Warum die DSGVO bislang mehr Bürokratie statt Datenschutz bringt
Seit die Datenschutz-Grundverordnung der EU am 25. Mai 2018 Gültigkeit erlangte, hat sich einiges getan. Datenschutzexperte Martin Steiger erklärt, was die Verordnung in der Schweiz bewirkt, was sich noch ändern muss und warum Facebook nun mehr Datenschutz fordert.
Seit gut einem Jahr ist die EU-DSGVO wirksam. Was hat die Verordnung Ihrer Ansicht nach bewirkt?
Martin Steiger: Die Aufmerksamkeit für das Datenschutzrecht ist erheblich gewachsen. Ein Thema, das vor dem 25. Mai 2018 ein Nischendasein gefristet hatte, sorgt heute fast jeden Tag für Schlagzeilen. Gleichzeitig hat sich für Unternehmen und alle anderen, die Personendaten im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) bearbeiten, der administrative Aufwand erheblich erhöht. Es werden Auftragsverarbeitungsverträge abgeschlossen, Datenschutzerklärungen überarbeitet, EU-Datenschutz-Vertreter benannt und Verarbeitungsverzeichnisse geführt. Vor lauter Compliance bleibt der tatsächliche Datenschutz häufig auf der Strecke. Bislang brachte die DSGVO nicht in erster Linie den betroffenen Personen mehr Datenschutz, sondern vor allem mehr Bürokratie für alle, die Personendaten bearbeiten. Dennoch setzt die DSGVO den neuen weltweiten Standard, denn am Europäischen Wirtschaftsraum (EWR) als Markt führt kaum ein Weg vorbei.
Wie steht es heute um den Datenschutz in der Schweiz?
Auf dem Papier ist der Datenschutz in der Schweiz angemessen gewährleistet. Im Gegensatz zur EU gilt in der Schweiz für die Bearbeitung von Daten kein Verbot mit Erlaubnisvorbehalt, sondern eine Erlaubnis mit Verbotsvorbehalt: Was nicht verboten ist, ist erlaubt. Dieser risikobasierte Umgang mit Daten beziehungsweise Informationen hat sich im Informationszeitalter bewährt. Daran möchte die Schweiz auch bei der laufenden Revision des Datenschutzgesetzes (DSG) festhalten, obwohl abgesehen davon viele Elemente der DSGVO übernommen werden sollen. Die Revision soll vor allem sicherstellen, dass die EU das Datenschutzrecht in der Schweiz weiterhin als angemessen anerkennt, so dass der freie Datenverkehr zwischen dem EWR und der Schweiz gewährleistet bleibt. In der Praxis leidet der private Datenschutz in der Schweiz daran, dass betroffene Personen ihre Rechte häufig nicht durchsetzen können. Jede betroffene Person muss selbst Klage erheben. Ein solches Vorgehen braucht persönliche Energie und viel Zeit. Dazu kommen erhebliche Kosten für das Gerichtsverfahren und die Vertretung durch einen spezialisierten Rechtsanwalt. Beim staatlichen Datenschutz ist zu beobachten, dass dieser fortlaufend geschwächt wird, zum Beispiel mit Massenüberwachung der gesamten Bevölkerung ohne Anlass und Verdacht.
Wie weit sind Schweizer KMUs mit der Umsetzung der neuen Datenschutz-Regeln?
Der Stand der Umsetzung ist sehr unterschiedlich. Manche KMUs haben noch nicht einmal das bestehende schweizerische Datenschutzrecht umgesetzt, andere hingegen haben aufgrund der DSGVO ein Datenschutzmanagement eingeführt und ihre Compliance sichergestellt. In jedem Fall ist inzwischen fast jedem Schweizer Unternehmen klar, dass es sich verstärkt um den Datenschutz kümmern muss oder müsste. Bei vielen KMUs kam der Anstoss von Geschäftspartnern und Kunden, gerade aus der EU. Die vertragliche Verpflichtung gegenüber einem Kunden oder Lieferanten, das Datenschutzrecht einzuhalten, setzt einen starken Anreiz für Compliance.
Was hindert hiesige Unternehmen daran, die Umsetzung der Vorgaben voranzutreiben?
