datenrecht.ch

Out with the old, in with the new: Das revi­dier­te DSG tritt in Kraft

Heu­te, am 31. August 2023, geht die lan­ge Revi­si­on des Daten­schutz­rechts in der Schweiz vor­läu­fig zu Ende – vor­läu­fig, weil abseh­bar ist, dass dem DSG ein ähn­li­ches Schick­sal wie jenes des UWG droht: Es ist für alle daten­be­zo­ge­nen Anlie­gen anschluss­fä­hig und dürf­te des­halb lau­fend ergänzt wer­den. Aber das ist Spe­ku­la­ti­on; nun, am 1. Sep­tem­ber, um 00:00 Uhr, tritt das revi­dier­te DSG in Kraft.

Für vie­le Unter­neh­men bedeu­te­te die Revi­si­ons­pha­se eine tief­grei­fen­de Aus­ein­an­der­set­zung mit ihrem Umgang mit Per­so­nen­da­ten und den inner­be­trieb­li­chen orga­ni­sa­to­ri­schen Rah­men­be­din­gun­gen – natür­lich auch oder beson­ders vor dem Hin­ter­grund der DSGVO und ande­rer inter­na­tio­na­ler Ent­wick­lun­gen. Es wur­den mehr oder weni­ger unab­hän­gi­ge Stel­len besetzt (wobei die Unab­hän­gig­keit weni­ger eine Fra­ge der Wei­sungs­un­ge­bun­den­heit, der Frei­heit von Inter­es­sen­kon­flik­ten und von Report­ing Lines ist als viel­mehr eine sol­che aus­rei­chen­der Res­sour­cen, die den Daten­schutz­stel­len ein gewis­ses Agen­da-Set­ting erlaubt, statt sie auf die Reak­ti­on auf inter­ne Anfra­gen zurück­zu­bin­den). Es wur­den Ansprech­per­so­nen für den Daten­schutz in den Ein­hei­ten bestimmt, z.B. im Mar­ke­ting, im HR und in der IT, und Geschäfts­lei­tun­gen wur­den über Rechts­ri­si­ken infor­miert, beson­ders auch straf­recht­li­che Risi­ken an der Front wie auch in der Geschäfts­lei­tung und im Management.

Die recht­li­chen Risi­ken wer­den dabei sowohl über- als auch unter­schätzt – unter­schätzt von Unter­neh­men, die den Daten­schutz noch immer als Zumu­tung und wei­te­re Woke Ein­schrän­kun­gen legi­ti­men Gewinn­stre­bens emp­fin­den und nicht bereit sind, in mehr als eine Daten­schutz­er­klä­rung zu inve­stie­ren, und über­schätzt von Unter­neh­men, die befürch­ten, selbst Nach­läs­sig­kei­ten könn­ten zu Stra­fen führen.

Ins­ge­samt dürf­ten die straf­recht­li­chen Risi­ken aber über­schätzt wer­den. Es ist bei­spiels­wei­se kaum mög­lich, einen Auf­trags­be­ar­bei­ter bei­zu­zie­hen, ohne die nach Art. 9 Abs. 1 und 2 DSG straf­be­wehr­ten Min­dest­vor­ga­ben zu erfül­len. Sie erge­ben sich weit­ge­hend schon als obli­ga­tio­nen­recht­li­che Neben­pflicht aus jeder auf­trags­ähn­li­chen Bezie­hung, zumin­dest aus einer straf­recht­li­chen Optik, die weder zu wei­te Aus­le­gun­gen noch Ana­lo­gien erlaubt. Mit Bezug auf die Daten­si­cher­heit haben wir bereits dar­ge­legt, dass und wes­halb es in der DSV bei rich­ti­ger Betrach­tung kei­ne justi­zia­blen Min­dest­an­for­de­run­gen an die Daten­si­cher­heit gibt. Und mit Bezug auf die Über­mitt­lung ins Aus­land sind Stra­fen denk­bar, wenn etwa Stan­dard­ver­trags­klau­seln ver­ges­sen wer­den, aber bspw. das Unter­las­sen eines Trans­fer Impact Assess­ment (TIA) kann für sich genom­men nicht zu Straf­bar­keit führen.

