Der Bundesrat hat zur Interpellation Fiala (17.4088) betr. Umsetzungsfragen zur EU-Datenschutz-Grundverordnung am 2. März 2018 wie folgt Stellung genommen:
[Frage Fiala: Wird die EU die Äquivalenz der Schweizer Datenschutz-Gesetzgebung weiterhin anerkennen?]1. Die Beibehaltung des Angemessenheitsbeschlusses der EU ist für den Bundesrat ein vorrangiges Ziel. Namentlich aus diesem Grund hat er beschlossen, den Inhalt des E‑DSG den Anforderungen des Entwurfs zur Revision des Übereinkommens SEV 108 und der DSGVO anzugleichen. Wann die Europäische Kommission die Angemessenheit des schweizerischen Datenschutzrechts erneut überprüfen und ob das Resultat positiv ausfallen wird, ist heute nicht vorhersehbar. Damit die Schweiz die bestehende Angemessenheitserklärung beibehalten kann, muss sie ein vergleichbares Schutzniveau aufweisen wie die EU. Der Ausgang der Prüfung hängt wesentlich von den Entscheidungen des Parlaments im Rahmen der Revision der schweizerischen Datenschutzgesetzgebung ab.
Da die SPK‑N beschlossen hat, die Vorlage aufzuteilen und in zwei Etappen zu beraten (vgl. nachfolgend Ziff. 9), sind Verzögerungen wahrscheinlich. Kommt die Europäische Kommission bei ihrer nächsten Prüfung des schweizerischen Datenschutzrechts zum Schluss, dass dieses – weil das DSG noch nicht revidiert worden ist – kein angemessenes Schutzniveau mehr gewährleistet, kann sie den Angemessenheitsbeschluss widerrufen, ändern oder aussetzen. Dies hätte für die schweizerische Wirtschaft und insbesondere die KMU nachteilige Folgen. Personenbezogene Daten aus der EU könnten nicht mehr ohne weiteres in die Schweiz übermittelt werden, sondern es müssten zusätzliche sichernde Massnahmen getroffen werden. So müssten sich Schweizer Unternehmen etwa gegenüber Unternehmen aus der EU vertraglich verpflichten, das europäische Datenschutzniveau zu wahren.
[Frage Fiala: Wer ist der Ansprechpartner für Schweizer Unternehmen (z.B. bei Meldepflichten) betreffend der DSGVO und E‑DSG? Ist dies der EDÖB, eine Stelle in der EU oder gar beide?]2. Jede Behörde wird ihr eigenes Recht anwenden. Wenn der für die Datenbearbeitung Verantwortliche der Ansicht ist, dass er sowohl dem DSG als auch der DSGVO untersteht, wird er sich an den EDÖB und an die zuständige ausländische Aufsichtsbehörde wenden.
[Frage Fiala: Werden Untersuchungen und allfällige Sanktionen gegenüber Schweizer Unternehmen von einer schweizerischen Stelle durchgeführt? Wie und durch wen?]3. Die Untersuchung und die Verhängung von Sanktionen gegen ein Unternehmen mit Sitz in der Schweiz, das aber der DSGVO unterstellt ist, fallen in die Zuständigkeit der Aufsichtsbehörden der EU-Mitgliedstaaten. Ohne ein Kooperationsabkommen können diese jedoch selbst keine Untersuchungshandlungen in der Schweiz durchführen. Muss ein Unternehmen einen Vertreter in der EU benennen (Art. 27 DSGVO), können die europäischen Aufsichtsbehörden ihre Entscheidungen dem schweizerischen Unternehmen über diesen Vertreter zustellen, ohne den diplomatischen Weg zu beschreiten.
[Frage Fiala: Können Unternehmen für den gleichen Fall sowohl von der Schweiz, als auch von Seiten EU sanktioniert werden?]4. Diese Möglichkeit ist nicht auszuschliessen. Der Grundsatz ne bis in idem (Verbot der doppelten Strafverfolgung) könnte jedoch zur Anwendung kommen, wenn Geldbussen der EU und strafrechtliche Sanktionen der Schweizer Strafverfolgungsbehörden zusammentreffen.
