Datenwirtschaft, Datenpolitik und Datenregulierung in der Schweiz

Am 30. Januar 2017 fand in Bern eine Veranstaltung zu den erwähnten Themen statt, Thematisiert wurden v.a. die Rahmenbedingungen und Überlegungen, Strategien und Handlungsoptionen von Bund, Unternehmen und dem Einzelnen. Organisiert wurde die Veranstaltung von SwissHoldings, einer Interessenorganisation grosser Handels- und Industrieunternehmen, unter der Federführung des ehemaligen KRM Mitgründers Jacques Beglinger. Die Veranstaltung war ausgebucht, das Interesse entsprechend gross.

Agenda:

  • Datenbewirtschaftung als ökonomischer Motor – Herausforderung und Praxis in den Unternehmen
  • Wie die Digitalisierung und die Datennutzung international reguliert werden
  • Ansätze zur Digitalierungs- und Datenregulierung in der Schweiz

Anwesend waren sehr viele Juristen und Vertreter des Bundes sowie von Forschung und Lehre.

Vieles während dieser Veranstaltung „in the cloud“ (den Begriff nebulös wollen wir mal hier bei Seite lassen). Tatsächlich bewegten sich vor allem die Vertreter des Bundes auf einer Flughöhe, die man also normaler Schmalspurpilot wohl nie erreichen wird. Immerhin gibt es vom Bund seit 2016 ein Strategiepapier zum Thema Digitale Schweiz, welches durchaus lesenswert ist.

In einem geopolitischen Umfeld, welches primär durch Abschottung geprägt ist (der Economist hatte vor ca. 3 Jahren den Begriff der „Balkanisierung“ des Internets ins Spiel gebracht), wird es zunehmend schwieriger, eine konsistente Handlungsweise zu etablieren. Konsistent – aber womit, dass ist doch die Kernfrage. Jene, welche die Übernahme des Datenschutzrechts der EU massregelten, mussten zur Kenntnis nehmen, dass selbst das Privacy Shield Abkommen durch Hrn. Trump in Frage gestellt wird. Im übrigen wurde durch den Bund soeben die CH-Version des Privacy Shield verabschiedet.

Soll sich die Schweiz hier einfach den Datenschutz-Vorgaben der EU fügen? Hier hätte man sich eine intensivere Diskussion gewünscht. Ebenso zur Grundsatzfrage, ob Datenschutz überhaupt noch eine Menschenrecht sein soll. Fakt ist, dass sich heute vermutlich 80% aller Benutzer über den Datenschutz keine Gedanken machen. Die Europaratskonvention 108, welche eben dieses Recht stipuliert, ist der wesentliche Treiber, doch blockiert hier z.B. Russland seit 2011 die weitere Entwicklung (also doch eher eine „l‘art pour l‘art“ Diskussion?). Ansonsten war Datenschutz Bashing wie immer beliebt. Das hat vor allem damit zu tun, dass die negativen Auswirkungen auf den Einzelnen noch nicht eingetreten sind, auch das wurde leider nicht thematisiert.

Für den normalen Industrievertreter war es ein schwieriger Abend. Die Themen, die wirklich interessant gewesen wären (z.B. die Frage nach Daten im Konkurs) wurden nicht beantwortet, bzw. offenbar nicht einmal thematisiert. Ausserdem fehlt dem Bund tatsächlich eine rechtliche Landkarte, welche Themen für die Wirtschaft wirklich Handlungsbedarf besteht. Immerhin hat der Bund einen Bericht zu den Rahmenbedingungen der digitalen Wirtschaft publiziert, allerdings handelt es sich dabei bisher eher um einen Auftragskatalog. Darin gibt es einen Auftrag an das SECO, die Rahmenbedingungen der Digitalisierung zu prüfen („Digitalisierungstest“). Dazu lässt man sich bis 2018 Zeit! Würde man die Praktiker fragen, hätte man die Antwort in einer Woche. Auch nicht klar wurde die Haltung gegenüber den Monopolanbietern Uber und Co. Hier könnte man erwarten, dass es seitens des Bundes zumindest Überlegungen gibt, wie man eine Monopolisierung dieser Märkte verhindern könnte.

