Der Bun­des­rat hat zur Inter­pel­la­ti­on Fia­la (17.4088) betr. Umset­zungs­fra­gen zur EU-Daten­schutz-Grund­ver­ord­nung am 2. März 2018 wie folgt Stel­lung genom­men:

[Fra­ge Fia­la: Wird die EU die Äqui­va­lenz der Schwei­zer Daten­schutz-Gesetz­ge­bung wei­ter­hin aner­ken­nen?]

1. Die Bei­be­hal­tung des Ange­mes­sen­heits­be­schlus­ses der EU ist für den Bun­des­rat ein vor­ran­gi­ges Ziel. Nament­lich aus die­sem Grund hat er beschlos­sen, den Inhalt des E-DSG den Anfor­de­run­gen des Ent­wurfs zur Revi­si­on des Über­ein­kom­mens SEV 108 und der DSGVO anzu­glei­chen. Wann die Euro­päi­sche Kom­mis­si­on die Ange­mes­sen­heit des schwei­ze­ri­schen Daten­schutz­rechts erneut über­prü­fen und ob das Resul­tat posi­tiv aus­fal­len wird, ist heu­te nicht vor­her­seh­bar. Damit die Schweiz die bestehen­de Ange­mes­sen­heits­er­klä­rung bei­be­hal­ten kann, muss sie ein ver­gleich­ba­res Schutz­ni­veau auf­wei­sen wie die EU. Der Aus­gang der Prü­fung hängt wesent­lich von den Ent­schei­dun­gen des Par­la­ments im Rah­men der Revi­si­on der schwei­ze­ri­schen Daten­schutz­ge­setz­ge­bung ab.

Da die SPK-N beschlos­sen hat, die Vor­la­ge auf­zu­tei­len und in zwei Etap­pen zu bera­ten (vgl. nach­fol­gend Ziff. 9), sind Ver­zö­ge­run­gen wahr­schein­lich. Kommt die Euro­päi­sche Kom­mis­si­on bei ihrer näch­sten Prü­fung des schwei­ze­ri­schen Daten­schutz­rechts zum Schluss, dass die­ses – weil das DSG noch nicht revi­diert wor­den ist – kein ange­mes­se­nes Schutz­ni­veau mehr gewähr­lei­stet, kann sie den Ange­mes­sen­heits­be­schluss wider­ru­fen, ändern oder aus­set­zen. Dies hät­te für die schwei­ze­ri­sche Wirt­schaft und ins­be­son­de­re die KMU nach­tei­li­ge Fol­gen. Per­so­nen­be­zo­ge­ne Daten aus der EU könn­ten nicht mehr ohne wei­te­res in die Schweiz über­mit­telt wer­den, son­dern es müss­ten zusätz­li­che sichern­de Mass­nah­men getrof­fen wer­den. So müss­ten sich Schwei­zer Unter­neh­men etwa gegen­über Unter­neh­men aus der EU ver­trag­lich ver­pflich­ten, das euro­päi­sche Daten­schutz­ni­veau zu wah­ren.

[Fra­ge Fia­la: Wer ist der Ansprech­part­ner für Schwei­zer Unter­neh­men (z.B. bei Mel­de­pflich­ten) betref­fend der DSGVO und E-DSG? Ist dies der EDÖB, eine Stel­le in der EU oder gar bei­de?]

2. Jede Behör­de wird ihr eige­nes Recht anwen­den. Wenn der für die Daten­be­ar­bei­tung Ver­ant­wort­li­che der Ansicht ist, dass er sowohl dem DSG als auch der DSGVO unter­steht, wird er sich an den EDÖB und an die zustän­di­ge aus­län­di­sche Auf­sichts­be­hör­de wen­den.

[Fra­ge Fia­la: Wer­den Unter­su­chun­gen und all­fäl­li­ge Sank­tio­nen gegen­über Schwei­zer Unter­neh­men von einer schwei­ze­ri­schen Stel­le durch­ge­führt? Wie und durch wen?]

3. Die Unter­su­chung und die Ver­hän­gung von Sank­tio­nen gegen ein Unter­neh­men mit Sitz in der Schweiz, das aber der DSGVO unter­stellt ist, fal­len in die Zustän­dig­keit der Auf­sichts­be­hör­den der EU-Mit­glied­staa­ten. Ohne ein Koope­ra­ti­ons­ab­kom­men kön­nen die­se jedoch selbst kei­ne Unter­su­chungs­hand­lun­gen in der Schweiz durch­füh­ren. Muss ein Unter­neh­men einen Ver­tre­ter in der EU benen­nen (Art. 27 DSGVO), kön­nen die euro­päi­schen Auf­sichts­be­hör­den ihre Ent­schei­dun­gen dem schwei­ze­ri­schen Unter­neh­men über die­sen Ver­tre­ter zustel­len, ohne den diplo­ma­ti­schen Weg zu beschrei­ten.

[Fra­ge Fia­la: Kön­nen Unter­neh­men für den glei­chen Fall sowohl von der Schweiz, als auch von Sei­ten EU sank­tio­niert wer­den?]

