«Swiss Finish» für KMU bedrohend?

Das Ziel der Revision des DSG ist es, «die Trans-parenz zu erhöhen und die Selbstbestimmung der betroffenen Personen über ihre Daten zu stärken», schreibt der Bundesrat im Gesetzes-vorentwurf. Es liegen jedoch noch weitere Gründe auf der Hand, in Zeiten der digitalen Umwälzungen ein strengeres Gesetz einzu­ führen:

Der Europarat überarbeitet seine Daten-schutzkonvention, die auch von der Schweiz ratifiziert worden ist. Würde die Schweiz hier nicht Position beziehen, könnte ihr der Status als «sicherer Hafen», als partnerschaftliches Drittland entzogen werden. Die EU revidiert ihre entsprechende Gesetzgebung ebenfalls, wovon Schweizer Unternehmen, die Geschäf-te mit EU-Kunden treiben, ebenso betroffen sein werden.

Kontroverse DSG
Kritik zum neuen Gesetz kommt von allen Sei-ten. Speziell für Klein- und Mittelbetriebe wird sich mit der neuen Gesetzgebung vieles ändern müssen. Kleine KMU wie etwa Werbe-agenturen könnten rigoros verpflichtet wer-den, Teilnehmende eines Rundschreibens oder eines Wettbewerbs nach erfolgter Perso-naldatenerfassung zu informieren – eigentlich ist das bisher das Hauptelement des Gesetzes über unlauteren Wettbewerb (UWG).

Jeder noch so kleine Betrieb müsste Aus-kunft geben können, welche Personendaten er zu welchem Zweck bearbeitet, wer schliesslich für die Bearbeitung von persönlichen Daten verantwortlich ist. Es heisst, mit der Revision will der Bundesrat die Transparenz in der Da-tenbearbeitungen erhöhen und die Selbstbe-stimmung von Bürgerinnen und Bürgern über ihre Daten fördern.

Darüber hinaus sollen die Pflichten der Organe, die für die Datenverarbeitung verant-wortlich sind, ausgeweitet werden. Der Geset-zesentwurf sieht zum Beispiel eine sogenannte Datenschutz-Folgenabschätzung vor. Wenn eine­ Person einem «erhöhten Risiko» durch die Datenerfassung ausgesetzt wird, könnte der ­Datenverarbeitende durch den Eidgenössi-schen Datenschutz- und Öffentlichkeitsbeauf-tragten (EDÖB) sanktioniert, wenn nicht arg gebüsst werden.

Jedoch kritisieren die Wirtschaftsver-bände die strengeren Bestimmungen im Kon-text «Datenfolgeabschätzung» und «erhöhtes Risiko». Betriebliche Informationsverantwort-liche stünden mit dem Rücken zur Wand, wenn sie nicht persönliche Kundendaten mit weiteren Kundenpräferenzen verknüpfen dürfen – respektive für jegliche Datenerfas-sungen zur Verantwortung gezogen werden können.

Jegliche Resultate der Datenfolgeab-schätzung muss dem Datenschützer respek-tive EDÖB vorgelegt werden können. Kritiker des neuen Gesetzes sehen einen immensen Mehraufwand, der auf kleinere Betriebe zu-rollt. Der Schweizerische Gewerbeverband, der die Revision «generell infrage» stellt, äus­ sert sich höchst dezidiert: «Grundsätzlich ist der im Entwurf vorgesehene Ausbau von Do-kumentations- und Meldepflichten unver-hältnismässig.»

Differenzierungen
Befürworter des neuen DSG kommen per se von der Seite Daten- und Konsumentenschutz. Je-doch unterscheidet auch privatim, der Verband der Schweizerischen Datenschutzbeauftragten, explizit zwischen der Revision und dem gelten-den DSG. privatim weist darauf hin, dass einige Punkte zur Datenschutzbestimmung in der Re-vision zu vage formuliert sind:

So gelten die neuen Gesetze beispiels-weise für den privaten Datenbearbeiter («pri-vate Personen») wie auch für öffentliche Or-gane («Bundesorgane»).