Fazit: Während sich der Bund in einsame Höhen schraubt, bleibt dem dem normalen Industrievertreter oder dem Praktiker nur das Staunen. Es scheint sich zu bewahrheiten, dass die Beamten in Bern je länger je mehr von der Wirtschaft entkoppelt sind. Es wird wohl langsam Zeit, dass hier wieder ein Umdenken stattfindet. Den Lobbyisten im Parlament sei geraten, das Thema einfach und klar zu kommunizieren und sich wieder auf die Grundlagen zurück zu besinnen. Vor allem ein Blick in die Wirtschaft wäre wünschenswert. Es gibt mittlerweile genügend Spezialisten, die sich tagtäglich mit diesen Themen auseinandersetzen.

PS: Die Geschäftsbücherverordnung wurde Ende der neunziger Jahre durch Industrievertreter, d.h. eine Kommission des Swico erarbeitet. Ein Vorgehen, welches heute schlicht undenkbar wäre.

PPS: Politiker waren fast keine da (ausser dem umtriebigen SR Noser, welcher die Begrüssungsrede hielt), auch dies ist keine neue Erfahrung. An der Politik geht die grösste Entwicklung seit der Erfindung des Flugzeugs vorbei. Milchzuschläge können vermutlich noch immer 100x mehr Politiker aus dem Vorruhestand bewegen als die unmittelbare Zukunft der Schweizer Wirtschaft.

Revision des Schweizerischen Datenschutzgesetzes

Worum geht es?

Kurz vor Weihnachten 2016 hat der Bundesrat den Entwurf für das neue Datenschutzgesetz der Schweiz präsentiert. Seit längerem hat man darauf gewartet, dass die Verwaltung einen Vorschlag präsentiert, wie das in die Jahre gekommene Datenschutzgesetz erneuert werden soll. Zudem besteht ein hoher Druck, die geltende Gesetzesvorschrift anzupassen. Dieser Druck kommt von der Europäischen Gemeinschaft, die mit der neuen Datenschutz Grundverordnung (DS-GVO), eine Rechtsgrundlage geschaffen hat, um den Datenschutz den neuen Gegebenheiten anzupassen und europaweit zu standardisieren.

Es herrscht folglich ein grosser Zugzwang, da die EU-Verordnung ab 25.5.2018 direkt Wirkung entfaltet, auch wenn keine nationale Umsetzung stattfindet. Damit die Schweiz nicht als unsicheres Drittland gilt (und damit faktisch ein Datenbearbeitungs- und Weitergabeverbot für EU-Unternehmen greift), muss sie ihre gesetzlichen Grundlagen anpassen. Dies ist einer der wesentlichen Gründe, wieso vor Weihnachten ein neuer Gesetzesentwurf in die Vernehmlassung geschickt worden ist. Auf Grund der Dauer der Vernehmlassung und der folgenden parlamentarischen Behandlung wird es schwierig sein, das Gesetz bis zum Inkrafttreten der EU Verordnung in der Schweiz in Kraft zu setzen.

Was sind die wichtigsten Inhalte und wo gibt es wesentliche Änderungen?

Die Schweiz übernimmt die wesentlichen Änderungen, welche in der DS-GVO aufgenommen wurden. Dieser Artikel beleuchtet vorab einige zentrale Aspekte des Datenschutzgesetzes. Es würde zu weit führen, hier sämtliche Änderungen aufzulisten, hierzu wird noch ausführlich Stellung genommen. Eine Arbeitsgruppe des SWICO wird den Vorentwurf detailliert analysieren und eine umfassende Stellungnahme abgeben (der Schreibende ist Mitglied dieser Arbeitsgruppe).

