touNEWS
Das neue Datenschutzgesetz ist da!
Autor : Luana Perri — Di, 07.03.2023
Was ist denn neu am «neuen» Gesetz? Änderungen kurz und knackig im untenstehenden Artikel von © Galaxus erklärt.
Im Mai 2018 hat die Europäische Union die neue Datenschutzgrundverordnung (DSGVO) eingeführt. Mehr als fünf Jahre später folgt nun der «Sonderfall Schweiz» mit seiner Version des aufdatierten Datenschutzgesetzes (DSG). David Vasella, promovierter Jurist und Partner der Anwaltskanzlei Walder Wyss AG, beschäftigt sich seit vielen Jahren mit allen Facetten des Datenschutzes. Er kennt die neuen Gesetze und Verordnungen, welche die Verwaltungen in Brüssel und Bern nach jahrelangen Debatten ausgespuckt haben.
David: Warum braucht die Schweiz ein neues Datenschutzgesetz?
Das erste Bundesgesetz über den Datenschutz stammt aus dem Jahr 1992. In diesem Jahr kam Neymar zur Welt, Windows 3.0 wurde veröffentlicht, Kurt Cobain rockte mit Nirvana und der US-Präsident hiess Bill Clinton. Nur drei Jahre zuvor war das World Wide Web entwickelt worden. Kurzum: Das ist eine ziemliche Weile her. Vieles hat sich seither verändert. Das neue Datenschutzgesetz soll die technischen und gesellschaftlichen Entwicklungen seither berücksichtigen. Gleichzeitig muss es mit dem EU-Recht kompatibel sein – sprich mit der Datenschutz-Grundverordnung (DSGVO) und einer revidierten Konvention, welche die Schweiz umzusetzen hat. Den freien Datenverkehr mit unseren europäischen Nachbarn sicherzustellen, das ist definitiv in unserem Interesse.
Was ist denn neu am «neuen» Gesetz?
Was die Bearbeitungsgrundsätze angeht, bleibt alles beim Alten. Es braucht für die Verwendung von Personendaten grundsätzlich keine Einwilligung und auch sonst keine Rechtfertigung. Dies jedenfalls, solange die Verwendung von Personendaten den Grundsätzen der Transparenz folgt und keine Daten zweckentfremdet werden. Das neue Gesetz sieht aber noch eine zweite, dritte und vierte Verteidigungslinie vor, um einen umfassenden Datenschutz sicherzustellen – eine Art Zwiebelschichtprinzip für den Datenschutz.
Wie genau sehen diese «Zwiebelschichten» aus?
Die zweite Schicht besteht aus flankierenden Massnahmen, etwa in der Dokumentation oder der Risikoeinschätzung. Die dritte Schicht bilden die Konsumentinnen und Konsumenten selbst. Sie haben klar definierte Rechte und müssen aktiv über die meisten Datenbearbeitungen informiert werden.
Sie können auch Einwilligungen widerrufen und Auskunft über die Bearbeitung ihrer Daten einverlangen. Bleibt die vierte Linie – der Vollzug des Gesetzes.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) kann heute nur Empfehlungen abgeben und nachträglich vor dem Bundes-
verwaltungsgericht klagen, wenn er der Meinung ist, dass das Datenschutzrecht verletzt werde. Die Verfahren dauern Jahre. Neu kann der EDÖB direkt Verfügungen erlassen und z.B. die Anpassung einer Datenbearbeitung verlangen. Ist ein Unternehmen damit nicht einverstanden, muss es sich ans Bundes-
verwaltungsgericht wenden.
Was geschieht konkret, wenn sich Unternehmen nicht ans Datenschutzgesetz halten?
Bei bestimmten Zuwiderhandlungen drohen schon heute Bussen. In der Praxis werden sie aber praktisch nie ausgesprochen. Das ändert sich mit dem neuen Gesetz. Wenn beispielsweise jemand die Informationspflicht verletzt, eine unvollständige oder falsche Datenschutzauskunft gibt oder Personendaten unerlaubterweise ins Ausland übermittelt, kann eine Busse von bis zu 250'000 Franken ausgesprochen werden. Wichtig ist dabei: Die Busse trifft nicht das Unternehmen selbst, sondern primär jene Person, die effektiv für die Verletzung des Datenschutzgesetzes verantwortlich ist. Wer mit Personendaten umgeht, hat also ein grosses Interesse, seinen Job ernst zu nehmen.
Was muss ich als Konsumentin oder Konsument über das neue DSG wissen?
