Datenschutz in aller Munde

26.07.2018

Seit Ende Mai 2018 ist «Datenschutz» in aller Munde – vor allem in aller Berater Munde. Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union war der zündende Funke und die Bussen-Drohung der DSGVO der Brandbeschleuniger. Flächenbrand oder nur kleines Strohfeuerchen? Prof. Dr. Beat Rudin, Datenschutzbeauftragter Kanton Baselland, klärt auf.

Die EU hat im Jahr 2011 eine Datenschutzreform lanciert. Ziel war eine Stärkung der Rechte der Bürgerinnen und Bürger in der digitalen Gesellschaft. Nach intensiver Diskussion haben sich die Europäische Kommission, der Rat der EU und das Europäische Parlament auf zwei neue Erlasse geeinigt: Die alte Datenschutz-Richtlinie von 1995 wurde abgelöst durch die Datenschutz-Grundverordnung (EU) 2016/679, der alte Rahmenbeschluss für die justizielle und polizeiliche Zusammenarbeit durch die neue Richtlinie (EU) 2016/680.

Relevanz für die Schweiz

Der zweite Erlass, die Richtlinie, ist Schengen-relevant, muss also für die öffentlichen Organe im Schweizer Recht umgesetzt werden. Der erste Erlass, die DSGVO, ist nicht Schengen-relevant, aber für unser Land trotzdem nicht unbedeutend: Ein Datenaustausch zwischen Unternehmen und Behörden in den EU-Staaten und in Drittstaaten (wie der Schweiz) ist nur ohne Weiteres zulässig, wenn in diesen Drittstaaten durch die Rechtsetzung ein angemessenes Datenschutz-Niveau garantiert ist. Über diese Angemessenheit beschliesst die EU-Kommission. Sie hat der Schweiz im Jahr 2000 Angemessenheit zuerkannt – jetzt, nach dem Inkrafttreten der neuen EU-Datenschutzerlasse wird erneut ge-prüft werden müssen, ob die Schweiz noch ein angemessenes Datenschutzniveau garantiert.

Stärkung der Personenrechte

Die neuen europäischen Erlasse – die zwei erwähnten der EU ebenso wie die modernisierte Datenschutzkonvention SEV 108 des Europarates – sollen die Rechte der Personen, über die von Unternehmen und Behörden Daten bearbeitet werden, stärken. Das geschieht durch verschiedene Elemente:

  • Die DSGVO gilt nach dem sogenannten Marktortprinzip: Sie verpflichtet nicht nur EU-Firmen, sondern auch Unternehmen aus Drittstaaten, die in der EU eine Niederlassung haben, sowie Personen, die in der EU Waren oder Dienstleistungen anbieten oder das Verhalten von Personen in der EU beobachten (Tracking).
  • Verschiedene «sensitive» Daten werden zur Kategorie der besonders schützenswerten Personendaten hinzugefügt: genetische Daten, biometrische Daten und Daten über das Sexualleben oder die sexuelle Orientierung.
  • An die Einwilligung, mit der ein Datenbearbeiten gerechtfertigt werden kann, werden höhere Anforderungen gestellt. Firmen und Organisationen müssen die Betroffenen von Anfang an darüber informieren, wer zu welchem Zweck welche Daten erheben und allenfalls an Dritte weitergeben will. Von den Betroffenen braucht es eine ausdrückliche Einwilligung, die aber jederzeit wider­rufen werden kann.
  • Aufgrund des Koppelungsverbots dürfen Unternehmen die Betroffenen nicht mehr zwingen, der Verwendung von Daten zuzustimmen, die für die Erbringung der Dienstleistung nicht nötig wären.
  • Die betroffenen Personen haben das Recht, vom Datenbearbeiter eine maschinenlesbare Kopie aller über sie gesammelten Daten zu verlangen («Daten-portabilität»).
  • Die betroffenen Personen haben, wie der Europäische Gerichtshof schon im Google- Urteil festgehalten hat, ein «Recht auf Vergessenwerden».
  • Der präventive Datenschutz wird verstärkt: Die Datenbearbeiter haben bei ihren Vorhaben eine «Datenschutz- Folgenabschätzung» vorzunehmen und sie allenfalls den Aufsichtsbehörden vorzulegen; bei Datenbearbeitungsvorhaben sind die Prinzipien «Datenschutz durch Technik» («Privacy by Design») und der datenschutzfreundlichen Voreinstellungen («Privacy by Default») zu beachten.
  • Datenschutzverletzungen müssen der Aufsichtsbehörde und allenfalls den Betroffenen gemeldet werden («Data Breach Notification»).
  • Die Einhaltung der Datenschutzvorschriften ist zu dokumentieren und muss nachgewiesen werden können.
  • Verstösse gegen Datenschutzbestimmungen können sanktioniert werden – die Sanktionen reichen von einer Verwarnung bis zu Bussen von bis zu 20 Millionen Euro oder vier Prozent des globalen Jahresumsatzes (je nachdem, welcher Betrag höher ist).

