The Good, the Bad and the Ugly: Gedan­ken zum neu­en Datenschutzgesetz

Das Datum steht noch nicht fest, aber irgend­wann im 2022 wird es soweit sein: Das neue Daten­schutz­ge­setz wird in Kraft tre­ten. End­lich, muss man anfü­gen. Die Euro­päi­sche Daten­schutz-Grund­ver­ord­nung (DSGVO) wird dann schon gan­ze vier Jah­re in Kraft sein.

Der Schwei­zer Gesetz­ge­ber hat sich viel Zeit gelas­sen und das DSG aus­führ­lich bera­ten. Was dabei her­aus­ge­kom­men ist, lässt sich frei nach Ser­gio Leo­ne zusam­men­fas­sen: The Good, the Bad and the Ugly.

The Good

Das Posi­ti­ve zuerst: Der Schwei­zer Gesetz­ge­ber ist der bewähr­ten prin­zi­pi­en­ori­en­tier­ten Recht­set­zung treu geblie­ben und hat sich nicht wie sein euro­päi­sches Pen­dant in einer unüber­schau­ba­ren Anzahl an Detail­vor­schrif­ten ver­strickt. Auch im Umfang ist das DSG glück­li­cher­wei­se deut­lich kür­zer aus­ge­fal­len als die wort­ge­wal­ti­ge DSGVO.

Erfreu­lich ist auch, dass das DSG nicht der Kon­zep­ti­on der DSGVO gefolgt ist, wonach jeder Umgang mit Per­so­nen­da­ten zunächst mal ver­bo­ten ist und gerecht­fer­tigt wer­den muss. Wer­den die Daten­schutz­prin­zi­pi­en ein­ge­hal­ten, ist die Nut­zung von Per­so­nen­da­ten in der Schweiz auch künf­tig grund­sätz­lich erlaubt. Nur wenn die­se Prin­zi­pi­en nicht ein­ge­hal­ten wer­den kön­nen, muss die Daten­be­ar­bei­tung spe­zi­ell gerecht­fer­tigt und z.B. eine Ein­wil­li­gung ein­ge­holt werden.

Das DSG macht erfreu­li­cher­wei­se auch nicht den Feh­ler der DSGVO, den Coif­feur­sa­lon und die Bäcke­rei über den­sel­ben Lei­sten schla­gen zu wol­len wie die gro­ssen Tech-Unter­neh­men und ande­re ver­meint­li­che „Daten­kra­ken“. So ent­bin­det es z.B. KMUs ohne heik­le Daten­be­ar­bei­tun­gen von der Pflicht zur Füh­rung eines Ver­ar­bei­tungs­ver­zeich­nis­ses. Das ist mehr als eine Fuss­no­te: In der Unter­neh­mens­pra­xis gehört das Ver­ar­bei­tungs­ver­zeich­nis zu den arbeits­in­ten­siv­sten Tätig­kei­ten im Datenschutz.

The Bad

Das neue DSG ent­hält aber nicht nur Erfreu­li­ches, son­dern auch ein paar ärger­li­che, da unnö­ti­ge „Swiss Finishes“.

Miss­glückt ist ins­be­son­de­re die bis zuletzt umstrit­te­ne Rege­lung zum Pro­filing, wel­che die neue Rechts­fi­gur des „Pro­filing mit hohem Risi­ko“ schafft. Die DSGVO kennt zwar eine ähn­li­che Unter­schei­dung. Dort grei­fen die zusätz­li­chen Pflich­ten bei Pro­filing aber erst, wenn ein Pro­filing Grund­la­ge für eine Ent­schei­dung ist, die Rechts­wir­kun­gen oder ähn­li­che nega­ti­ve Aus­wir­kun­gen hat, und nicht wie in der Schweiz schon dann, wenn ein Pro­filing die Beur­tei­lung von „wesent­li­chen Aspek­ten der Per­sön­lich­keit“ erlaubt.

In der Schweiz wer­den im Zusam­men­hang mit Pro­filing des­halb wohl häu­fi­ger Daten­schutz-Fol­gen­ab­schät­zun­gen durch­ge­führt wer­den müs­sen als im EWR. Das ist zwar nur eine klei­ne, aber den­noch unnö­ti­ge Ver­schär­fung gegen­über der DSGVO. Immer­hin soll­te klar sein, dass auch ein Pro­filing mit hohem Risi­ko nicht per se eine Ein­wil­li­gung vor­aus­setzt – auch wenn eini­ge Par­la­men­ta­ri­er bis zuletzt offen­bar genau davon aus­ge­gan­gen sind.

Unnö­tig und nicht umsetz­bar ist auch die Vor­schrift, wonach bei Über­mitt­lun­gen ins Aus­land die ein­zel­nen Emp­fän­ger­staa­ten ange­ge­ben wer­den sol­len. Das Pfle­gen einer eigent­li­chen Län­der­li­ste wäre ein admi­ni­stra­ti­ver Leer­lauf ohne Zusatz­nut­zen für Kun­den. In der Pra­xis wird wohl gross­zü­gig ein Auge zuge­drückt wer­den und die Anga­be von geo­gra­fi­schen Regio­nen – oder gar „welt­weit“ – genü­gen gelassen.