Im Grunde genommen nicht viel. Es sind die Unternehmen, die in der Pflicht sind, korrekt mit den Daten umzugehen. Darauf darf ich mich verlassen. Habe ich ein schlechtes Gefühl dabei, verfüge ich über die nötigen Auskunftsrechte, um herauszufinden, wie das Unternehmen mit meinen Personendaten umgeht.
Und wie schützt das neue DSG nun die Daten der Konsumentinnen und Konsumenten?
In erster Linie werden die Rechte der Konsumenten gestärkt und die Transparenz erhöht. Alle Unternehmen müssen z.B. neue Datenschutzerklärungen veröffentlichen. Das klingt zwar gut, ist aber eher eine Scheinlösung. Auch ich als Anwalt habe weder die Zeit noch die Lust, sämtliche Datenschutzerklärungen zu lesen. Grundsätzlich positiv ist aber, dass die Unternehmen mehr flankierende Massnahmen treffen müssen, um bewusst und verantwortungsvoll mit Personendaten umzugehen. Hinzu kommen die Durchsetzungsmechanismen. Wie erwähnt kann der EDÖB neu direkt eingreifen, wenn er der Meinung ist, dass der Datenschutz verletzt wird. Das neue DSG wählt also einen differenzierten Ansatz. Der Schutz der Konsumentinnen und Konsumenten ist umfassend und beruht auf verschiedenen Pfeilern, die alle ineinandergreifen. Wenn das die Folge hat, dass der Datenschutz effektiv verbessert und das Konsumentenvertrauen geschützt wird, ist das natürlich eine gute Sache.
Welche Pflichten sind auf Unternehmensseite zu berücksichtigen?
Das Datenschutzrecht sieht für die Unternehmen sehr viele, unterschiedliche Pflichten vor – und mehr noch für die Bundesorgane. Dies hier im Detail zu erläutern, würde die User vielleicht langweilen. Ich würde es deshalb etwa so formulieren: Unternehmen haben in erster Linie eine Reihe von prozessualen Massnahmen zu erfüllen, die den Datenschutz sicherstellen sollen.
Der Gesetzgeber verlangt aber nicht, für den Datenschutz in Schönheit zu sterben, sondern die Risiken pragmatisch in den Griff zu bekommen.
Im Zeitalter der Digitalisierung ist dies ohnehin unerlässlich.
Wie wird oder sollte sich das neue DSG auf den Datenschutz eines Onlinehändlers wie Digitec Galaxus auswirken?
Viele Onlinehändler haben schon ein sehr gutes Bewusstsein rund um den Datenschutz. Gerade im Online-Bereich sind Daten Gold wert. Mit ihnen wird meistens verantwortungsvoll umgegangen. Das liegt auch daran, dass das
EU-Recht, also unter anderem die DSGVO, auch bei Schweizer Onlinehändlern
zur Anwendung kommt, die in Europa aktiv sind. Im Bereich Cookies und generell im Onlinemarketing gelten ebenfalls oft Regeln des EU-Rechts. Deshalb kennen viele Schweizer Shops bereits Cookie-Banner und fragen die Kundinnen und Kunden, ob sie die Cookies setzen dürfen. Nach schweizerischem Recht wäre dies nämlich gar nicht notwendig. Hier wirkt sich die Praxis der EU schon lange auf die Schweiz aus.
Das andauernde Wegklicken der Cookie-Banner nervt doch mächtig. Was hat das mit Datenschutz zu tun?
Es geht dabei darum, dass Kundinnen und Kunden selbst bestimmen können, was mit ihren Daten im Online-Bereich passiert. Das Anliegen ist sinnvoll, auch wenn die Cookie-Banner in der Tat nerven. Online-Shops leben aber stark vom Kundenvertrauen, weil sie oft sensible Daten verarbeiten. Es ist deshalb von Vorteil, den Kundinnen und Kunden zu erklären, was mit ihren Daten geschieht. Das neue DSG ist deshalb auch eine Chance, gegen aussen transparenter und gegen innen strukturierter mit Daten umzugehen. Keine Fragen: Dies wird sich positiv auf den Schutz der Daten auswirken.
Bringt das neue DSG auch Fortschritte in Sachen Cyber Security?
Jein. Das neue DSG enthält kaum konkrete Vorgaben zur Cyber-Security. Das ist auch nicht zwingend nötig. Denn nach heutigem und nach künftigem Recht sind die Unternehmen generell verpflichtet, mit technischen und organisatorischen Massnahmen für eine «angemessene Datensicherheit» zu sorgen. Das Gesetz listet hierfür keine konkreten Massnahmen auf. Da wäre auch fast nicht möglich. Aber das neue DSG sieht bei Verletzungen der Datensicherheit eine Meldepflicht vor. Wird ein Unternehmen gehackt, muss es dies u.U. dem EDÖB melden. Es müssen auch die Personen informiert werden, die von einer Sicherheits-verletzung betroffen sind, jedenfalls wenn das zu ihrem Schutz nötig ist.