Grundprinzipien

Voraus sei gesagt: Vom Grundsatz der „Informationellen Selbstbestimmung“ wird nicht abgewichen. Dies ist zumindest schon mal bemerkenswert, denn damit wird das verfassungsmässige Grundrecht, dass jede Person über ihre Daten selbst entscheiden kann, weitergeführt. Das Nutzungsverhalten bei modernen Kommunikationsdiensten (Social Media wie Facebook, Messenger wie Whatsapp, Instagram oder Snapchat,) sieht allerdings anders aus. Diese Dienste verleiten die Benutzer zu einem leichtfertigen Umgang mit persönlichen Daten, was bis anhin allerdings kaum auf Kritik stiess. Man kann sich deshalb also durchaus fragen, ob dieser Schutz der Persönlichkeit noch einem gesellschaftlichen Bedürfnis entspricht,. Diese Diskussion muss zwingend geführt werden, hat jedoch derzeit keinen Einfluss auf die mittelfristige Umsetzung. Es ist sicher damit zu rechnen, dass die Durchsetzung der europäischen Prinzipien international auf starken Widerstand stossen wird (vgl. die Lobbyarbeit der amerikanischen Anbieter im Rahmen der Verhandlungen im EU-Parlament).

Es wurden viele begriffliche Anpassungen gemacht. Dies insbesondere, um die Begriffe mit der EU abzustimmen. Das vereinfacht die Abstimmung und das Verständnis. Der Schutz der juristischen Personen wurde aufgehoben, damit passt man sich den europäischen Regelungen an.

Berücksichtigung neuer Techniken

Eine wesentliche Neuerung betrifft die Berücksichtigung neuer Techniken, die sich in den letzten Jahren im Internet etabliert haben. Dazu zählt zum Beispiel das so genannte Profiling (Art. 3 Abs.1 lit. f.), also die Generierung von Persönlichkeitsprofilen aufgrund öffentlich vorhandener Daten (Teilbereich von „Big Data“). Ebenfalls von grosser Bedeutung sind so genannte automatische oder autonome Entscheide (Art. 15). Dabei handelt es sich um Online-Entscheide, die aufgrund von automatischen Prozessen gefällt werden (keine Interaktion durch einen Menschen, wie z.B. die vollautomatische Bonitätsprüfungen).

Rechte der Betroffenen

Die Rechte der Betroffenen wurden massiv verbessert. Es gibt mehr Arbeit für den eidgenössischen Datenschutzbeauftragten. Sein Aufgabenkatalog wurde wesentlich erweitert (u.a. Art. 37, Art. 5, Art. 7, Art. 16, Art. 17), was einen grösseren Ausbau dieser Behörde zur Folge haben wird. Hier dürften die Rückmeldungen aus der Vernehmlassung, je nach politischer Gesinnungslage, entsprechend kritisch ausfallen.

Pflichten des Verantwortlichen und des Bearbeiters

Den Verantwortlichen treffen nur wenig neue Pflichten. Allerdings haben es einige davon in sich. Der Bearbeiter muss z.B. in der Lage sein, Daten zu berichtigen und den Datenschutzbeauftragten zu informieren, wenn Manipulationen oder Verluste von Personendaten zu befürchten sind (Art. 17).

Der Betroffene hat ein jederzeitiges Auskunftsrecht über alle Datenbestände und Aktionen, welche diese Daten betreffen (Art. 20). Dies ist zwar nicht neu, wird jedoch im Gesetz nochmals ausdrücklich festgehalten. Das Auskunftsrecht bezieht sich explizit auch auf die Aufbewahrungsdauer.

Neu festgehalten wird ein explizites Recht auf Löschung, welches auch durch die Erben ausgeübt werden kann („Digitaler Tod“, Art. 12). Auch dieses gilt selbstverständlich über alle angelegten Datenbestände. Nach wie vor gilt natürlich auch das Recht auf die Datenberichtigung. Offensichtlich unrichtige Daten müssen durch den Verantwortlichen oder durch den Bearbeiter jederzeit angepasst werden können. Hier gibt es einen Konflikt mit den Vorschriften des Aufbewahrungsrechts, welche gelöst werden müssen. Der Verantwortliche muss also Verfahren zur Verfügung stellen, die es den Betroffenen ermöglichen, unrichtige Daten so anzupassen, dass sie mit der äusseren Realität in Einklang stehen. Das ist eine Herausforderung für die Archivierung, bzw. die Gestaltung des Daten-Management-Konzepts.

