Was hat das neue Datenschutzrecht in der Schweiz bewirkt?

30. August 2024 um 06:45
image
Rechtsanwalt Martin Steiger

Am 1. September 2023 trat das neue Datenschutzrecht in der Schweiz in Kraft. Rechtsanwalt Martin Steiger blickt in einem Gastbeitrag zurück und sagt, was das DSG bewirkt hat.

Der Bundesrat versprach den betroffenen Personen einen besseren Schutz ihrer Daten, vor allem durch mehr Selbstbestimmung und Transparenz. Für Unternehmen und andere Verantwortliche stellte der Bundesrat in den Vordergrund, den freien Datenverkehr mit dem Europäischen Wirtschaftsraum (EWR) zu gewährleisten.

Daten-Export in die USA und freier Datenverkehr mit Europa

Die Europäische Kommission bestätigte am 15. Januar 2024 ihren bestehenden Angemessenheitsbeschluss für die Schweiz und damit den freien Datenverkehr. Der Status quo beim Daten-Export bleibt erhalten, was der Bundesrat grosszügig als Stärkung für den Wirtschaftsstandort bezeichnet.
Mit dem neuen Datenschutzrecht entscheidet der Bundesrat über das Vorliegen eines angemessenen Datenschutzes in anderen Ländern und nicht mehr der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb). Der erste Entscheid betrifft die USA. Mit mehr als 14 Monaten Verzögerung gegenüber der europäischen Konkurrenz können schweizerische Verantwortliche ab dem 15. September 2024 endlich direkt vom Swiss-US Data Privacy Framework (DPF) profitieren.

Pragmatische Umsetzung und viele neue Cookie-Banner

Für Verantwortliche brachte das neue Datenschutzrecht zusätzliche Pflichten, doch in der Praxis bleibt Laissez-faire weitgehend gefahrlos möglich. Erheblichen Aufwand für die Compliance betreiben vor allem Unternehmen mit einer entwickelten Datenethik, mit einem hohen Reputationsrisiko, mit anspruchsvollen Kunden oder in besonders regulierten Bereichen, häufig auf Grundlage der bereits erfolgten Umsetzung der Europäischen Datenschutz-Grundverordnung (DSGVO). Ansonsten zeigt sich die Reaktion auf das neue Datenschutzrecht in vielen Fällen durch neue Cookie-Banner und eine neue Datenschutzerklärung. Je nach Branche gibt es neue Formulare, die betroffene Personen mühsam von Hand ausfüllen müssen, um weitreichende Einwilligungen «freiwillig» zu erteilen. Wer in den vergangenen Monaten eine Arztpraxis oder ein Spital aufsuchen musste, kann vermutlich ein Lied davon singen.
Das neue Datenschutzrecht fordert keine Cookie-Banner, aber ähnlich wie bei der Einführung der DSGVO in Europa tauchten sie in der Schweiz gefühlt plötzlich überall auf. Betroffene Personen sollen beim Besuch von Websites die Verantwortung für die Weitergabe ihrer Personendaten an "642 Partner" in aller Welt für beinahe beliebige Zwecke übernehmen. Ein direkter Widerspruch ist beim typischen "Ihre Privatsphäre ist uns wichtig"-Cookie-Banner nicht vorgesehen. Die Rechtsgültigkeit einer entsprechend erteilten Einwilligung ist fraglich und von Datensparsamkeit fehlt jede Spur. Der Edöb scheint im reflexartigen Wegklicken von Cookie-Bannern aber die gewünschte informationelle Selbstbestimmung zu sehen.

Ernüchternde erste Erfahrungen für betroffene Personen

Für betroffene Personen sind die ersten Erfahrungen mit dem neuen Datenschutzrecht auch anderweitig ernüchternd. Viele neue Datenschutzerklärungen sehen aus, als hätte sie ein KI-basierter Zufallsgenerator lieblos zusammengewürfelt, und Auskunftsbegehren können straflos ignoriert werden. Wenn ausnahmsweise ein Straftatbestand mit den neuen persönlichen Bussen von bis zu 250'000 Franken greifen könnte, zeigen sich die Strafverfolgungsbehörden wenig interessiert. Die Risiken Künstlicher Intelligenz sind im neuen Datenschutzrecht nur am Rande ein Thema.
Der Edöb und sein Team bekunden noch Mühe, die erweiterten Kompetenzen als Aufsichtsbehörde zu nutzen. Informelles Handeln scheint gegenüber Verantwortlichen immer noch im Vordergrund zu stehen, während sich betroffene Personen klare und wegweisende Verfügungen erhoffen würden. Ein grosser Teil der meldepflichtigen Datenpannen wird dem Datenschutzbeauftragen offensichtlich noch nicht gemeldet.