[Frage Fiala: Können Unternehmen von der EU oder deren Mitgliedsstaaten sanktioniert werden, obwohl sie schweizerisches Recht einhalten? Nein,]5. Ja, wenn sie der DSGVO unterstehen und deren Vorschriften verletzen.
[Frage Fiala: Werden Schweizer Zertifizierungen und Zertifizierungsstellen von der EU anerkannt?]6. Die DSGVO sieht kein Verfahren zur Anerkennung von schweizerischen Zertifizierungen und Zertifizierungsstellen durch die EU vor.
[Frage Fiala: Ist die Schweiz bei der Erarbeitung von Standards involviert?]7. Die DSGVO enthält keine Bestimmung, welche eine solche Beteiligung der Schweiz vorsehen würde. Es ist jedoch nicht ausgeschlossen, dass schweizerische Unternehmen einbezogen werden könnten, z.B. im Rahmen der Ausarbeitung von Verhaltenskodizes.
[Frage Fiala: Die DSGVO verweist an vielen Stellen auf das Recht der Mitgliedsstaaten. Welche Rolle spielt dabei das schweizerische Recht?]8. Die Schweiz ist kein Mitgliedstaat im Sinn der DSGVO. Dies gilt unabhängig davon, dass dieser Rechtsakt gemäss seinem Artikel 3 Absatz 2 auf schweizerische Unternehmen direkt Anwendung finden kann. Die Verweisungen auf das Recht der Mitgliedstaaten umfassen das schweizerische Recht nicht, welchem folglich auch keine Rolle zukommt.
[Frage Fiala: Diese Fragen zeigen, dass ein grosser Koordinierungsbedarf bereits vor der parlamentarischen Beratung der Revision des DSG besteht. Daher wurde der Bundesrat mit der überwiesenen Motion 16.3752 beauftragt, eine entsprechende Vereinbarung mit der EU zu suchen. Gemäss Antwort auf meine Frage 17.5528 in der Fragestunde vom 4. Dezember hat der Bundesrat erklärt, er wolle nicht vor der parlamentarischen Beratung die Europäische Kommission kontaktieren. Die oben erwähnten Fragen stellen sich für viele Schweizer Unternehmen jedoch bereits im Mai 2018. Ausserdem sind diese Umsetzungsfragen gerade auch für die Beratung des schweizerischen DSG sehr wertvoll. Welche Schritte gedenkt der Bundesrat zu unternehmen, um diesen Koordinationsbedarf möglichst rasch staatsvertragsrechtlich zu regeln?]9. Der Abschluss eines Kooperationsabkommens zwischen der Schweiz und der EU wird wahrscheinlich mehrere Jahre in Anspruch nehmen. Die Erfolgschancen werden davon abhängen, ob die Schweiz aufzeigen kann, dass ihre Datenschutzgesetzgebung ein angemessenes Schutzniveau im Sinne der DSGVO gewährleistet. Deshalb hat es der Bundesrat für angebracht gehalten, den Beginn der parlamentarischen Arbeiten abzuwarten. Eine erste Kontaktaufnahme mit der Europäischen Kommission war für Anfang 2018 vorgesehen. Angesichts des Entscheids der Staatspolitischen Kommission des Nationalrats vom 11. Januar 2018, die für die Umsetzung des Schengen-Besitzstands notwendigen gesetzgeberischen Massnahmen prioritär zu behandeln und die Prüfung der Anpassungen, welche eine Annährung des schweizerischen Datenschutzrechts an die Anforderungen der DSGVO bezwecken, in einer zweiten Etappe vorzunehmen, beabsichtigt der Bundesrat jedoch, mit diesem Schritt vorerst zuzuwarten.