Das Parlament hat vier Jahre lang über dem neuen DSG gebrütet, obwohl in der EU längst ein neues Datenschutzgesetz (DSGVO) gilt? Wieso braucht die Schweiz eine Sonderlösung?
Das ist eine gute Frage. Man hätte auch einfach die DSGVO übernehmen können. Aber die europäische Gesetzgebung ist von einer ganz anderen Kultur geprägt als das Datenschutzrecht in der Schweiz. Die EU atmet den Geist einer Verbotskultur. Manche Regelungen sind kleinlich und sehr detailliert, was letztlich zu einem enormen Dokumentationsaufwand führt. Das alles passt schlecht zur liberaleren Schweiz. Hinzu kommt, dass eine Schweizer DSGVO im Parlament nicht mehrheitsfähig gewesen wäre. Themen wie etwa das Profiling oder das neue Recht auf Datenportabilität haben schon für endlose Diskussionen gesorgt.
Am Ende hat der Gesetzgeber einen Mittelweg gewählt.
Gibt es auch inhaltliche Differenzen vom neuen Schweizer Datenschutzgesetz zur europäischen DSGVO?
Ja, davon gibt es viele. Ich würde das neue DSG vereinfacht als DSGVO-light bezeichnen. Ein typisches Beispiel ist etwa die Pflicht, Sicherheitsverletzungen
zu melden. Das hat man im Grundsatz zwar übernommen, ist aber in der Umsetzung pragmatischer als bei den Kollegen in Brüssel. Verletzungen im Bagatellbereich müssen in der Schweiz z.B. nicht gemeldet werden. Bei anderen Punkten ist es ähnlich. Aber es gibt auch Fälle, wo das DSG strenger ist als die DSGVO - etwa, dass bei besonders riskanten Bearbeitungen die Pflicht besteht, ein Bearbeitungsreglement zu erstellen.
Per 1. September 2023 tritt in der Schweiz das neue Datenschutzgesetz in Kraft. Was sich für die Konsumentinnen und Konsumenten ändert und wie sich die Unternehmen darauf vorbereiten müssen, das wollten wir vom Anwalt und Datenschutz-Fachmann David Vasella wissen.
Im Mai 2018 hat die Europäische Union die neue Datenschutzgrundverordnung (DSGVO) eingeführt. Mehr als fünf Jahre später folgt nun der «Sonderfall Schweiz» mit seiner Version des aufdatierten Datenschutzgesetzes (DSG). David Vasella, promovierter Jurist und Partner der Anwaltskanzlei Walder Wyss AG, beschäftigt sich seit vielen Jahren mit allen Facetten des Datenschutzes. Er kennt die neuen Gesetze und Verordnungen, welche die Verwaltungen in Brüssel und Bern nach jahrelangen Debatten ausgespuckt haben.
David: Warum braucht die Schweiz ein neues Datenschutzgesetz?
Das erste Bundesgesetz über den Datenschutz stammt aus dem Jahr 1992. In diesem Jahr kam Neymar zur Welt, Windows 3.0 wurde veröffentlicht, Kurt Cobain rockte mit Nirvana und der US-Präsident hiess Bill Clinton. Nur drei Jahre zuvor war das World Wide Web entwickelt worden. Kurzum: Das ist eine ziemliche Weile her. Vieles hat sich seither verändert. Das neue Datenschutzgesetz soll die technischen und gesellschaftlichen Entwicklungen seither berücksichtigen. Gleichzeitig muss es mit dem EU-Recht kompatibel sein – sprich mit der Datenschutz-Grundverordnung (DSGVO) und einer revidierten Konvention, welche die Schweiz umzusetzen hat. Den freien Datenverkehr mit unseren europäischen Nachbarn sicherzustellen, das ist definitiv in unserem Interesse.
Was ist denn neu am «neuen» Gesetz?
Was die Bearbeitungsgrundsätze angeht, bleibt alles beim Alten. Es braucht für die Verwendung von Personendaten grundsätzlich keine Einwilligung und auch sonst keine Rechtfertigung. Dies jedenfalls, solange die Verwendung von Personendaten den Grundsätzen der Transparenz folgt und keine Daten zweckentfremdet werden. Das neue Gesetz sieht aber noch eine zweite, dritte und vierte Verteidigungslinie vor, um einen umfassenden Datenschutz sicherzustellen – eine Art Zwiebelschichtprinzip für den Datenschutz.
