in der Schweiz, die auch einmal ein Produkt oder eine Dienstleistung für Personen in der EU anbieten. Sofern sie die Dienstleistungen in der Schweiz erbringen – zum Beispiel ein Hotelier –, erscheint eine Anwendung der EU-DSGVO grundsätzlich fragwürdig. Aber ich bin erstaunt, wie schnell Leute in der Schweiz bereit sind, die eigene Souveränität aufzugeben und die Anwendbarkeit ausländischen Rechts annehmen, ohne dass in Bezug auf die EU-DSGVO die Schweiz irgendeine Verpflichtung hierzu hätte.
Es gibt Unternehmen, die ihre Aktivitäten in Europa wegen der EU-DSGVO eingestellt haben. Was halten Sie davon?
Sofern dies Unternehmen aus den USA oder Asien sind, ist dies nachvollziehbar. Sie fürchten offensichtlich, dass transparent wird, wie sie mit den Daten der Kunden umgehen. Einer der Hauptthemen der EU-DSGVO ist nämlich die Transparenz: Die betroffenen Personen sollen nachvollziehen können, was mit ihren Daten geschieht. Deshalb müssen sie aufgeklärt werden und eine klare und spezifische Einwilligung in die Datenbearbeitung geben. Schweizer Unternehmen, die sich deswegen aus dem EU-Raum zurückziehen, erreichen damit nichts: Das schweizerische Datenschutzgesetz (DSG) wird mit der Revision gleiche Transparenzbestimmungen erhalten.
Sind die neuen Datenschutzbestimmungen in Europa für Firmen ein Wettbewerbsnachteil?
Die Digitalisierung der Gesellschaft, das Internet der Dinge und auch neue Algorithmen werden nicht nur die Menge an persönlichen Daten enorm vergrössern, sondern auch umfassende Auswertungen dieser Daten ermöglichen. Wer hier mit Geschäftsmodellen, die persönliche Daten und Informationen als Grundlage haben, Erfolg haben will, braucht das Vertrauen der Konsumenten. Dies wird aber nur zu gewinnen sein, wenn diese die notwendige Transparenz über die Datenbearbeitungen erhalten. Die EU-DSGVO ist hierzu das Instrument im EU-Binnenmarkt, weshalb ich mittelfristig davon ausgehe, dass der Wettbewerbsvorteil in Europa liegen wird. Das Gleiche gilt übrigens auch bei den staatlichen Datenbearbeitungen. Die Digitalisierung der öffentlichen Verwaltung wird nur erfolgreich sein, wenn die Bürger transparent wissen und nachvollziehen können, was mit ihren Daten geschieht. Deshalb ist es auch hier wichtig, dass analog der EU-DSGVO klare datenschutzrechtliche Vorgaben geschaffen werden.
Kritiker sagen, dass Consultants und Medien das Thema zu sehr aufgebauscht haben. Wie stehen Sie zu dieser Aussage?
Tatsächlich haben hier Consultants sehr viel Staub aufgewirbelt, und die Medien haben sich berufen gefühlt, hier Klarheit zu schaffen, aber dies oftmals nicht erreicht. Bei vielen dieser Consultants handelt es sich um Datenschutzexperten mit Schnellbleiche, die nicht auf der Höhe der Problemstellungen sind und insbesondere die Bedeutung einzelner EU-DSGVO-Bestimmungen in der Praxis nicht einschätzen können. In den Medien sind durchaus auch differenzierte Berichte erschienen, allerdings ist um den 25. Mai herum – beim Inkrafttreten der EU-DSGVO – vieles publiziert worden, das einfach nur noch die allgemeine Verunsicherung etwas steigerte. Zahlreiche Consultants, die Unternehmen bereits seit Jahren im Bereich des Datenschutzes beraten, haben die Ruhe bewahrt. Von ihnen hat man dann auch weniger gelesen!
Die Schweiz arbeitet gerade an der Revision ihres Datenschutzgesetzes. Wann wird diese fertig sein?