Die gröss­ten Risi­ken bestehen sicher im Zusam­men­hang mit der Infor­ma­ti­ons­pflicht und dem Aus­kunfts­recht. Bei der Infor­ma­ti­ons­pflicht wür­de sich aller­dings die Vor­fra­ge stel­len, ob über­haupt eine Beschaf­fung von Per­so­nen­da­ten vor­liegt (denn nicht jeder Anfall von Daten ist eine Beschaf­fung) und ob eine Lücke in der Daten­schutz­er­klä­rung wirk­lich eine sol­che ist, denn infor­miert wer­den muss nur über jene Zwecke und Bekannt­ga­ben, die bei der Beschaf­fung zumin­dest abseh­bar, wenn nicht gar geplant sind. Und gene­rell fragt sich, wie aus­führ­lich Infor­ma­tio­nen in einer Daten­schutz­er­klä­rung sein müs­sen. Mit Blick auf das wei­ter­ge­hen­de Infor­ma­ti­ons­recht im Rah­men des Aus­kunfts­rechts kann man sicher kei­ne erschöp­fen­den Details erwar­ten, auch wenn vie­le Unter­neh­men aus Vor­sicht und Repu­ta­ti­ons­grün­den aus­führ­li­che Daten­schutz­er­klä­run­gen verwenden.

Wie aktiv Straf­ver­fol­gungs­be­hör­den sein wer­den, bleibt ohne­hin abzu­war­ten – denkt man aber an die Voll­zugs­pra­xis im Bereich des UWG und beson­ders des Spam­ver­bots (bekannt sind Nicht­an­hand­nah­me­ver­fü­gun­gen mit teils aben­teu­er­li­chen Begrün­dun­gen), ist sicher kein Akti­vis­mus zu erwarten.

Auch von Sei­ten des EDÖB ist nicht mit brei­ten Unter­su­chungs­tä­tig­kei­ten zu rech­nen. Zwar wird er unter einem gewis­sen Erfolgs­druck ste­hen und von sei­nen erwei­ter­ten Kom­pe­ten­zen Gebrauch machen müs­sen, aber er dürf­te sich aus poli­ti­schen Über­le­gun­gen, auf­grund sei­nes Selbst­ver­ständ­nis­ses (“kein Regu­la­tor”) und wegen Res­sour­cen­knapp­heit Zurück­hal­tung auferlegen.

Unter­neh­men wer­den auch nach dem 1. Sep­tem­ber mit Umset­zungs­ar­bei­ten beschäf­tigt sein, einer­seits mit den offen­sicht­li­chen Anfor­de­run­gen an die Infor­ma­ti­ons­pflicht, aber auch mit der inter­nen Orga­ni­sa­ti­on und den übli­chen Long-Tail-Tasks wie etwa der Spei­che­rung und Löschung von Per­so­nen­da­ten. Ein gewis­ser Zusatz­auf­wand wird zudem blei­ben, z.B. in der Zusam­men­ar­beit mit Dienst­lei­stern und Part­nern, wo Daten­schutz­ver­trä­ge und ent­spre­chen­de Ver­hand­lun­gen zuge­nom­men haben.

Unter dem Strich dürf­te der Ein­fluss des neu­en DSG auf die Unter­neh­mens­pra­xis aber über­schau­bar blei­ben. Auch die Ver­tre­te­rin­nen und Ver­tre­ter der Daten­schutz-Bubble wis­sen, dass das Daten­schutz­recht nicht die ein­zi­ge Regu­lie­rung ist, mit der sich Unter­neh­men aus­ein­an­der­set­zen. Abge­se­hen von sek­to­ri­el­len Regu­lie­run­gen haben Unter­neh­men je nach Bran­che etwa Vor­ga­ben des Kar­tell­rechts, der Kor­rup­ti­ons­be­kämp­fung, des Geld­wä­sche­rei­rechts usw. zu beach­ten, und ein ein­sei­ti­ger Fokus auf das Daten­schutz­recht wür­de nur dazu füh­ren, ande­re Pflich­ten und Risi­ken zu ver­nach­läs­si­gen – das dürf­te auch den Daten­schutz­be­hör­den bewusst sein.

