Heute, am 31. August 2023, geht die lange Revision des Datenschutzrechts in der Schweiz vorläufig zu Ende – vorläufig, weil absehbar ist, dass dem DSG ein ähnliches Schicksal wie jenes des UWG droht: Es ist für alle datenbezogenen Anliegen anschlussfähig und dürfte deshalb laufend ergänzt werden. Aber das ist Spekulation; nun, am 1. September, um 00:00 Uhr, tritt das revidierte DSG in Kraft.
Für viele Unternehmen bedeutete die Revisionsphase eine tiefgreifende Auseinandersetzung mit ihrem Umgang mit Personendaten und den innerbetrieblichen organisatorischen Rahmenbedingungen – natürlich auch oder besonders vor dem Hintergrund der DSGVO und anderer internationaler Entwicklungen. Es wurden mehr oder weniger unabhängige Stellen besetzt (wobei die Unabhängigkeit weniger eine Frage der Weisungsungebundenheit, der Freiheit von Interessenkonflikten und von Reporting Lines ist als vielmehr eine solche ausreichender Ressourcen, die den Datenschutzstellen ein gewisses Agenda-Setting erlaubt, statt sie auf die Reaktion auf interne Anfragen zurückzubinden). Es wurden Ansprechpersonen für den Datenschutz in den Einheiten bestimmt, z.B. im Marketing, im HR und in der IT, und Geschäftsleitungen wurden über Rechtsrisiken informiert, besonders auch strafrechtliche Risiken an der Front wie auch in der Geschäftsleitung und im Management.
Die rechtlichen Risiken werden dabei sowohl über- als auch unterschätzt – unterschätzt von Unternehmen, die den Datenschutz noch immer als Zumutung und weitere Woke Einschränkungen legitimen Gewinnstrebens empfinden und nicht bereit sind, in mehr als eine Datenschutzerklärung zu investieren, und überschätzt von Unternehmen, die befürchten, selbst Nachlässigkeiten könnten zu Strafen führen.
Insgesamt dürften die strafrechtlichen Risiken aber überschätzt werden. Es ist beispielsweise kaum möglich, einen Auftragsbearbeiter beizuziehen, ohne die nach Art. 9 Abs. 1 und 2 DSG strafbewehrten Mindestvorgaben zu erfüllen. Sie ergeben sich weitgehend schon als obligationenrechtliche Nebenpflicht aus jeder auftragsähnlichen Beziehung, zumindest aus einer strafrechtlichen Optik, die weder zu weite Auslegungen noch Analogien erlaubt. Mit Bezug auf die Datensicherheit haben wir bereits dargelegt, dass und weshalb es in der DSV bei richtiger Betrachtung keine justiziablen Mindestanforderungen an die Datensicherheit gibt. Und mit Bezug auf die Übermittlung ins Ausland sind Strafen denkbar, wenn etwa Standardvertragsklauseln vergessen werden, aber bspw. das Unterlassen eines Transfer Impact Assessment (TIA) kann für sich genommen nicht zu Strafbarkeit führen.
Die grössten Risiken bestehen sicher im Zusammenhang mit der Informationspflicht und dem Auskunftsrecht. Bei der Informationspflicht würde sich allerdings die Vorfrage stellen, ob überhaupt eine Beschaffung von Personendaten vorliegt (denn nicht jeder Anfall von Daten ist eine Beschaffung) und ob eine Lücke in der Datenschutzerklärung wirklich eine solche ist, denn informiert werden muss nur über jene Zwecke und Bekanntgaben, die bei der Beschaffung zumindest absehbar, wenn nicht gar geplant sind. Und generell fragt sich, wie ausführlich Informationen in einer Datenschutzerklärung sein müssen. Mit Blick auf das weitergehende Informationsrecht im Rahmen des Auskunftsrechts kann man sicher keine erschöpfenden Details erwarten, auch wenn viele Unternehmen aus Vorsicht und Reputationsgründen ausführliche Datenschutzerklärungen verwenden.
Wie aktiv Strafverfolgungsbehörden sein werden, bleibt ohnehin abzuwarten – denkt man aber an die Vollzugspraxis im Bereich des UWG und besonders des Spamverbots (bekannt sind Nichtanhandnahmeverfügungen mit teils abenteuerlichen Begründungen), ist sicher kein Aktivismus zu erwarten.
Auch von Seiten des EDÖB ist nicht mit breiten Untersuchungstätigkeiten zu rechnen. Zwar wird er unter einem gewissen Erfolgsdruck stehen und von seinen erweiterten Kompetenzen Gebrauch machen müssen, aber er dürfte sich aus politischen Überlegungen, aufgrund seines Selbstverständnisses (“kein Regulator”) und wegen Ressourcenknappheit Zurückhaltung auferlegen.