4. Die­se Mög­lich­keit ist nicht aus­zu­schlie­ssen. Der Grund­satz ne bis in idem (Ver­bot der dop­pel­ten Straf­ver­fol­gung) könn­te jedoch zur Anwen­dung kom­men, wenn Geld­bu­ssen der EU und straf­recht­li­che Sank­tio­nen der Schwei­zer Straf­ver­fol­gungs­be­hör­den zusam­men­tref­fen.

[Fra­ge Fia­la: Kön­nen Unter­neh­men von der EU oder deren Mit­glieds­staa­ten sank­tio­niert wer­den, obwohl sie schwei­ze­ri­sches Recht ein­hal­ten? Nein,]

5. Ja, wenn sie der DSGVO unter­ste­hen und deren Vor­schrif­ten ver­let­zen.

[Fra­ge Fia­la: Wer­den Schwei­zer Zer­ti­fi­zie­run­gen und Zer­ti­fi­zie­rungs­stel­len von der EU aner­kannt?]

6. Die DSGVO sieht kein Ver­fah­ren zur Aner­ken­nung von schwei­ze­ri­schen Zer­ti­fi­zie­run­gen und Zer­ti­fi­zie­rungs­stel­len durch die EU vor.

[Fra­ge Fia­la: Ist die Schweiz bei der Erar­bei­tung von Stan­dards invol­viert?]

7. Die DSGVO ent­hält kei­ne Bestim­mung, wel­che eine sol­che Betei­li­gung der Schweiz vor­se­hen wür­de. Es ist jedoch nicht aus­ge­schlos­sen, dass schwei­ze­ri­sche Unter­neh­men ein­be­zo­gen wer­den könn­ten, z.B. im Rah­men der Aus­ar­bei­tung von Ver­hal­tens­ko­di­zes.

[Fra­ge Fia­la: Die DSGVO ver­weist an vie­len Stel­len auf das Recht der Mit­glieds­staa­ten. Wel­che Rol­le spielt dabei das schwei­ze­ri­sche Recht?]

8. Die Schweiz ist kein Mit­glied­staat im Sinn der DSGVO. Dies gilt unab­hän­gig davon, dass die­ser Rechts­akt gemäss sei­nem Arti­kel 3 Absatz 2 auf schwei­ze­ri­sche Unter­neh­men direkt Anwen­dung fin­den kann. Die Ver­wei­sun­gen auf das Recht der Mit­glied­staa­ten umfas­sen das schwei­ze­ri­sche Recht nicht, wel­chem folg­lich auch kei­ne Rol­le zukommt.

[Fra­ge Fia­la: Die­se Fra­gen zei­gen, dass ein gro­sser Koor­di­nie­rungs­be­darf bereits vor der par­la­men­ta­ri­schen Bera­tung der Revi­si­on des DSG besteht. Daher wur­de der Bun­des­rat mit der über­wie­se­nen Moti­on 16.3752 beauf­tragt, eine ent­spre­chen­de Ver­ein­ba­rung mit der EU zu suchen. Gemäss Ant­wort auf mei­ne Fra­ge 17.5528 in der Fra­ge­stun­de vom 4. Dezem­ber hat der Bun­des­rat erklärt, er wol­le nicht vor der par­la­men­ta­ri­schen Bera­tung die Euro­päi­sche Kom­mis­si­on kon­tak­tie­ren. Die oben erwähn­ten Fra­gen stel­len sich für vie­le Schwei­zer Unter­neh­men jedoch bereits im Mai 2018. Ausser­dem sind die­se Umset­zungs­fra­gen gera­de auch für die Bera­tung des schwei­ze­ri­schen DSG sehr wert­voll. Wel­che Schrit­te gedenkt der Bun­des­rat zu unter­neh­men, um die­sen Koor­di­na­ti­ons­be­darf mög­lichst rasch staats­ver­trags­recht­lich zu regeln?]

9. Der Abschluss eines Koope­ra­ti­ons­ab­kom­mens zwi­schen der Schweiz und der EU wird wahr­schein­lich meh­re­re Jah­re in Anspruch neh­men. Die Erfolgs­chan­cen wer­den davon abhän­gen, ob die Schweiz auf­zei­gen kann, dass ihre Daten­schutz­ge­setz­ge­bung ein ange­mes­se­nes Schutz­ni­veau im Sin­ne der DSGVO gewähr­lei­stet. Des­halb hat es der Bun­des­rat für ange­bracht gehal­ten, den Beginn der par­la­men­ta­ri­schen Arbei­ten abzu­war­ten. Eine erste Kon­takt­auf­nah­me mit der Euro­päi­schen Kom­mis­si­on war für Anfang 2018 vor­ge­se­hen. Ange­sichts des Ent­scheids der Staats­po­li­ti­schen Kom­mis­si­on des Natio­nal­rats vom 11. Janu­ar 2018, die für die Umset­zung des Schen­gen-Besitz­stands not­wen­di­gen gesetz­ge­be­ri­schen Mass­nah­men prio­ri­tär zu behan­deln und die Prü­fung der Anpas­sun­gen, wel­che eine Annäh­rung des schwei­ze­ri­schen Daten­schutz­rechts an die Anfor­de­run­gen der DSGVO bezwecken, in einer zwei­ten Etap­pe vor­zu­neh­men, beab­sich­tigt der Bun­des­rat jedoch, mit die­sem Schritt vor­erst zuzu­war­ten.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.