Die beauftragten Datenschützer emp-fehlen deshalb, den privatrechtlichen und den öffentlich-rechtlichen Datenschutz in zwei Ge-setzen zu normieren. Eine solche Aufteilung müsste dem Legalitätsprinzip nach Art. 5 Abs. 1 BV (siehe Grundsätze rechtsstaatlichen Han-delns) und der Privatsphäre nach Art. 28 ZGB (siehe auch Bürgerrechte) entsprechen.

Nichtdestotrotz weisen die Datenschüt-zer darauf hin (siehe Stellungnahme vom 9. März 2017), dass für die betriebliche Auf­ gabenerfüllung, etwa für die Datenschutz-­ Folgeabschätzung, mit «erheblich mehr Res-sourcen», mit «maximal ein oder zwei Stellen» hierfür gerechnet werden müsste.

Stellungnahmen
Selbst Juristen alarmieren vor einem Sank­ tionssystem, bei dem einzelne Mitarbeiter – ­etwa in der Werbe- und Datenverarbeitungs-branche – mit schärferen Sanktionen rechnen müssen. So hat auch der Wirtschaftsverband Swico, der Verband der Schweizer ICT-Anbie-ter, eine Subkommission gebildet und Stellung bezogen:

«Die Frist von sechs Monaten zur Geneh-migung für Binding Corporate Rules durch den EDÖB ist viel zu lange, nicht praktikabel und führt zu grosser Rechtsunsicherheit. Hier ist auf die bisherige Regelung von 30 Tagen ab-zustellen», überdies erklärt Christa Hofmann, Head Legal & Public Affairs bei Swico, dass das geltende Datenschutzgesetz die Digitalisie-rung der Schweiz bestens begleitet und seinen Zweck erfüllt hat.

Die Juristin meint ausserdem: «Abzu-lehnen sind neu eingeführte oder erweiterte Pflichten, die als ‹Swiss Finish› über den Stand des durch die DSGVO harmonisierten europäischen Datenschutzes hinausgehen.» Der Kreis der potenziell strafrechtlich ver-antwortlichen Mitarbeitenden könnte laut dem Schweizer Wirtschaftsverband zum Vornherein durch Verträge eingeschränkt werden (entsprechend Art. 29 StGB). Jeden-falls sei dieses «Swiss Finish» zu strikte, was die künftige wirtschaftliche Kompatibilität von Schweizer Betrieben angehe.

«Die Risikobeurteilung im Rahmen neuer Innovationen in der Data Economy müsste immer im Licht einer möglichen straf-rechtlichen Verfolgung der Mitarbeiter ent-sprechender Unternehmen vorgenommen werden, die es so im europäischen Ausland nicht gibt», betont etwa auch der SDV Schwei-zer Dialogmarketing Verband.

Swiss Finish zu streng
Würde das DSGVO wie vorgeschlagen umge-setzt, hätten die Schweizer Wirtschaft und speziell die heimischen KMU einen Standort-nachteil. Solch ein «Alleingang» könnte die In-novationskraft und das Innovationspotenzial der digitalen Wirtschaft in der Schweiz, insbe-sondere Schweizer KMU, benachteiligen. Des-halb lehnt auch die «KS/CS Kommunikation Schweiz» den behördlichen Entwurf ab.

Das Datenschutzgesetz solle nur inso-weit revidiert werden, als es die internationa-len Vorgaben zwingend erfordern. Jeder dar-über hinausgehende «Swiss Finish» (beson-ders gravierend im Bereich «Profiling» und «Sanktionensystem») lehnen die Dachver-bände strikte ab. Ein solcher Strafkatalog sei in der Praxis aussichtslos.

Bis zur Vernehmlassung der Revision, die Ende 2017 im Parlament entschieden werden soll, fliessen noch viele Daten durch Schweizer Server. Um die Kontrolle der Einhaltung des Datenschutzes nicht alleine dem Eidgenössi-schen Datenschutz- und Öffentlichkeitsbeauf-tragten (EDÖB) oder den betroffenen Firmen selbst zu überlassen, könnten sich einige Politi-ker vorstellen, dass der «Swiss Finish» diesen offiziellen Weg nehmen könnte:

Bei jeder intensiven Datenbearbeitung würde ein externer Datenaudit ähnlich einer Finanzrevision oder sonst ein betrieblicher Datenschutzverantwortlicher (ähnlich eines Chief Information Officer) hinzugezogen.