Wie genau sehen diese «Zwiebelschichten» aus?
Die zweite Schicht besteht aus flankierenden Massnahmen, etwa in der Dokumentation oder der Risikoeinschätzung. Die dritte Schicht bilden die Konsumentinnen und Konsumenten selbst. Sie haben klar definierte Rechte und müssen aktiv über die meisten Datenbearbeitungen informiert werden.
Sie können auch Einwilligungen widerrufen und Auskunft über die Bearbeitung ihrer Daten einverlangen. Bleibt die vierte Linie – der Vollzug des Gesetzes.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) kann heute nur Empfehlungen abgeben und nachträglich vor dem Bundes-
verwaltungsgericht klagen, wenn er der Meinung ist, dass das Datenschutzrecht verletzt werde. Die Verfahren dauern Jahre. Neu kann der EDÖB direkt Verfügungen erlassen und z.B. die Anpassung einer Datenbearbeitung verlangen. Ist ein Unternehmen damit nicht einverstanden, muss es sich ans Bundes-
verwaltungsgericht wenden.
Was geschieht konkret, wenn sich Unternehmen nicht ans Datenschutzgesetz halten?
Bei bestimmten Zuwiderhandlungen drohen schon heute Bussen. In der Praxis werden sie aber praktisch nie ausgesprochen. Das ändert sich mit dem neuen Gesetz. Wenn beispielsweise jemand die Informationspflicht verletzt, eine unvollständige oder falsche Datenschutzauskunft gibt oder Personendaten unerlaubterweise ins Ausland übermittelt, kann eine Busse von bis zu 250'000 Franken ausgesprochen werden. Wichtig ist dabei: Die Busse trifft nicht das Unternehmen selbst, sondern primär jene Person, die effektiv für die Verletzung des Datenschutzgesetzes verantwortlich ist. Wer mit Personendaten umgeht, hat also ein grosses Interesse, seinen Job ernst zu nehmen.
Was muss ich als Konsumentin oder Konsument über das neue DSG wissen?
Im Grunde genommen nicht viel. Es sind die Unternehmen, die in der Pflicht sind, korrekt mit den Daten umzugehen. Darauf darf ich mich verlassen. Habe ich ein schlechtes Gefühl dabei, verfüge ich über die nötigen Auskunftsrechte, um herauszufinden, wie das Unternehmen mit meinen Personendaten umgeht.
Und wie schützt das neue DSG nun die Daten der Konsumentinnen und Konsumenten?
In erster Linie werden die Rechte der Konsumenten gestärkt und die Transparenz erhöht. Alle Unternehmen müssen z.B. neue Datenschutzerklärungen veröffentlichen. Das klingt zwar gut, ist aber eher eine Scheinlösung. Auch ich als Anwalt habe weder die Zeit noch die Lust, sämtliche Datenschutzerklärungen zu lesen. Grundsätzlich positiv ist aber, dass die Unternehmen mehr flankierende Massnahmen treffen müssen, um bewusst und verantwortungsvoll mit Personendaten umzugehen. Hinzu kommen die Durchsetzungsmechanismen. Wie erwähnt kann der EDÖB neu direkt eingreifen, wenn er der Meinung ist, dass der Datenschutz verletzt wird. Das neue DSG wählt also einen differenzierten Ansatz. Der Schutz der Konsumentinnen und Konsumenten ist umfassend und beruht auf verschiedenen Pfeilern, die alle ineinandergreifen. Wenn das die Folge hat, dass der Datenschutz effektiv verbessert und das Konsumentenvertrauen geschützt wird, ist das natürlich eine gute Sache.
Welche Pflichten sind auf Unternehmensseite zu berücksichtigen?
Das Datenschutzrecht sieht für die Unternehmen sehr viele, unterschiedliche Pflichten vor – und mehr noch für die Bundesorgane. Dies hier im Detail zu erläutern, würde die User vielleicht langweilen. Ich würde es deshalb etwa so formulieren: Unternehmen haben in erster Linie eine Reihe von prozessualen Massnahmen zu erfüllen, die den Datenschutz sicherstellen sollen.
Der Gesetzgeber verlangt aber nicht, für den Datenschutz in Schönheit zu sterben, sondern die Risiken pragmatisch in den Griff zu bekommen.
Im Zeitalter der Digitalisierung ist dies ohnehin unerlässlich.