Ist die Revi­si­on geglückt? Ja und nein. Das neue DSG ist Ergeb­nis lan­gen poli­ti­schen Tau­zie­hens. Das hat Vor- und Nach­tei­le – zum einen ist das DSG weni­ger gou­ver­nan­ten­haft als die DSGVO. Ande­rer­seits wer­den vie­le hand­werk­li­che Feh­ler des DSG und der DSV wei­ter­hin zu Rechts­un­si­cher­heit füh­ren. Es trägt auch nicht zur Akzep­tanz des Daten­schutz­rechts bei, dass die Straf­bar­keit indi­vi­dua­li­siert wird und die Aus­wahl der straf­be­wehr­ten Pflich­ten will­kür­lich erscheint (wes­halb soll es straf­bar sein, Per­so­nen­da­ten ohne Stan­dard­ver­trags­klau­seln in Dritt­staa­ten zu über­mit­teln, aber nicht, eine Daten­schutz­fol­gen­ab­schät­zung oder die Mel­dung einer Daten­si­cher­heits­ver­let­zung zu mel­den?), oder dass ein kon­si­sten­ter Ansatz bei der gesetz­li­chen Risi­ko­be­wer­tung fehlt. Immer­hin: Das lässt Unter­neh­men den stets gefor­der­ten Frei­raum bei der Umset­zung des Datenschutzrechts.

Was das Daten­schutz­recht nicht ändern kann: Die wei­te­re Ent­wick­lung der Tech­no­lo­gie und ihre Durch­drin­gung auch klein­ster Ver­äste­lun­gen des All­tags. Der gene­ra­ti­ven KI wird man sich auch dann nicht ent­zie­hen kön­nen, wenn man es woll­te, und dafür gäbe es gute Grün­de (kei­ne Gele­gen­heit, das Den­ken aus­zu­la­gern, blieb je unge­nutzt). Wel­che Wir­kun­gen dies haben wird, ist schwer abzu­se­hen, und hier ist nicht der Ort, dar­über zu spe­ku­lie­ren. Aber eine Über­le­gung drängt sich auf: Mit­tel, ein­ge­setzt, wir­ken zurück; was man besitzt, besitzt einem selbst. Eine KI, die sich als men­schen­ähn­lich aus­gibt, ist nicht nur men­schen­ähn­li­che KI, son­dern auch Blau­pau­se für mensch­li­ches Ver­hal­ten, so wie ande­re Grund­la­gen­tech­no­lo­gien es waren – das Inter­net ist nicht nur ein Ort der Frei­heit, son­dern kann Wis­sen durch Infor­ma­ti­on und Den­ken durch Goo­geln erset­zen. Es ist des­halb nicht nur mög­lich, son­dern wahr­schein­lich, dass eine KI frü­her oder spä­ter nicht mehr als defi­zi­tä­rer Mensch betrach­tet wird, son­dern der Mensch als defi­zi­tä­re KI. Wir wer­den uns bspw. mit der Fra­ge beschäf­ti­gen, ob es wirk­lich ein Recht auf mensch­li­ches Gehör bei auto­ma­ti­sier­ten Ein­zel­ent­schei­dun­gen braucht oder nicht viel­mehr ein Recht auf maschi­nel­les Gehör bei mensch­li­chen Entscheidungen.

Das Daten­schutz­recht ist aber kaum in der Lage, sol­che Fra­gen auf­zu­neh­men, wenn es nicht noch mehr zum “Law of Ever­ything” wer­den soll. Mehr als phi­lo­so­phi­sche Fra­gen ver­langt es Hand­werk, eine ste­ti­ge Beschäf­ti­gung mit Daten­be­ar­bei­tun­gen gewis­ser­ma­ssen im Maschi­nen­raum der Unter­neh­men und einen Wan­del des Ver­ständ­nis­ses weg vom not­wen­di­gen Übel hin zu einem durch­aus sinn­vol­len Rah­men einer digi­ta­li­sier­ten Welt.

In die­sem Sin­ne – out with the old, in with the new! Wir wer­den das Daten­schutz­recht an die­ser Stel­le wei­ter­hin lie­be­voll begleiten.

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter

News abonnieren →