Zahlen & Fakten

  • Via Meldeportal des Edöbs sind 278 Meldungen eingegangen. Davon waren 38 Spam oder andere Meldungen, welche nicht im Zusammenhang mit Art. 24 DSG stehen (z.B. weil Zuständigkeit bei einem Kanton oder schlicht das falsche Formular benutzt wurde.)
  • Bei 65 Meldungen wurden ein oder mehrere Folgemeldungen der ursprünglichen Meldung hinzugefügt.
  • Ferner hat der Edöb über alternative Kanäle (primär per Post) weniger als 3 Dutzend Meldungen erhalten.
Der Edöb führt keine Statistik darüber bei wie vielen Meldungen er tätig wurde, pflegt aber Zahlen zu den Meldungen von Datensicherheitsverletzungen in seinem Tätigkeitsbericht zu publizieren; siehe Seite 21 des  31. Tätigkeitsbericht 2023/2024 (PDF).
Quelle: Swiss ICT
Machtlos erscheint der Edöb gegenüber Verantwortlichen im Ausland, obwohl gerade bei den Tech-Konzernen erheblicher Handlungsbedarf bestehen würde. Dabei ist die Datenschutz-Vertretung in der Schweiz, die mit dem neuen Datenschutzrecht eingeführt wurde, aus heutiger Sicht gescheitert. Bei den grossen Tech-Konzernen hat – soweit ersichtlich – gerade einmal Google eine schweizerische Datenschutz-Vertretung bezeichnet.

Erleichterung bei Unternehmen, Enttäuschung bei betroffenen Personen

Für Unternehmen und andere Verantwortliche in der Schweiz ist der Blick auf das erste Jahr mit dem neuen Datenschutzrecht erfreulich. Die schweizerische Wirtschaft hat in weiten Teilen ein neues Datenschutzrecht erhalten, das im eigenen Ermessen pragmatisch umgesetzt werden kann. Gleichzeitig ist der freie Datenverkehr mit dem EWR gesichert und das Data Privacy Framework erleichtert den Daten-Export in die USA.
Für betroffene Personen hingegen ist das neue Datenschutzrecht kaum vom früheren "Papiertiger" zu unterscheiden. Die vielen neuen Cookie-Banner und sonstigen Einwilligungen bringen nicht mehr Selbstbestimmung und Transparenz. In dieser Hinsicht sind der Edöb, aber auch zivilgesellschaftliche Organisationen wie die Digitale Gesellschaft gefordert. Sie müssen ihren Beitrag leisten, dass betroffene Personen mindestens dort, wo sie es für wichtig genug halten, ihren Anspruch auf Datenschutz wirksam durchsetzen können.
Martin Steiger ist Anwalt und Unternehmer für Recht im digitalen Raum. Er befasst sich insbesondere mit Datenschutzrecht, insbesondere bei der Anwaltskanzlei Steiger Legal AG und beim Legaltech-Unternehmen Datenschutzpartner AG. Man kann ihm unter anderem bei LinkedIn folgen oder im Podcast "Datenschutz-Plaudereien" zuhören.

Loading

Mehr erfahren

Mehr zum Thema

image

KI und IT-Sicherheit: Mehr als nur ein Hype?

Künstliche Intelligenz ist omnipräsent. Aber wie wirkt sich der Boom auf die Cybersicherheit aus? Die Frage stand im Zentrum des Inside-IT-Events in Zürich.

publiziert am 30.8.2024
image

Luzern braucht Nachfolge für Datenschützer

Nach sechs Jahren tritt Matthias Schönbächler als Daten­schutz­be­auf­tragter des Kantons Luzern zurück. Er hatte immer wieder fehlendes Personal moniert.

publiziert am 29.8.2024
image

Bundesrat ebnet den Weg für Gesichtserkennung an Schweizer Flughäfen

Fluggesellschaften und Flughafenbetreiber sollen künftig "biometrische Daten" beim Check-in und Boarding nutzen dürfen. Das hat der Bundesrat vorgeschlagen.

publiziert am 29.8.2024
image

Wurde der US Marshals Service gehackt?

Der US Marshals Service ist für den Schutz des amerikanischen Justizwesens verantwortlich. Cyberkriminelle behaupten, dass sie sensible Daten von der Behörde erbeutet haben.

publiziert am 28.8.2024