Neu werden die Pflichten im Rahmen der Auftragsdatenverarbeitung explizit geregelt und es soll dazu eine Verordnung erstellt werden (Art. 7). Der Verantwortliche hat umfassende Pflichten zur Meldung verschiedenster Tatbestände rund um den Datenschutz. Im europäischen Ausland ist die Regelung der Auftragsdatenbearbeitung ein wesentlicher Auslöser von vertraglichen und technischen Kontrollsystemen und wird damit auch für die Schweiz wesentlich wichtiger.

Neu aufgenommen und von grosser Bedeutung für die Unternehmen ist die Pflicht zur Dokumentation der Verfahren. Art. 19 fordert explizit eine Dokumentation aller Verfahren. Damit bewegt man sich auf einem ähnlichen Terrain, wie bei der Verfahrensdokumentation im Rahmen der Aufbewahrungspflichten der Geschäftsbücherverordnung, der Mehrwertsteuer und damit auch allen Rechtsnormen, welche auf diese grundlegenden Vorschriften verweisen.

Risikoanalyse, Prüfung und Zertifizierung

Neu verlangt das Gesetz nach einer Vorprüfung, wenn die Rechte der Betroffenen durch die geplante Bearbeitung gefährdet sein könnten. Diese Prüfung wird Datenschutz-Folgenabschätzung genannt (Art. 16). Auch hier handelt es sich um eine Übernahme aus dem EU-Recht. Dabei geht es im wesentlichen um eine Risikoanalyse, welche durchgeführt werden muss, bevor die Datenbearbeitung (App, Service) in Betrieb geht. Diese Datenschutz-Folgenabschätzung muss erstellt werden und ist dem eidgenössischen Datenschutzbeauftragten vorzulegen. Hierbei handelt es sich folglich um eine präventive Massnahme, die aber etwas schwerfälliger ausgestaltet wurde. Der eidgenössische Datenschutzbeauftragte hat drei Monate Zeit, um diese Folgenabschätzung zu beurteilen. Diese Frist, wird sich höchstwahrscheinlich in der Praxis nicht durchsetzen können. Es ist damit zu rechnen, dass es hier Widerstand im Rahmen der Vernehmlassung auszugeben geben wird. Das Instrument der Datenschutz-Folgenabschätzung ist unbedingt zu begrüssen. Es verhindert Implementationen von Lösungen, die später mit viel Aufwand angepasst werden müssen (und unter Umständen zur strafrechtlichen Verantwortlichkeit führen).

Nach wie vor möglich ist die Zertifizierung, d.h. sie wird im Rahmen der Neugestaltung des Rechts wesentlich verbessert (Art. 10). Da sie sich an den europäischen Vorgaben orientiert, wird es möglich sein, auch europäische Zertifizierungen zu nutzen, die auf Produkte wie auch auf Verfahren ausgestellt wurden.

Strafandrohungen

Inhaltlich hat die Revision des Datenschutzgesetzes wenig Brisanz. Es gibt eine zentrale Ausnahme, das ist die neue Strafandrohung. Die Schweiz muss sich den EU Vorgaben anpassen, indem Sie die Strafbestimmungen wesentlich verschärft. In der EU gilt eine Strafandrohung von 2-4 % des weltweiten Konzernumsatzes bei Verletzung der zentralen Datenschutzpflichten. In der Schweiz hat man auf eine Prozentzahl verzichtet, nimmt jedoch als Höchstgrenze den absoluten Betrag von Fr. 500’000.- an (Art. 50, allerdings nur bei Vorsatz, bei Fahrlässigkeit gilt die Hälfte). In der Praxis dürfte es kaum je zu Verurteilungen kommen, bei denen der Vorsatz nachweisbar ist. Das dürfte noch zu Diskussionen Anlass geben. Ob diese Grenze im Rahmen der Vernehmlassung so standhalten wird, kann man derzeit schwer beurteilen. Die Schweiz hat hier allerdings wenig Spielraum, denn es gilt der Grundsatz, dass der Datenschutz nur dann mit der EU kompatibel ist, wenn auch die wesentlichen Strafbestimmungen mit der DSG-VO mithalten können. Da die maximale Geldbusse in der DS-GVO 20 Millionen Euro beträgt ist für Diskussionsstoff gesorgt.