Die EU-Datenschutzgrundverordnung (DSGVO bzw. engl. GDPR) brachte die Schweiz in Zugzwang, ihr eigenes Datenschutzgesetz von 1992 zu revidieren. Bereits der Vorentwurf wurde heftig diskutiert und mehrfach angepasst. Nun hat der Nationalrat darüber entschieden, wie es bez. Datenschutzgesetzesrevision (DSG-Revision) weitergehen soll.

Der Transfer von personenbezogenen Daten in einen Staat ausserhalb der EU ist gemäss der DSGVO nur erlaubt, wenn dort ein adäquates Datenschutzniveau vorliegt. Die EU fasst hierzu nach neuer DSGVO alle vier Jahre einen sog. «Angemessenheitsbeschluss». Damit legt die EU-Kommission fest, ob in einem Drittstaat ein angemessenes Datenschutzniveau besteht.

Unter der EU-Datenschutzrichtlinie von 1995 bescheinigte die EU-Kommission der Schweiz, dass sie ein aus EU-Sicht angemessenes Datenschutzniveau hält. Nun aber muss die EU-Kommission unter der neuen DSGVO noch einmal beurteilen, ob sie der Schweiz auch unter deren heutigem DSG eine derartige Angemessenheit bescheinigt. Bis sie dies entscheidet, bleibt der bisherige Beschluss in Kraft. Danach kann er auf Basis der DSGVO geändert, ersetzt oder aufgehoben werden. Würde für die Schweiz als Drittstaat kein Angemessenheitsbeschluss erfolgen, könnten Daten aus der EU bzw. aus dem EWR Staat nur dann in die Schweiz übertragen werden, wenn andere Sicherstellungsmassnahmen wie beispielsweise verbindliche interne Unternehmensvorschriften (sog. CBR’s – Corporate Binding Rules) vorlägen. Dies wäre für die Schweizer Wirtschaft, welche eng mit der EU verwoben ist, fatal, und die wirtschaftlichen Folgen wären massiv.

Die Schweiz hatte darum ein vitales Interesse daran, ihr DSG möglichst in Einklang mit der DSGVO auszugestalten. Nachdem der Bundesrat den Auftrag zur Prüfung der Revision des DSG gegeben hatte, wurde im letzten Jahr ein Vorentwurf präsentiert, welcher eine sehr hohe Übereinstimmung mit der DSGVO hatte. Die zu diesem Zeitpunkt bereits absehbaren, sehr hohen Administrativaufwände, welche die DSGVO in der EU ausgelöst hatten, haben vor allem die Wirtschaftsverbände alarmiert. Sie versuchten in der Folge, stark Einfluss zu nehmen, um im neuen schweizerischen DSG Entwurf mehr Pragmatismus und Praktikabilität einzubringen.

Die zahlreichen, von unterschiedlichsten Anspruchsgruppen eingereichten Stellungnahmen zum Vorentwurf des DSG führten in der Folge zu diversen Anpassungen, bevor der bereinigte Entwurf (E-DSG) ins Parlament ging. Dort kam aber die Verknüpfung des DSG mit anderen Staatsverträgen zur Diskussion: Will die Schweiz z.B. weiterhin das Schengen-Abkommen erfüllen können, muss sie der DSGVO in weiten Teilen folgen. Da es für die Schweiz als Vertragsstaat keine Option sein kann, das Schengen-Abkommen nicht zu erfüllen, resultierte ein erheblicher Zeitdruck auf die DSG-Revision – dies mit Fokus auf den strafrechtlichen Bereich von Personendaten. Weil aber auf der anderen Seite nach wie vor die Wirtschaftsverbände standen, welche noch materiellen Änderungsbedarf am E-DSG monierten, musste das Parlament eine Lösungen finden, um das Zeitproblem bei der Ausarbeitung des DSG in den Griff zu kriegen.

Es entwickelten sich zwei Lager

Die Ratslinke wollte eine gesamthafte Beratung des DSG und sich sehr nahe an die DSGVO anlehnen, um rasch ein den heutigen Anforderungen angemessenes Datenschutzgesetz zu etablieren, welches mit der EU konform ist (kein Swiss Finish, weder nach oben noch nach unten). Die Ratsrechte dagegen wollte sich mehr Zeit lassen und das Gesetz gestaffelt beraten, zuerst den Schengen-relevanten Teil und danach den Rest. Dies in der Hoffnung, dass ihre vielen materiellen Änderungswünsche noch Eingang finden könnten.

So wurde schliesslich entschieden, die Revision gestaffelt zu beraten und erst die relevanten Anpassungen für Schengen zu tätigen, damit der Bund weiterhin Personendaten unter dem Schengen Abkommen verarbeiten kann.

Der Rat hat sich durch die Aufspaltung der Reform Zeit erkauft, gleichzeitig aber eine Herkulesaufgabe aufgeladen. Er muss bei der Totalrevision des DSG die absehbar vielen, von der Ratsrechten geforderten Abweichungen von der DSGVO mit den vorgängig unter dem Schengen-Abkommen getroffenen DSG-Regelungen integrieren. Dies dürfte nicht einfach werden.

Aus Sicht der Schweizer Wirtschaft ist sehr zu hoffen, dass die DSG-Revision in einem für die Schweiz guten Ergebnis resultiert und sich keine neuen Problemzonen mit der EU öffnen. Angesichts der gegenwärtigen Tendenzen der EU, zur Erzielung eines Rahmenabkommens Druck auf die Schweiz zu machen, böte ihr sich hier – nach der Monierung der Gleichwertigkeit der Börsen – eine neue, sehr effektive Möglichkeit.

Die gegenüber der EU verzögerte Behandlung des DSG hat den Vorteil, dass die Working Party 29 der EU, die verschiedenen nationalen Regulatoren sowie die Gerichte bis dahin viele offene Fragen geklärt und das DSGVO damit praxisnäher zurechtgeschliffen haben werden. Diese Konkretisierungen können dann ins Schweizer DSG einfliessen und dieses im Sinne der Wirtschaft gestalten helfen.

Für die Unternehmen ergeben sich in der Zwischenzeit allerdings gewisse Rechtsunsicherheiten: Welchem Schweizer- oder EU-Datenschutzgesetz unterstehen wir mit unserer Geschäftstätigkeit und ab wann? Was muss ich vorkehren, um den zukünftigen DSG Anforderungen zu entsprechen? Die Anforderungen der Schweizer DSG-Lösung an die Unternehmen und deren Data Compliance Framework wird sich aber kaum gross von den Anforderungen der DSGVO unterscheiden. Wesentlich ist deshalb, dass sich die Schweizer Unternehmen nun gezielt darauf vorbereiten, die von der DSGVO geforderten Compliance-Systeme aufzubauen. Der durch den Entscheid des Nationalrats provozierte Zeitgewinn wird ihnen dabei helfen, den hohen Etablierungsaufwand auf der Zeitachse zu strecken und damit allenfalls verträglicher zu bewältigen.