The Ugly

Soweit so gut. Wür­de das neue DSG nur nicht die­sen einen gro­ssen Faux­pas ent­hal­ten, der nur schwer zu ver­dau­en ist: die per­sön­li­che Straf­bar­keit. In der Schweiz sol­len für Daten­schutz­ver­stö­sse nicht Unter­neh­men, son­dern Men­schen bestraft wer­den. Mit bis zu einer Vier­tel­mil­li­on Bus­se, häu­fig ver­bun­den mit einem Ein­trag im Straf­re­gi­ster. Das ist kein Pap­pen­stiel. Es ist auch ein Uni­kum, denn prak­tisch über­all sonst wer­den für Daten­schutz­ver­stö­sse Unter­neh­men zur Rechen­schaft gezo­gen. Wer aus­län­di­schen Kol­le­gen schon mal von der per­sön­li­chen Straf­bar­keit unter dem künf­ti­gen DSG berich­tet hat, kennt die Reak­ti­on: Gro­sse Augen, gefolgt von ungläu­bi­gem Kopfschütteln.

Das oft gehör­te Argu­ment, das Schwei­zer Rechts­sy­stem ken­ne nun mal kei­ne Unter­neh­mens­straf­bar­keit, über­zeugt nicht. Auch hier­zu­lan­de wer­den für Wett­be­werbs­ver­let­zun­gen die Unter­neh­men und nicht die für sie han­deln­den Men­schen belangt. War­um soll im Daten­schutz­recht nicht mög­lich sein, was im Wett­be­werbs­recht längst gilt? Auch die Beschwich­ti­gun­gen des Bun­des­ra­tes, wonach in erster Linie Lei­tungs­per­so­nen zur Ver­ant­wor­tung gezo­gen wür­den, beru­hi­gen wenig. Aus dem Gesetz ergibt sich eine sol­che Ein­schrän­kung nicht. Und Erfah­run­gen aus ande­ren Berei­chen zei­gen, dass durch­aus ope­ra­ti­ve Funk­tio­nen zur Ver­ant­wor­tung gezo­gen wer­den, wenn auf ope­ra­ti­ver Ebe­ne Feh­ler passieren.

À pro­pos Feh­ler pas­sie­ren: Daten­schutz­ver­stö­sse sind immer­hin nur straf­bar, wenn sie vor­sätz­lich erfol­gen. Aber Vor­satz umfasst bekannt­lich auch die Inkauf­nah­me. Wer schon ein­mal in einem Unter­neh­men mit Daten­schutz befasst war, weiss, wie schwie­rig es ange­sichts immer kom­ple­xe­ren Daten­struk­tu­ren ist, stets alle Anfor­de­run­gen zu erfül­len. Der Fall wird so sel­ten nicht sein, dass den Betei­lig­ten bewusst ist, eine Aus­kunft könn­te mög­li­cher­wei­se nicht voll­stän­dig oder nicht in allen Tei­len kor­rekt sein, und sie dies in Kauf neh­men. Sol­ches wäre künf­tig straf­bar. Aber was sol­len sie denn tun, gar kei­ne Aus­kunft ertei­len ist schliess­lich auch kei­ne Option.

Ent­war­nung ist also fehl am Platz. Die Straf­be­stim­mun­gen des neu­en DSG müs­sen ernst genom­men wer­den. Akti­vi­sten und Que­ru­lan­ten wer­den rou­ti­ne­mä­ssig mit einer Straf­an­zei­ge dro­hen und ihre Dro­hun­gen auch regel­mä­ssig in die Tat umset­zen. Gut mög­lich, dass die Straf­ver­fol­gungs­be­hör­den Bes­se­res zu tun haben wer­den als Daten­schutz­ver­stö­sse zu ver­fol­gen. Nur, wer will sich schon dar­auf ver­las­sen? Die Straf­ver­fol­gung ist kan­to­nal gere­gelt und damit sehr frag­men­tiert. Es wird schon die eine oder ande­re Staats­an­wäl­tin mit Affi­ni­tät zum Daten­schutz geben.

Die per­sön­li­che Straf­bar­keit des neu­en DSG ist rechts­po­li­tisch ver­fehlt und unter­läuft den viel­zi­tier­ten risi­ko­ba­sier­ten Ansatz. Sie wird zu einer über­mä­ssig vor­sich­ti­gen Bera­tungs­pra­xis und einer Zunah­me von „Cover-your-ass“ E‑Mails füh­ren. Wer möch­te ange­sichts der emp­find­li­chen Stra­fen schon der­je­ni­ge sein, der ein Vor­ha­ben ohne Vor­be­hal­te durch­ge­winkt hat? Sol­che Anrei­ze sind kei­ne guten Nach­rich­ten für den Inno­va­ti­ons­stand­ort Schweiz.

Der Autor ist Lei­ter Daten­schutz und Daten­schutz­be­auf­trag­ter im Migros-Genos­sen­schafts-Bund. Er gibt sei­ne per­sön­li­che Mei­nung wieder.