Daten kennen keine Staatsgrenzen

Die EU hat seit etwas über einem Jahr ein neues Datenschutzgesetz mit der eher komplizierten Bezeichnung EU-DSGVO – die EU-Datenschutz-Grundverordnung. Und die Schweiz? Die Totalrevision des hiesigen Datenschutzgesetzes steht seit über zwei Jahren auf der Traktandenliste. Erst jetzt hat sich der Nationalrat in der kürzlich abgeschlossenen Herbstsession ein erstes Mal damit befasst.¹ Nach dem Nationalrat muss sich auch die kleine Kammer dazu äussern. Eine Revision kann also frühestens 2021 in Kraft treten. Das bedeutet: Das geltende Schweizer Datenschutzrecht stützt sich nach wie vor auf das Bundesgesetz von 1992 respektive 1993.

Vorsintflutliche Bestimmungen?

1993 dominierte in der Schweiz das grosse Bankensterben die Schlagzeilen. Als am 1. Juli desselben Jahres das Schweizer Datenschutzgesetz in Kraft trat, verursachte dies kein allzu grosses Medienecho. Teilweise wurde das Gesetz noch angepasst: So verbesserte das Parlament 2008 beispielsweise die Informationspflicht gegenüber Personen, deren Daten gesammelt und verarbeitet werden. Aber der Bundesbeschluss aus den 90er-Jahren gilt de facto weiterhin.

Eine schwierige Situation für die hiesige Wirtschaft, insbesondere weil die EU ihre Gesetze unlängst angepasst hat. Die seit Mai 2018 geltende EU-DSGVO warf bei vielen Schweizer Unternehmen deshalb grundlegende Fragen auf: Was gilt nun? Welche Bestimmungen muss ich in meinem Unternehmen anpassen? Ist meine Firma überhaupt betroffen? «Vor allem für KMU stellte sich oft die Frage, ob die DSGVO auf sie anwendbar ist, weil sie zwar hauptsächlich in der Schweiz Produkte und Dienstleistungen anbieten, aber auch Kunden in der EU bedienen», berichten Rechtsanwälte Daniel Maritz und Lukas Herforth der Schiller Rechtsanwälte AG. «Weiter wollten diverse Unternehmen überprüft haben, ob sie ihre bereits vorhandenen Daten von Mitarbeitenden, Lieferanten und Kunden DSGVO-konform aufbewahren und benutzen.»

Branchenübergreifend

«Früher unterstanden nur bestimmte Branchen, wie zum Beispiel Banken oder die Pharmaindus­trie, einer besonderen staatlichen Regulierung», erklärt Adrian Bieri, Rechtsanwalt bei der Bratschi AG. «Mit der EU-DSGVO wurde nun aber eine neue branchenübergreifende Regulierung für den Bereich Personendaten eingeführt.» Diese umfassende Neuerung verunsicherte die Unternehmen. «Unsere Kanzlei erhielt eine Vielzahl von Anfragen zum Thema Datenschutz», erinnert sich Bieri. «Weiterbildungsveranstaltungen für Klienten waren innert kürzester Zeit überbucht und mussten mehrfach durchgeführt werden, um die Nachfrage abzudecken.» Auch in den Personalabteilungen machte sich Aufregung breit. Gilt die DSGVO …

• ...wenn ich gezielt Kandidaten aus der EU rekrutiere? (Eher ja.)
• ...wenn ich als Personalvermittler EU-Bürger mit Schweizer Wohnsitz in Schweizer Firmen unterbringe? (Eher nein.)

Und was muss ich als Unternehmen künftig mit den Personendaten von Bewerbern tun? «Die Verarbeitung personenbezogener Daten von Mitarbeitenden in der Schweiz (...) richtet sich nach dem Schweizer Datenschutz- bzw. Arbeitsrecht», steht sinngemäss im Merkblatt² von swissstaffing, dem Verband der Personaldienstleister. «Nach Abschluss des Bewerbungsverfahrens sind die Bewerberdaten beim Personalvermittler grundsätzlich zu löschen.»

