Mit der Verabschiedung des neuen Datenschutzgesetzes wurde die Grundvoraussetzung für die notwendige Äquivalenz mit der EU geschaffen. Dabei galt es, ein ausgewogenes Gleichgewicht zwischen den Bedürfnissen der Unternehmen und der Konsumentinnen und Konsumenten zu finden und bei der Komplexität der Regeln auch auf kleinere Akteure Rücksicht zu nehmen. Das neue Gesetz wird diesen Ansprüchen gerecht, auch wenn der Aufwand für die Unternehmen steigen wird. 

Mehr Rechte für Konsumenten und Nutzer, mehr Pflichten für Unternehmen

Nach mehr als zweijährigen Diskussionen und einer Einigungskonferenz zwischen den Räten wurde am 25. September die Totalrevision des Bundesgesetzes über den Datenschutz verabschiedet. Die Diskussionen zeigten dabei exemplarisch auf, wie schwierig es ist, eine Lösung zu finden, welche dem Schutz der Konsumentinnen und Konsumenten und ihrer Daten gerecht wird, gleichzeitig aber den Aktionsradius der Unternehmen nicht unnötig stark einschränkt.

Einerseits gewährt das neue Gesetz denjenigen, deren Daten gesammelt und weiterverarbeitet werden, neue Rechte. Die Betroffenen sollen mehr Kontrolle über die Verwendung ihrer Daten erhalten. Als Beispiele seien hier das Recht auf Datenportabilität genannt und die Regelung, dass die Datenschutzprinzipien durch eine entsprechende Technikgestaltung und durch datenschutzfreundliche Voreinstellungen der Software systematisch und standardmässig durch die Unternehmen gewährleistet werden müssen (privacy by design und privacy by default). Den Unternehmen werden daneben weitere neue Pflichten auferlegt, um einen  verantwortungsvollen Umgang mit den Kunden- und Nutzerdaten (seien dies bewusst angegebene Adressdaten oder unbewusst hinterlassene Nutzerspuren) sicherzustellen. Diese Pflichten beinhalten unter anderem das Führen eines Verzeichnisses der Datenbearbeitungen, die Meldung von Sicherheitsverletzungen an den eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten oder die Benachrichtigung der von einer Weiterverarbeitung ihrer persönlichen Daten betroffenen Personen.

Das Gesetz geht weniger weit als das europäische Regelwerk, wird den Unternehmen aber dennoch einen erheblichen Anpassungsaufwand abverlangen. Der Zeitpunkt des Inkrafttretens ist noch offen, wird aber voraussichtlich 2022 erfolgen, wobei die Ausführungsverordnungen noch verabschiedet werden müssen. Die Unternehmen sind sicher gut beraten, die Vorbereitungsarbeiten frühzeitig zu starten und den Anpassungsaufwand an die neuen gesetzlichen Anforderungen nicht zu unterschätzen.

Internationale Entwicklungen können nicht ignoriert werden

Die Gesetzesrevision war aus mehreren Gründen dringend notwendig. Bereits 2018 hat die EU mit der europäischen Datenschutz-Grundverordnung (DSGVO) einen neuen Standard gesetzt, der deutlich über den schweizerischen Standard hinausgeht. Dem konnte sich die Schweiz angesichts der starken wirtschaftlichen Verflechtungen nicht (oder nur unter Inkaufnahme schwerwiegender Nachteile) widersetzen. Die DSGVO zielt darauf ab, die Spielregeln betreffend Verwendung, Speicherung und Übertragung von Daten von EU-Bürgern auch durch ausserhalb der EU ansässige Firmen und Institutionen festzulegen. Als Stichwort sei hier das sogenannte Profiling genannt, welches die automatische Erfassung von Persönlichkeitsprofilen anhand der hinterlassenen Spuren auf Webseiten für personalisierte Online-Werbung beinhaltet.

Das Szenario, dass die Schweiz durch die EU in Sachen Datenschutz zukünftig als Drittstaat eingestuft werden würde, dessen Datenschutzbestimmungen das für EU-Bürger  geforderte Niveau nicht gewährleisteten, wäre für die Schweiz mit erheblichen volkswirtschaftlichen Kosten verbunden. Eine Einschränkung oder Verkomplizierung des Datenaustauschs mit den wichtigsten Handelspartnern würde für die Schweizer Unternehmen, insbesondere KMU und solche aus der ICT-Branche, einen gewichtigen Wettbewerbsnachteil darstellen. Sie müssten bei jedem grenzüberschreitenden Geschäftsabschluss nachweisen, dass sie die höheren Standards der EU einhalten. Weiter hätte es für Schweizer Unternehmen einen erheblichen Mehraufwand bedeutet, in Zukunft zwei verschiedene Standards in ihren Prozessen zu berücksichtigen. Wie wichtig die Äquivalenz ist, verdeutlicht der Umstand, dass auch Länder wie Japan oder die USA der EU Garantien betreffend Datenschutz zugesichert haben, um ihre Unternehmen vor Nachteilen zu schützen.

Aus heutiger Sicht ist davon auszugehen, dass das neue Datenschutzgesetz von der EU noch dieses Jahr als gleichwertig zur DSGVO anerkannt werden wird. 

Eine Investition in die Zukunft

Das digitale Zeitalter bringt es mit sich, dass Daten in stetig steigender Zahl anfallen. Ebenso hat sich die Erkenntnis durchgesetzt, dass Daten der Rohstoff der digitalen Welt und damit ein wertvolles wirtschaftliches Gut sind, welches es zu schützen gilt.

Ein moderner und zukunftsweisender Datenschutz sollte daher auf den Prämissen der Transparenz, nutzerfreundlichen Kontrollmöglichkeiten für die Betroffenen und Sorgfaltspflichten für Unternehmen, welche intensiv Daten nutzen, beruhen. Gleichzeitig ist es wichtig, die den Unternehmen auferlegten Pflichten und die Komplexität der Regeln massvoll zu gestalten, damit der zusätzliche Aufwand für die Unternehmen auf ein vertretbares Mass reduziert werden kann. Positiv zu werten ist die Chance, dass der sorgfältige und verantwortungsvolle Umgang mit Kundendaten zunehmend auch zu einem strategischen Erfolgsfaktor werden kann. Aus unternehmerischer Sicht lassen sich so das Kundenvertrauen und die Reputation steigern und Haftungsrisiken reduzieren.

Die Schweiz war gut beraten, ihr historisch gewachsenes Datenschutzgesetz mit Blick auf einen modernen und zweckmässigen Datenschutz dem digitalen Zeitalter anzupassen und gleichzeitig dem europäischen Regelwerk möglichst anzugleichen. Dies stärkt auch das Vertrauen in den Wirtschafts- und Datenstandort Schweiz als Ganzes und ist daher volkswirtschaftlich wünschenswert.