Wie wird oder sollte sich das neue DSG auf den Datenschutz eines Onlinehändlers wie Digitec Galaxus auswirken?
Viele Onlinehändler haben schon ein sehr gutes Bewusstsein rund um den Datenschutz. Gerade im Online-Bereich sind Daten Gold wert. Mit ihnen wird meistens verantwortungsvoll umgegangen. Das liegt auch daran, dass das
EU-Recht, also unter anderem die DSGVO, auch bei Schweizer Onlinehändlern
zur Anwendung kommt, die in Europa aktiv sind. Im Bereich Cookies und generell im Onlinemarketing gelten ebenfalls oft Regeln des EU-Rechts. Deshalb kennen viele Schweizer Shops bereits Cookie-Banner und fragen die Kundinnen und Kunden, ob sie die Cookies setzen dürfen. Nach schweizerischem Recht wäre dies nämlich gar nicht notwendig. Hier wirkt sich die Praxis der EU schon lange auf die Schweiz aus.
Das andauernde Wegklicken der Cookie-Banner nervt doch mächtig. Was hat das mit Datenschutz zu tun?
Es geht dabei darum, dass Kundinnen und Kunden selbst bestimmen können, was mit ihren Daten im Online-Bereich passiert. Das Anliegen ist sinnvoll, auch wenn die Cookie-Banner in der Tat nerven. Online-Shops leben aber stark vom Kundenvertrauen, weil sie oft sensible Daten verarbeiten. Es ist deshalb von Vorteil, den Kundinnen und Kunden zu erklären, was mit ihren Daten geschieht. Das neue DSG ist deshalb auch eine Chance, gegen aussen transparenter und gegen innen strukturierter mit Daten umzugehen. Keine Fragen: Dies wird sich positiv auf den Schutz der Daten auswirken.
Bringt das neue DSG auch Fortschritte in Sachen Cyber Security?
Jein. Das neue DSG enthält kaum konkrete Vorgaben zur Cyber-Security. Das ist auch nicht zwingend nötig. Denn nach heutigem und nach künftigem Recht sind die Unternehmen generell verpflichtet, mit technischen und organisatorischen Massnahmen für eine «angemessene Datensicherheit» zu sorgen. Das Gesetz listet hierfür keine konkreten Massnahmen auf. Da wäre auch fast nicht möglich. Aber das neue DSG sieht bei Verletzungen der Datensicherheit eine Meldepflicht vor. Wird ein Unternehmen gehackt, muss es dies u.U. dem EDÖB melden. Es müssen auch die Personen informiert werden, die von einer Sicherheits-verletzung betroffen sind, jedenfalls wenn das zu ihrem Schutz nötig ist.
Das Parlament hat vier Jahre lang über dem neuen DSG gebrütet, obwohl in der EU längst ein neues Datenschutzgesetz (DSGVO) gilt? Wieso braucht die Schweiz eine Sonderlösung?
Das ist eine gute Frage. Man hätte auch einfach die DSGVO übernehmen können. Aber die europäische Gesetzgebung ist von einer ganz anderen Kultur geprägt als das Datenschutzrecht in der Schweiz. Die EU atmet den Geist einer Verbotskultur. Manche Regelungen sind kleinlich und sehr detailliert, was letztlich zu einem enormen Dokumentationsaufwand führt. Das alles passt schlecht zur liberaleren Schweiz. Hinzu kommt, dass eine Schweizer DSGVO im Parlament nicht mehrheitsfähig gewesen wäre. Themen wie etwa das Profiling oder das neue Recht auf Datenportabilität haben schon für endlose Diskussionen gesorgt.
Am Ende hat der Gesetzgeber einen Mittelweg gewählt.
Gibt es auch inhaltliche Differenzen vom neuen Schweizer Datenschutzgesetz zur europäischen DSGVO?
Ja, davon gibt es viele. Ich würde das neue DSG vereinfacht als DSGVO-light bezeichnen. Ein typisches Beispiel ist etwa die Pflicht, Sicherheitsverletzungen
zu melden. Das hat man im Grundsatz zwar übernommen, ist aber in der Umsetzung pragmatischer als bei den Kollegen in Brüssel. Verletzungen im Bagatellbereich müssen in der Schweiz z.B. nicht gemeldet werden. Bei anderen Punkten ist es ähnlich. Aber es gibt auch Fälle, wo das DSG strenger ist als die DSGVO - etwa, dass bei besonders riskanten Bearbeitungen die Pflicht besteht, ein Bearbeitungsreglement zu erstellen.