Was ist neu?

Auch ohne Niederlassung in einem EU-Staat können Schweizer Unternehmen in den Geltungsbereich der DSGVO fallen. International tätige Unternehmen etwa aus der Pharmabranche haben deshalb längst begonnen, ihre Datenbearbeitungsprozesse den neuen Vorschriften anzupassen – sie waren Ende Mai bereit. Andere, die sich vorher kaum um Datenschutz gekümmert hatten, bekamen hingegen plötzlich Panik. Dies wurde auch geschürt von Verbandsvertretern, die mit haarsträubenden Beispielen Stimmung gegen die Datenschutzreform machten. So wurde etwa herumgeboten, eine Coiffeuse, die ihren Kunden zu Weihnachten je nach Haarbestand unterschiedliche Kundengeschenke machen wolle, könnte mit einer Busse von 40'000 Franken bestraft werden, weil sie ein «Profiling» betreibe. Dabei wurden nicht nur Gesetzesbestimmungen sehr kreativ ausgelegt – auch das Verhältnismässigkeitsprinzip wurde krass ausgeblendet. Und heute noch gibt es Kreise, die gegen jeden Datenschutz Fundamental-opposition betreiben und am liebsten nicht nur keine Stärkung der Rechte der Betroffenen sähen, sondern gleich auch das bestehende Datenschutzgesetz weghaben möchten.

Was läuft in der Schweiz?

Nun trifft ja die DSGVO nicht alle Schweizer Unternehmen und noch weniger die staatlichen Behörden. Die Kantone sind daran, ihre (Informations- und) Datenschutzgesetze, die für das Datenbearbeiten durch die kantonalen und kommunalen öffentlichen Organe gelten, den neuen Anforderungen anzupassen. Auch der Bund hat die Revision des Datenschutz­gesetzes (DSG) in Angriff genommen. Die Staats­politische Kommission des Nationalrates hat beschlossen, die Revision in zwei Teile aufzuteilen: Zuerst soll sichergestellt werden, dass die Schengen-Anforderungen eingehalten werden können; dafür hat der Nationalrat im Juni ein «Schengen-Datenschutzgesetz» (SDSG) beschlossen. Nun will er sich an die vom Bundesrat vorgeschlagene «grosse» DSG-Revision wagen. Inzwischen hat sich auch die Staatspolitische Kommission des Ständerates für dieses Vorgehen entschieden.

Eine gute Sache?

Meiner Meinung nach hätte es eine bessere Lösung gegeben: Die Aufteilung der Datenschutzbestimmungen in ein Gesetz für die Bundesorgane, das die «Schengen-Bestimmungen» umgesetzt hätte, und in ein Datenschutzgesetz für die Privaten. Hier hätte der Bund durchaus mehr Spielraum gehabt, eine souverän-schweizerische Lösung zu finden, welche die Persönlichkeitsrechte der Betroffenen angemessen schützt, ohne einfach die – zugegeben – oft etwas bürokratischen Ansätze der EU eins-zu-eins zu übernehmen.

Nachdem diese Chance aber vertan ist, soll die vorgeschlagene DSG-Revision rasch an die Hand genommen werden. Auch die Schweizerinnen und Schweizer haben ein Recht auf wirksamen Schutz in der digitalen Gesellschaft – nicht, weil es die EU verlangt, sondern weil die Schweiz als Verfassungsstaat das ihren Bürgerinnen und Bürgern schuldet! Ohne angemessenen Datenschutz wird den Menschen das nötige Vertrauen in die Digitalisierung fehlen.

Prof. Dr. Beat Rudin hat in Basel Jurisprudenz studiert und 1988 das Anwaltsexamen im Kanton Basel-Landschaft abgelegt. 1991 promovierte er mit einer Dissertation über den Richtplan des Bundes und der Kantone. Von 1992 bis 2001 war er als Datenschutzbeauftragter des Kantons Basel-Landschaft tätig, 2009 wurde er zum Datenschutzbeauftragten des Kantons Basel-Stadt gewählt. Von 2003 bis 2013 versah Prof. Beat Rudin einen Lehrauftrag an der Juristischen Fakultät der Universität Basel, an welcher er seit 2014 als Titularprofessor für Datenschutz- und Informationsrecht lehrt.

2016 erhielt er den Wissenschaftspreis der Stadt Basel «für die wissenschaftliche Verankerung und interdisziplinäre Reflexion seiner Tätigkeit als Datenschutzbeauftragter des Kantons».

Lesen Sie mehr zum Thema Datenschutz in der aktuellen tribune-Ausgabe.

Newsletter