Die Schweiz möchte, dass die EU ihr Datenschutzgesetz als gleichwertig anerkennt. Voraussichtlich Anfang Juni wird sich die EU-Kommission dazu äussern. Die Äquivalenzanerkennung wäre für die Schweizer Wirtschaft äusserst wichtig.
Das Stichwort Äquivalenz dürfte unangenehme Erinnerungen hervorrufen. Denn im Sommer 2019 hatte die EU-Kommission wegen mangelnden Fortschritts beim Rahmenabkommen die Gleichwertigkeit der Schweizer Börse SIX verweigert. Eine eigentlich technische Beurteilung wurde seitens Brüssel als politisches Druckmitte eingesetzt.
Nun steht ein neuer Äquivalenzentscheid in Brüssel an: dieses Mal beim Datenschutz. Vorgesehen war, dass die EU-Kommission ihre Empfehlung dazu am 25. Mai abgeben wird. Gemäss einer provisorischen Agenda wird die Brüsseler Behörde nun ihren Bericht am 3. Juni präsentieren.
Obwohl die Totalrevision des Schweizer Datenschutzgesetzes (DSG) und die Ratifizierung der neuen Datenschutz-Konvention des Europarates noch nicht unter Dach und Fach sind, geht man in der Schweiz davon aus, dass das Datenschutzgesetz von der EU als gleichwertig zu ihrer Datenschutz-Grundverordnung (DSGVO) anerkannt werden wird.
Die parlamentarischen Arbeiten seien "weit fortgeschritten und können bald verabschiedet werden", schreibt das Bundesamt für Justiz (BJ) auf Anfrage der Nachrichtenagentur 'Keystone-sda'. Man gehe davon aus, dass die EU-Kommission diese Entwicklungen im Blick habe. "Nach unserer Ansicht wird damit ein dem europäischen Datenschutzstandard angemessenes Schutzniveau gewährleistet", heisst es weiter.
"Es könnten Wettbewerbsnachteile entstehen"
An eine Verknüpfung der Datenschutzäquivalenz und des Rahmenabkommens, wie das bei der Börsenäquivalenz der Fall war, glaubt das BJ nicht: "Es gibt derzeit keine Anzeichen dafür, dass politische Kriterien berücksichtigt werden."
Verlöre die Schweiz wider Erwarten die Äquivalenz, würde dies für die Unternehmen "einen deutlichen administrativen Mehraufwand bedeuten", schreibt das BJ. "Ausserdem könnten Wettbewerbsnachteile entstehen."
Mit wenigen Ausnahmen könnten dann nur noch Personendaten in die Schweiz übermittelt werden, wenn "geeignete Garantien zum Schutz dieser Daten vorgesehen" sind – etwa "in Form von Datenschutzklauseln in einem Vertrag, Standarddatenschutzklauseln oder verbindlichen unternehmensinternen Datenschutzvorschriften für Konzerne".
Schweizer KMUs könnten sich ihrerseits gezwungen sehen, standardisierte Datenschutz-Zusatzklauseln zu akzeptieren, die von Rechtsabteilungen grosser EU-Unternehmen ausgearbeitet wurden. Entweder die Schweizer KMUs "schlucken" dann diese Standardklauseln oder aber sie müssen für viel Geld einen eigenen Juristen engagieren.
Besonders betroffen wäre die Schweizer ICT-Wirtschaft
Gerade auch mit Blick auf den wachsenden Mark mit digitalen Dienstleistungen hätte eine Nicht-Äquivalenz negative Auswirkungen. Denn mit ihrem Ruf als "sicheres und stabiles" Land entwickelt sich die Schweiz mehr und mehr zu einem wichtigen Datenstandort in Europa.
Der Bund schrieb 2017 auf einer Internetseite, dass in der Schweiz jährlich 200 bis 400 Millionen Franken in neue Rechenzentren investiert würden. "Gemäss einer Studie von Broadgroup/IWSB hat die Schweiz nach Irland am meisten Datencenter pro Einwohner" in Europa, heisst es weiter.
Zwar wäre der finanzielle Schaden für Schweizer Unternehmen ohne Datenschutzäquivalenz äusserst schwierig – wenn überhaupt – zu beziffern. Doch ein Indikator, wie wichtig die Gleichwertigkeitsanerkennung des eigenen Datenschutzes durch die EU ist, zeigen die Beispiele Japan und die USA. Beide Länder haben der EU Zusatzgarantieren beim Datenschutz abgegeben, um ihre Unternehmen vor Nachteilen zu bewahren.