Unternehmen werden auch nach dem 1. September mit Umsetzungsarbeiten beschäftigt sein, einerseits mit den offensichtlichen Anforderungen an die Informationspflicht, aber auch mit der internen Organisation und den üblichen Long-Tail-Tasks wie etwa der Speicherung und Löschung von Personendaten. Ein gewisser Zusatzaufwand wird zudem bleiben, z.B. in der Zusammenarbeit mit Dienstleistern und Partnern, wo Datenschutzverträge und entsprechende Verhandlungen zugenommen haben.
Unter dem Strich dürfte der Einfluss des neuen DSG auf die Unternehmenspraxis aber überschaubar bleiben. Auch die Vertreterinnen und Vertreter der Datenschutz-Bubble wissen, dass das Datenschutzrecht nicht die einzige Regulierung ist, mit der sich Unternehmen auseinandersetzen. Abgesehen von sektoriellen Regulierungen haben Unternehmen je nach Branche etwa Vorgaben des Kartellrechts, der Korruptionsbekämpfung, des Geldwäschereirechts usw. zu beachten, und ein einseitiger Fokus auf das Datenschutzrecht würde nur dazu führen, andere Pflichten und Risiken zu vernachlässigen – das dürfte auch den Datenschutzbehörden bewusst sein.
Ist die Revision geglückt? Ja und nein. Das neue DSG ist Ergebnis langen politischen Tauziehens. Das hat Vor- und Nachteile – zum einen ist das DSG weniger gouvernantenhaft als die DSGVO. Andererseits werden viele handwerkliche Fehler des DSG und der DSV weiterhin zu Rechtsunsicherheit führen. Es trägt auch nicht zur Akzeptanz des Datenschutzrechts bei, dass die Strafbarkeit individualisiert wird und die Auswahl der strafbewehrten Pflichten willkürlich erscheint (weshalb soll es strafbar sein, Personendaten ohne Standardvertragsklauseln in Drittstaaten zu übermitteln, aber nicht, eine Datenschutzfolgenabschätzung oder die Meldung einer Datensicherheitsverletzung zu melden?), oder dass ein konsistenter Ansatz bei der gesetzlichen Risikobewertung fehlt. Immerhin: Das lässt Unternehmen den stets geforderten Freiraum bei der Umsetzung des Datenschutzrechts.
Was das Datenschutzrecht nicht ändern kann: Die weitere Entwicklung der Technologie und ihre Durchdringung auch kleinster Verästelungen des Alltags. Der generativen KI wird man sich auch dann nicht entziehen können, wenn man es wollte, und dafür gäbe es gute Gründe (keine Gelegenheit, das Denken auszulagern, blieb je ungenutzt). Welche Wirkungen dies haben wird, ist schwer abzusehen, und hier ist nicht der Ort, darüber zu spekulieren. Aber eine Überlegung drängt sich auf: Mittel, eingesetzt, wirken zurück; was man besitzt, besitzt einem selbst. Eine KI, die sich als menschenähnlich ausgibt, ist nicht nur menschenähnliche KI, sondern auch Blaupause für menschliches Verhalten, so wie andere Grundlagentechnologien es waren – das Internet ist nicht nur ein Ort der Freiheit, sondern kann Wissen durch Information und Denken durch Googeln ersetzen. Es ist deshalb nicht nur möglich, sondern wahrscheinlich, dass eine KI früher oder später nicht mehr als defizitärer Mensch betrachtet wird, sondern der Mensch als defizitäre KI. Wir werden uns bspw. mit der Frage beschäftigen, ob es wirklich ein Recht auf menschliches Gehör bei automatisierten Einzelentscheidungen braucht oder nicht vielmehr ein Recht auf maschinelles Gehör bei menschlichen Entscheidungen.
Das Datenschutzrecht ist aber kaum in der Lage, solche Fragen aufzunehmen, wenn es nicht noch mehr zum “Law of Everything” werden soll. Mehr als philosophische Fragen verlangt es Handwerk, eine stetige Beschäftigung mit Datenbearbeitungen gewissermassen im Maschinenraum der Unternehmen und einen Wandel des Verständnisses weg vom notwendigen Übel hin zu einem durchaus sinnvollen Rahmen einer digitalisierten Welt.
In diesem Sinne – out with the old, in with the new! Wir werden das Datenschutzrecht an dieser Stelle weiterhin liebevoll begleiten.