Das Datum steht noch nicht fest, aber irgendwann im 2022 wird es soweit sein: Das neue Datenschutzgesetz wird in Kraft treten. Endlich, muss man anfügen. Die Europäische Datenschutz-Grundverordnung (DSGVO) wird dann schon ganze vier Jahre in Kraft sein.
Der Schweizer Gesetzgeber hat sich viel Zeit gelassen und das DSG ausführlich beraten. Was dabei herausgekommen ist, lässt sich frei nach Sergio Leone zusammenfassen: The Good, the Bad and the Ugly.
The Good
Das Positive zuerst: Der Schweizer Gesetzgeber ist der bewährten prinzipienorientierten Rechtsetzung treu geblieben und hat sich nicht wie sein europäisches Pendant in einer unüberschaubaren Anzahl an Detailvorschriften verstrickt. Auch im Umfang ist das DSG glücklicherweise deutlich kürzer ausgefallen als die wortgewaltige DSGVO.
Erfreulich ist auch, dass das DSG nicht der Konzeption der DSGVO gefolgt ist, wonach jeder Umgang mit Personendaten zunächst mal verboten ist und gerechtfertigt werden muss. Werden die Datenschutzprinzipien eingehalten, ist die Nutzung von Personendaten in der Schweiz auch künftig grundsätzlich erlaubt. Nur wenn diese Prinzipien nicht eingehalten werden können, muss die Datenbearbeitung speziell gerechtfertigt und z.B. eine Einwilligung eingeholt werden.
Das DSG macht erfreulicherweise auch nicht den Fehler der DSGVO, den Coiffeursalon und die Bäckerei über denselben Leisten schlagen zu wollen wie die grossen Tech-Unternehmen und andere vermeintliche „Datenkraken“. So entbindet es z.B. KMUs ohne heikle Datenbearbeitungen von der Pflicht zur Führung eines Verarbeitungsverzeichnisses. Das ist mehr als eine Fussnote: In der Unternehmenspraxis gehört das Verarbeitungsverzeichnis zu den arbeitsintensivsten Tätigkeiten im Datenschutz.
The Bad
Das neue DSG enthält aber nicht nur Erfreuliches, sondern auch ein paar ärgerliche, da unnötige „Swiss Finishes“.
Missglückt ist insbesondere die bis zuletzt umstrittene Regelung zum Profiling, welche die neue Rechtsfigur des „Profiling mit hohem Risiko“ schafft. Die DSGVO kennt zwar eine ähnliche Unterscheidung. Dort greifen die zusätzlichen Pflichten bei Profiling aber erst, wenn ein Profiling Grundlage für eine Entscheidung ist, die Rechtswirkungen oder ähnliche negative Auswirkungen hat, und nicht wie in der Schweiz schon dann, wenn ein Profiling die Beurteilung von „wesentlichen Aspekten der Persönlichkeit“ erlaubt.
In der Schweiz werden im Zusammenhang mit Profiling deshalb wohl häufiger Datenschutz-Folgenabschätzungen durchgeführt werden müssen als im EWR. Das ist zwar nur eine kleine, aber dennoch unnötige Verschärfung gegenüber der DSGVO. Immerhin sollte klar sein, dass auch ein Profiling mit hohem Risiko nicht per se eine Einwilligung voraussetzt – auch wenn einige Parlamentarier bis zuletzt offenbar genau davon ausgegangen sind.
Unnötig und nicht umsetzbar ist auch die Vorschrift, wonach bei Übermittlungen ins Ausland die einzelnen Empfängerstaaten angegeben werden sollen. Das Pflegen einer eigentlichen Länderliste wäre ein administrativer Leerlauf ohne Zusatznutzen für Kunden. In der Praxis wird wohl grosszügig ein Auge zugedrückt werden und die Angabe von geografischen Regionen – oder gar „weltweit“ – genügen gelassen.
The Ugly
Soweit so gut. Würde das neue DSG nur nicht diesen einen grossen Fauxpas enthalten, der nur schwer zu verdauen ist: die persönliche Strafbarkeit. In der Schweiz sollen für Datenschutzverstösse nicht Unternehmen, sondern Menschen bestraft werden. Mit bis zu einer Viertelmillion Busse, häufig verbunden mit einem Eintrag im Strafregister. Das ist kein Pappenstiel. Es ist auch ein Unikum, denn praktisch überall sonst werden für Datenschutzverstösse Unternehmen zur Rechenschaft gezogen. Wer ausländischen Kollegen schon mal von der persönlichen Strafbarkeit unter dem künftigen DSG berichtet hat, kennt die Reaktion: Grosse Augen, gefolgt von ungläubigem Kopfschütteln.
Das oft gehörte Argument, das Schweizer Rechtssystem kenne nun mal keine Unternehmensstrafbarkeit, überzeugt nicht. Auch hierzulande werden für Wettbewerbsverletzungen die Unternehmen und nicht die für sie handelnden Menschen belangt. Warum soll im Datenschutzrecht nicht möglich sein, was im Wettbewerbsrecht längst gilt? Auch die Beschwichtigungen des Bundesrates, wonach in erster Linie Leitungspersonen zur Verantwortung gezogen würden, beruhigen wenig. Aus dem Gesetz ergibt sich eine solche Einschränkung nicht. Und Erfahrungen aus anderen Bereichen zeigen, dass durchaus operative Funktionen zur Verantwortung gezogen werden, wenn auf operativer Ebene Fehler passieren.
À propos Fehler passieren: Datenschutzverstösse sind immerhin nur strafbar, wenn sie vorsätzlich erfolgen. Aber Vorsatz umfasst bekanntlich auch die Inkaufnahme. Wer schon einmal in einem Unternehmen mit Datenschutz befasst war, weiss, wie schwierig es angesichts immer komplexeren Datenstrukturen ist, stets alle Anforderungen zu erfüllen. Der Fall wird so selten nicht sein, dass den Beteiligten bewusst ist, eine Auskunft könnte möglicherweise nicht vollständig oder nicht in allen Teilen korrekt sein, und sie dies in Kauf nehmen. Solches wäre künftig strafbar. Aber was sollen sie denn tun, gar keine Auskunft erteilen ist schliesslich auch keine Option.
Entwarnung ist also fehl am Platz. Die Strafbestimmungen des neuen DSG müssen ernst genommen werden. Aktivisten und Querulanten werden routinemässig mit einer Strafanzeige drohen und ihre Drohungen auch regelmässig in die Tat umsetzen. Gut möglich, dass die Strafverfolgungsbehörden Besseres zu tun haben werden als Datenschutzverstösse zu verfolgen. Nur, wer will sich schon darauf verlassen? Die Strafverfolgung ist kantonal geregelt und damit sehr fragmentiert. Es wird schon die eine oder andere Staatsanwältin mit Affinität zum Datenschutz geben.
Die persönliche Strafbarkeit des neuen DSG ist rechtspolitisch verfehlt und unterläuft den vielzitierten risikobasierten Ansatz. Sie wird zu einer übermässig vorsichtigen Beratungspraxis und einer Zunahme von „Cover-your-ass“ E‑Mails führen. Wer möchte angesichts der empfindlichen Strafen schon derjenige sein, der ein Vorhaben ohne Vorbehalte durchgewinkt hat? Solche Anreize sind keine guten Nachrichten für den Innovationsstandort Schweiz.
Der Autor ist Leiter Datenschutz und Datenschutzbeauftragter im Migros-Genossenschafts-Bund. Er gibt seine persönliche Meinung wieder.