Im Grossen und Ganzen haben die Schweizer Unternehmen den Übergang zur anspruchsvollen EU-Regulierung jedoch gut gemeistert, kommt ein Artikel der NZZ zum Schluss.³ Die DSGVO hat die hiesigen Firmen dazu veranlasst, verantwortungsbewusster mit personenbezogenen Daten ihrer Mitarbeitenden, Kunden und Lieferanten umzugehen. Sie taten diesen Schritt freiwillig, denn lange Zeit schien es so, als hätte die Revision des Schweizer Datenschutzgesetzes an Dringlichkeit verloren.

Endlich Bewegung im Spiel

Um wenigstens die EU-Äquivalenz aufrechtzuerhalten, hat das eidgenössische Parlament das Schengen-Datenschutzgesetz durchgeboxt. Damit stellte es sicher, dass die Datenverarbeitung der internationalen Polizeibehörden gewährleis­tet bleibt. Der «Schengen-Teil» trat im März dieses Jahres in Kraft. Der restliche Teil wird erst jetzt in Angriff genommen, und wird am Schluss gar noch das Referendum ergriffen, dürfte das totalrevidierte Schweizer Datenschutzgesetz erst Mitte 2021 zur Anwendung gelangen. Eine heikle Situation, denn der sogenannte «Schengen-Teil» hat ein Ablaufdatum: 25. Mai 2020. Laut DSGVO muss die EU-Kommission dann überprüfen, ob Drittstaaten weiterhin gleichwertig behandelt werden sollen oder nicht.

Kein Wunder melden sich immer mehr Stimmen aus Wirtschaft und Gesellschaft mit der Aufforderung, doch endlich vorwärtszumachen mit der Schweizer Gesetzgebung. In einem Positionspapier hält der schweizerische Verband der Industrie- und Dienstleistungskonzerne Swissholdings fest, dass weitere Verzögerungen den Wirtschaftsstandort Schweiz gefährden würden, denn diese verunsicherten die Firmen. Auch der eidgenössische Datenschutzbeauftragte Adrian Lobsiger drängte in seinem Tätigkeitsbericht⁴ vom Juni 2019 auf eine rasche Lösung.

Was tun in der Zwischenzeit?

«Zum Teil führt die verzögerte Revision dazu, dass Unternehmen noch damit warten, sich überhaupt um den Datenschutz zu kümmern», stellt Rechtsanwalt Martin Steiger fest. Ein solches Abwarten könne jedoch riskant sein, «denn an der DSGVO führt heute kaum mehr ein Weg vorbei». Es lohne sich, dem Datenschutz frühzeitig Priorität einzuräumen.

Oder anders gesagt: jetzt schon handeln. Die Schweizer Unternehmen, die das bisher versäumt haben, tun gut daran, ihre Datenschutzerklärung zu überarbeiten, allenfalls einen Cookie-Banner⁵ zu installieren und Hilfe bei Unklarheiten einzuholen, wie beispielsweise beim Arbeitsvertragsrecht. «Das Datenschutzrecht sollte heute in allen Verträgen berücksichtigt werden, bei deren Vollzug Personendaten bearbeitet werden», mahnt Adrian Bieri und erklärt weiter: «Weil man annehmen kann, dass das revidierte Schweizer Datenschutzgesetz in vielen Punkten mit der DSGVO übereinstimmen wird, kann man sich als Schweizer Unternehmen durchaus an den bestehenden EU-Vorgaben orientieren.»

Quellen:

• ¹ Zu welchem Schluss der Nationalrat kam, kann an dieser Stelle nicht behandelt werden, da die Session erst nach Redaktionsschluss zu Ende war.
• ² Merkblatt swissstaffing: www.swissstaffing.ch/docs/de/Rechtsdienst/Merkblatt-Swissstaffing_DSGVO_D.pdf
• ³ Schweiz droht in der Datenökonomie ins Hintertreffen zu geraten, NZZ, 18.6.2019, www.nzz.ch/wirtschaft/schweiz-droht-in-der-datenoekonomie-ins-hintertreffen-zu-geraten-ld.1489735
• ⁴ 26. Tätigkeitsbericht 2018/2019 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten: www.edoeb.admin.ch/edoeb/de/home/dokumentation/taetigkeitsberichte/26--taetigkeitsbericht-2018-20190/epaper-tb-26.html
• ⁵ Cookies sind kleine Dateien, die beim Surfen im Internet Daten über den Besucher einer Webseite und dessen Verhalten speichern.