Die meisten KMUs budgetieren neben dem Tagesgeschäft nur beschränkte oder gar keine Ressourcen für Compliance. Während Buchhaltung und Steuern an einen Treuhänder ausgelagert werden können, muss man sich mit dem Datenschutzrecht immer auch selbst befassen. Dazu kommt, dass Datenschutzrecht eine Querschnittmaterie ist, die viel Erfahrung voraussetzt. In der Folge sind Fachpersonen, die risikobasiert und zielorientiert beraten können, teure Mangelware. Ausserdem gibt es im Umgang mit dem Datenschutzrecht viele Irrtümer und Missverständnisse. Einerseits ist vielen Unternehmen gar nicht klar, dass sie teilweise unter die DSGVO fallen, zum Beispiel aufgrund von Kunden im Fürstentum Liechtenstein. Andererseits verpflichten sich viele andere Unternehmen in Datenschutzerklärungen und Verträgen ohne Not zur vollständigen Einhaltung der DSGVO – und können diese dann gar nicht einhalten. Anschauungsmaterial liefert häufig schon die Datenschutzerklärung, zum Beispiel, wenn als Stand der 25. Mai 2018 erwähnt wird: Was ursprünglich als Signal zur Einhaltung der DSGVO gedacht war, zeigt heute auf den ersten Blick, dass die Datenschutzerklärung nicht aktuell ist. In vielen Datenschutzerklärungen wird auch behauptet, man halte die DSGVO ein, doch fehlen dann die Angaben zum EU-Datenschutz-Vertreter.
Der EU-Ministerrat hat den Schweizer Datenschutz im Rahmen der Prüfung des Schengen-Abkommens kritisiert. Die kantonalen Datenschutzstellen hätten zu wenig Ressourcen und zu wenig Entscheidungsgewalt. Wie beurteilen Sie die Situation?
Die Datenschutzaufsichtsbehörden in der Schweiz müssen tatsächlich mit wenig Ressourcen auskommen. So verfügte 2018 beispielsweise der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) über 24 Stellen im Datenschutzbereich. Mit diesen Stellen muss der EDÖB in mehreren Sprachen alle Bundesorgane und alle Privatpersonen in der Schweiz beaufsichtigen und beraten. In vielen Kantonen und Städten gibt es für den Datenschutz lediglich Teilzeitstellen. Beim EDÖB besteht mit der DSG-Revision immerhin die Hoffnung, dass die Zahl der Stellen erhöht werden kann. Gleichzeitig müssen die Datenschutzaufsichtsbehörden darauf achten, dass ihre Unabhängigkeit nicht nur in der Theorie besteht. So sollten sich die staatlichen Datenschutzbeauftragten in der Verwaltung für einen wirksamen Datenschutz einsetzen und nicht nur auf gesetzliche Grundlagen achten, sondern auch die Gewährleistung der Verhältnismässigkeit ohne Wenn und Aber einfordern.
Was muss sich ändern, damit der Datenschutz hierzulande mehr Gewicht erhält?
In erster Linie müssen die Rechte der betroffenen Personen gestärkt werden. Dazu gehören gestärkte und kostenlose Auskunftsrechte sowie ein neues Recht auf Datenübertragbarkeit nach Vorbild der DSGVO. Dazu gehören auch Möglichkeiten, dass datenschutzrechtliche Ansprüche von betroffenen Personen tatsächlich durchgesetzt werden können. Bei Klagen aus Datenschutzrecht sollten keine Gerichtskosten erhoben werden. Hilfreich wären Sammel- und Verbandsklagen sein, wie sie aus dem Umweltschutzrecht bekannt sind. Hingegen sollte die Wirksamkeit von Strafbestimmungen nicht überschätzt werden. Gleichzeitig muss das Datenschutzrecht für jene, die Personendaten bearbeiten, umsetzbar und zielführend bleiben. So ist es beispielsweise unsinnig, wenn jedes Unternehmen fortlaufend ein Verarbeitungsverzeichnis führen muss. Es würde genügen, dass jedes Unternehmen ein solches Verzeichnis auf Anforderung einer Datenschutzaufsichtsbehörde hin innert nützlicher Frist liefern können müsste.
Facebook-Chef Mark Zuckerberg forderte unlängst eine weltweite Internet-Regulierung nach dem Vorbild der EU-DSGVO. Was halten Sie von dieser Aussage?
Regulierungen bevorteilen grosse und internationale Unternehmen. Ein Unternehmen wie Facebook kann sich den Umgang mit der komplexen und teilweise widersprüchlichen DSGVO leisten – bis hin zu Geldbussen und Verfahren mit Datenschutzaufsichtsbehörden. Start-ups und andere KMUs haben normalerweise keine solchen Möglichkeiten und können allenfalls gar nicht erst weltweit in Konkurrenz mit Facebook treten. Dadurch entfällt Disruption, wie sie für Fortschritt und Wettbewerb im digitalen Raum zwingend ist. Wenn Mark Zuckerberg mehr Regulierung fordert, sollte man immer davon ausgehen, dass die Forderung im Interesse von Facebook liegt und nicht dem Gemeinwohl dient.