Im September 2017 hat der Bundesrat die Botschaft zur Revision verabschiedet und dem Parlament überwiesen. Seither hat sich die Staatspolitische Kommission des Nationalrats mit der Vorlage beschäftigt und einen Vorschlag zu deren Aufteilung vorgelegt. In einem ersten Schritt sollen zwingende Bestimmungen, die sich für die Schweiz aus der Schengen-Assoziierung ergeben, umgesetzt werden. Danach soll die eigentliche Reform diskutiert werden. Der Nationalrat hat diesem Vorgehen zugestimmt. Ich rechne damit, dass ein neues Gesetz spätestens im Jahre 2020 in Kraft treten wird.
Wie schätzen Sie den aktuellen Entwurf ein?
Aus meiner Sicht fehlt es dem Entwurf an der notwendigen Eigenständigkeit. In einer Evaluation hat der Bundesrat festgestellt, dass die Wirkung der bestehenden Datenschutzgesetzgebung abgenommen hat, und in einer Begleitgruppe wurden Lösungen diskutiert. Hiervon wurde praktisch nichts übernommen, sondern der Entwurf beinhaltet eine Übernahme von europäischen Bestimmungen, ohne dass klar wird, warum diese Bestimmungen übernommen werden, andere hingegen nicht. Dabei wäre die Datenschutz-Konvention 108 des Europarats, die am 18. Mai 2018 vom Ministerrat verabschiedet wurde, die konsequente Grundlage für eine Reform gewesen. Nun haben wir zurzeit einen Entwurf, von dem wir nicht wissen, ob er von der EU als gleichwertig betrachtet wird – was wichtig für den gegenseitigen Datenaustausch wäre –, da wichtige Elemente abgeschwächt wurden oder fehlen. Ich erwähne hier die zum Vergleich mit der EU-DSGVO bescheidenen Sanktionen, die nicht einmal von der Datenschutzbehörde verhängt werden können, oder das Fehlen von neuen Instrumenten wie das Recht auf Datenportabilität.
Welche Punkte sollte der Gesetzgeber noch vereinfachen?
Bei vielen Bestimmungen wird nicht klar, wie sie die Wirkung des Datenschutzes stärken sollen. Ich gebe Ihnen hierzu ein Beispiel: Relativ ausführlich wird die "Meldung von Verletzungen der Datensicherheit" ("Data Breach Notification") im Entwurf geregelt (Art. 22). Die Meldepflicht besteht bei hohen Risiken für die Grundrechte mit verschiedenen Ausnahmen in Bezug auf die Informationspflicht der betroffenen Personen. Letztlich ist dies ein zusätzlicher Aufwand, da eine Informationspflicht gegenüber der betroffenen Person insbesondere aus Vertragsrecht bereits besteht und die nachträgliche Information aus datenschutzrechtlicher Sicht nichts zur Wirkung in Bezug auf die Grundrechte der betroffenen Personen beiträgt. Diesen Bürokratismus könnte man sich sparen und sich auf die Minimalverpflichtung aus der erwähnten Konvention beschränken, dass ein solcher Vorfall der Aufsichtsbehörde zu melden ist. Im Rahmen ihrer Kompetenzen entscheidet sie selbstständig, wie damit umzugehen ist.
Welche Punkte fehlen Ihnen im Vergleich zur EU-DSGVO?
Die Absicht, mit der Datenschutzreform auch die Rechte der betroffenen Personen zu stärken, ist im Entwurf nicht klar erkennbar. Da fehlen im Vergleich zur EU-DSGVO das erwähnte Recht auf Datenübertragbarkeit – man erhält seine Daten in einer maschinenlesbaren Form – oder das Recht auf Vergessenwerden, das heisst, dass beispielsweise in einer Suchmaschine nicht mehr persönliche Daten auftauchen, die längst an Bedeutung verloren haben. Wie ein Gerichtsentscheid festgestellt hat, können diese Informationen jahrelang zurückliegende Betreibungen sein.
