Happige Bussen und eine strenge Rechtsauslegung wie in der EU: Das neue Datenschutzgesetz (DSG) umrankt viele Gerüchte. Martin Steiger, auf Datenschutzrecht spezialisierter Anwalt aus Zürich, klärt im Interview auf und sagt, welche Änderungen das neue DSG mit sich bringt, wem künftig Strafen drohen und was das Gesetz von der DSGVO unterscheidet.

Das Inkrafttreten des neuen Datenschutzgesetzes (DSG) wurde mehrfach verschoben. Warum und wie ist der aktuelle Stand? Das Inkrafttreten per 1. September 2023 wurde soeben erwartungsgemäss vom Bundesrat beschlossen. Der Text des neuen Gesetzes wurde bereits vor 2 Jahren vom Parlament verabschiedet. Nun stehen auch die Verordnungen dazu. Sie konkretisieren das Gesetz. Früher genannte Termine waren üblicherweise Mutmassungen von Datenschutz-Fachpersonen bei Staat und Wirtschaft. Politik und Wirtschaft taten sich schwer mit dem Druck der EU. Ja, es ist höchste Zeit für das neue DSG!

Gibt's weitere Stolpersteine, die die Einführung des Gesetzes verhindern könnten? Nein, aber die Europäische Kommission muss einen sogenannten Angemessenheitsbeschluss fällen. Sie prüft, ob das neue Datenschutzgesetz den Anforderungen der DSGVO genügt. Normalerweise wäre das Formsache, denn inhaltlich sehe ich keine Probleme. Wenn es aber aus politischen Gründen keine Angemessenheit mehr gäbe, wäre das verheerend für den unkomplizierten Datenaustausch zwischen Unternehmen in der Schweiz und in der EU.

Welche wichtigsten Änderungen bringt das neue DSG mit sich? Am wichtigsten ist, was gleich bleibt: der Grundsatz, dass die Schweiz die Bearbeitung von Personendaten nur im Ausnahmefall verbietet. Bei der DSGVO, dem europäischen Pendant des DSG, ist es umgekehrt: Die EU erlaubt die Verarbeitung von Personendaten nur im Ausnahmefall. Das ist ein eminent wichtiger Unterschied zur DSGVO. Das neue DSG ist somit keine "Lightversion" der DSGVO, sondern verfolgt einen grundlegend anderen Ansatz.

Aber ist der europäische Ansatz nicht besser, um Personendaten zu schützen? Typische Datenbearbeitung ist normalerweise nicht schädlich. Wir leben im Informationszeitalter, wo Datenbearbeitung die Regel und nicht die Ausnahme ist. Die Schweizer Lösung ist pragmatisch und funktioniert besser im Alltag. Die missbräuchliche Bearbeitung von Personendaten soll verhindert werden, alles andere bleibt erlaubt.

Also ändert sich im Grundsatz gar nicht viel? Doch, es werden einige Schrauben angezogen. Das heutige Datenschutzgesetz ist ein Papiertiger. Die Einhaltung ist in erster Linie eine Reputationsfrage, denn schmerzhafte rechtliche Konsequenzen gab und gibt es bis normalerweise nicht. Mit dem neuen DSG erhält insbesondere der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) mehr Kompetenzen, weshalb er 8 neue Vollzeitstellen schafft. Auch sind persönliche Bussen bis 250'000 Franken möglich. Das ist abschreckend, selbst wenn die Bussen erst einmal viel tiefer ausfallen werden und sich die Zahl der Strafverfahren in Grenzen halten dürfte.

Was kann denn der EDÖB bald, was er heute noch nicht darf? Der EDÖB kann beispielsweise von sich aus, also von Amtes wegen, tätig werden und Datenverarbeitungen verbieten. Auch wird eine Melde- und Informationspflicht bei bestimmten Datenschutzverstössen eingeführt. Diese gilt querbeet für alle Verantwortlichen, also für Unternehmen, Vereine und sonstige Organisationen sowie Einzelpersonen wie Blogger oder Influencer. Die Meldepflicht wird dazu führen, dass man reagieren muss und solche Fälle nicht liegen lassen kann. Ebenso scheint mir klar, dass es vermehrt zu Anfragen von betroffenen Personen kommen wird.

Sie erwähnten persönliche Bussen. Was bedeutet das? Bussen müssen grundsätzlich einzelne Personen, die entsprechende Entscheidungen trafen, bezahlen, und nur ausnahmsweise die Unternehmen. Letzteres will der Bundesrat mittelfristig ändern, umgesetzt ist dies allerdings noch nicht. Direkte Bestimmungen zu Genugtuung und Schadenersatz kennt das neue DSG im Gegensatz zur DSGVO nicht.

Was ist die grösste Stärke und was die grösste Schwäche des neuen DSG? Die beschränkten Ressourcen des EDÖB sind die grösste Schwäche aus Sicht der betroffenen Personen. Es bleibt abzuwarten, wie schlagkräftig der EDÖB sein wird. Die grösste Stärke ist, dass wie bis anhin die Bearbeitung von Personendaten nur im Ausnahmefall unzulässig ist. Es gilt weiterhin der Grundsatz "Was nicht verboten ist, ist erlaubt".

Machen wir ein pragmatisches Beispiel: Ein Unternehmen hat M365 und Teams im Einsatz, dazu Google Analytics, Hubspot, Slack und Social-Media-Kanäle bei Facebook und Instagram. Was muss eine solche Firma bis zur Einführung des neuen DSG noch tun? Das ist keine schlechte Ausgangslage, denn die Firma weiss immerhin, was sie alles nutzt. Das ist längst nicht immer der Fall. Nur wer weiss, welche Personendaten wofür, wie und wo gespeichert und anderweitig verarbeitet werden, kann das Datenschutzrecht einhalten. Das absolute Minimum ist es, einen Auftragsbearbeitungsvertrag mit allen Dienstleistern abzuschliessen, wo Daten im Auftrag – als Outsourcing – bearbeitet werden.

Also muss man mit Facebook und allen anderen Verträge abschliessen? Ja, aber etablierte Anbieter integrieren den Auftragsbearbeitungsvertrag und sonstige Verträge in die AGB oder machen den Abschluss sehr einfach. Bei Diensten in den USA und anderen unsicheren Drittstaaten muss ausserdem versucht werden, den Daten-Export zusätzlich abzusichern. Auch muss die Datenschutzerklärung aktuell und vollständig gehalten werden.

Aktuell bedeutet, dass man alle 4 Wochen eine Aktualisierung vornimmt? Ich empfehle, die Aktualität und Vollständigkeit ungefähr alle 6 Monate zu prüfen. Ein Datum muss man für eine Datenschutzerklärung übrigens nicht veröffentlichen. Im Gegenteil: Man riskiert damit, dass eine Datenschutzerklärung bald einmal sichtbar veraltet aussieht.