Daten-Export in die USA und freier Datenverkehr mit Europa
Mit dem neuen Datenschutzrecht entscheidet der Bundesrat über das Vorliegen eines angemessenen Datenschutzes in anderen Ländern und nicht mehr der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb). Der erste Entscheid betrifft die USA. Mit mehr als 14 Monaten Verzögerung gegenüber der europäischen Konkurrenz können schweizerische Verantwortliche ab dem 15. September 2024 endlich direkt vom
Swiss-US Data Privacy Framework (DPF) profitieren.
Pragmatische Umsetzung und viele neue Cookie-Banner
Für Verantwortliche brachte das neue Datenschutzrecht zusätzliche Pflichten, doch in der Praxis bleibt Laissez-faire weitgehend gefahrlos möglich. Erheblichen Aufwand für die Compliance betreiben vor allem Unternehmen mit einer entwickelten Datenethik, mit einem hohen Reputationsrisiko, mit anspruchsvollen Kunden oder in besonders regulierten Bereichen, häufig auf Grundlage der bereits erfolgten Umsetzung der Europäischen Datenschutz-Grundverordnung (DSGVO). Ansonsten zeigt sich die Reaktion auf das neue Datenschutzrecht in vielen Fällen durch neue Cookie-Banner und eine neue Datenschutzerklärung. Je nach Branche gibt es neue Formulare, die betroffene Personen mühsam von Hand ausfüllen müssen, um weitreichende Einwilligungen «freiwillig» zu erteilen. Wer in den vergangenen Monaten eine Arztpraxis oder ein Spital aufsuchen musste, kann vermutlich ein Lied davon singen.
Das neue
Datenschutzrecht fordert keine Cookie-Banner, aber ähnlich wie bei der Einführung der DSGVO in Europa tauchten sie in der Schweiz gefühlt plötzlich überall auf. Betroffene Personen sollen beim Besuch von Websites die Verantwortung für die Weitergabe ihrer Personendaten an "642 Partner" in aller Welt für beinahe beliebige Zwecke übernehmen. Ein direkter Widerspruch ist beim typischen "Ihre Privatsphäre ist uns wichtig"-Cookie-Banner nicht vorgesehen. Die Rechtsgültigkeit einer entsprechend erteilten Einwilligung ist fraglich und von Datensparsamkeit fehlt jede Spur. Der Edöb scheint im reflexartigen Wegklicken von Cookie-Bannern aber die gewünschte informationelle Selbstbestimmung zu sehen.
Ernüchternde erste Erfahrungen für betroffene Personen
Für betroffene Personen sind die ersten Erfahrungen mit dem neuen Datenschutzrecht auch anderweitig ernüchternd. Viele neue Datenschutzerklärungen sehen aus, als hätte sie ein KI-basierter Zufallsgenerator lieblos zusammengewürfelt, und Auskunftsbegehren können straflos ignoriert werden. Wenn ausnahmsweise ein Straftatbestand mit den neuen persönlichen Bussen von bis zu 250'000 Franken greifen könnte, zeigen sich die Strafverfolgungsbehörden wenig interessiert. Die Risiken Künstlicher Intelligenz sind im neuen Datenschutzrecht nur am Rande ein Thema.
Der Edöb und sein Team bekunden noch Mühe, die erweiterten Kompetenzen als Aufsichtsbehörde zu nutzen. Informelles Handeln scheint gegenüber Verantwortlichen immer noch im Vordergrund zu stehen, während sich betroffene Personen klare und wegweisende Verfügungen erhoffen würden. Ein grosser Teil der meldepflichtigen Datenpannen wird dem Datenschutzbeauftragen offensichtlich noch nicht gemeldet.
Zahlen & Fakten
- Via Meldeportal des Edöbs sind 278 Meldungen eingegangen. Davon waren 38 Spam oder andere Meldungen, welche nicht im Zusammenhang mit Art. 24 DSG stehen (z.B. weil Zuständigkeit bei einem Kanton oder schlicht das falsche Formular benutzt wurde.)
- Bei 65 Meldungen wurden ein oder mehrere Folgemeldungen der ursprünglichen Meldung hinzugefügt.
- Ferner hat der Edöb über alternative Kanäle (primär per Post) weniger als 3 Dutzend Meldungen erhalten.
Der Edöb führt keine Statistik darüber bei wie vielen Meldungen er tätig wurde, pflegt aber Zahlen zu den Meldungen von Datensicherheitsverletzungen in seinem Tätigkeitsbericht zu publizieren; siehe Seite 21 des
31. Tätigkeitsbericht 2023/2024 (PDF).
Machtlos erscheint der Edöb gegenüber Verantwortlichen im Ausland, obwohl gerade bei den Tech-Konzernen erheblicher Handlungsbedarf bestehen würde. Dabei ist die Datenschutz-Vertretung in der Schweiz, die mit dem neuen Datenschutzrecht eingeführt wurde, aus heutiger Sicht gescheitert. Bei den grossen Tech-Konzernen hat – soweit ersichtlich – gerade einmal Google eine schweizerische Datenschutz-Vertretung bezeichnet.
Erleichterung bei Unternehmen, Enttäuschung bei betroffenen Personen
Für Unternehmen und andere Verantwortliche in der Schweiz ist der Blick auf das erste Jahr mit dem neuen Datenschutzrecht erfreulich. Die schweizerische Wirtschaft hat in weiten Teilen ein neues Datenschutzrecht erhalten, das im eigenen Ermessen pragmatisch umgesetzt werden kann. Gleichzeitig ist der freie Datenverkehr mit dem EWR gesichert und das Data Privacy Framework erleichtert den Daten-Export in die USA.
Für betroffene Personen hingegen ist das neue Datenschutzrecht kaum vom früheren "Papiertiger" zu unterscheiden. Die vielen neuen Cookie-Banner und sonstigen Einwilligungen bringen nicht mehr Selbstbestimmung und Transparenz. In dieser Hinsicht sind der Edöb, aber auch zivilgesellschaftliche Organisationen wie die Digitale Gesellschaft gefordert. Sie müssen ihren Beitrag leisten, dass betroffene Personen mindestens dort, wo sie es für wichtig genug halten, ihren Anspruch auf Datenschutz wirksam durchsetzen können.
Martin Steiger ist Anwalt und Unternehmer für Recht im digitalen Raum. Er befasst sich insbesondere mit Datenschutzrecht, insbesondere bei der Anwaltskanzlei Steiger Legal AG und beim Legaltech-Unternehmen Datenschutzpartner AG. Man kann ihm unter anderem bei LinkedIn folgen oder im Podcast "
Datenschutz-Plaudereien" zuhören.