Was hat die Schweiz besser oder schlechter gemacht als die EU?
Die Schweiz hat den Vorteil, dass sie ihr Datenschutzrecht nur in eine nationale Gesetzgebung integrieren und daher nicht so formulieren muss, wie dies die EU tun muss, damit es in allen Mitgliedsländern verstanden wird. Sie sollte diese Chance aber besser nutzen und auch souveräner an die Reform des Datenschutzrechts herangehen.
Welche Chancen bietet das Datenschutzgesetz?
Die Digitalisierung braucht einen starken Datenschutz, damit das Vertrauen in die Datenbearbeitungen bestehen bleibt. Damit dient ein gutes Datenschutzgesetz den Interessen der Unternehmen, denn Vertrauen ist die Grundlage des Kundenverhältnisses. Auf der anderen Seite gibt es den betroffenen Personen die notwendige Transparenz. Dies trifft auch auf das Verhältnis zwischen der Verwaltung und den Bürgerinnen und Bürgern zu, das ebenso auf Vertrauen basiert.
Wird es schon bald erste Strafen für Schweizer Unternehmen geben?
Nein. Erstens gehe ich davon aus, dass Schweizer Unternehmen ihre datenschutzrechtlichen Risiken korrekt einschätzen und Massnahmen getroffen haben, die sie vor solchen Bussen bewahren. Zweitens werden sich die Datenschutzbehörden zuerst innerhalb der EU in Bezug auf eine Strafpraxis absprechen. Zudem wird der Fokus auf dem EU-Binnenmarkt liegen. Ausländische Unternehmen sind nicht im primären Fokus, und wenn, dann sind es diejenigen, die im Bereich des Datenschutzes schon lange zu den schwarzen Schafen gehören.
Welche Firmen müssen am ehesten Strafen befürchten?
Strafen werden insbesondere diejenigen Firmen treffen, die Daten zu Zwecken verwenden, die sie nicht transparent gemacht haben oder für deren Bearbeitung sie keine ausreichende Einwilligung der betroffenen Personen eingeholt haben. Dabei stehen die grossen Datenbearbeiter im Vordergrund, bei denen die Auswertung von Daten zum Geschäftsmodell gehört, wie beispielsweise im Banken- oder Versicherungsbereich, aber auch bei Social-Media-Anbietern usw.
Welche Ressourcen brauchen Schweizer Datenschutzbehörden, um den neuen Anforderungen an sie gerecht zu werden?
In der aktuellen Entwicklung zur digitalen Gesellschaft erleben wir eine rasante Zunahme der Datenbearbeitungen. Sowohl bei den Unternehmen wie auch beim Staat braucht es "Check and Balance"-Systeme, die dafür sorgen, dass die Rechte der betroffenen Personen angemessen berücksichtigt werden. Datenschutz ist auch ein gesellschaftliches Anliegen: Wir wollen ja nicht manipulierte Konsumenten und manipulierbare Bürgerinnen. Deshalb muss die Technik sozialverträglich gestaltet werden. Die Datenschutzbehörden sind in diesem System ein wichtiger Faktor. Ihre Ressourcen sind heute für diese Rolle bei Weitem nicht ausreichend. Bei vielen Behörden beinhaltet dies eine Verdoppelung der Ressourcen, in einzelnen Kantonen aber noch einiges mehr.
Zur Person
Bruno Baeriswyl ist promovierter Jurist und seit dem 1. August 1994 Datenschutzbeauftragter des Kantons Zürich. Zuvor war er in unterschiedlichen Funktionen bei der Staatsanwaltschaft und dem Bezirksgericht Zürich, dem Internationalen Komitee des Roten Kreuzes, Genf, und bei IBM Schweiz, Zürich, tätig. Er ist Mitglied des Büros von Privatim, der Konferenz der schweizerischen Datenschutzbeauftragten, sowie Mitglied des Leitungsausschusses von TA-Swiss, der Stiftung für Technologiefolgenabschätzung.