Herr Steiger, Datenschutz-Grundverordnung der EU, Datenschutzgesetz der Schweiz und dazu noch die europäische ePrivacy-Richtlinie. Wer kommt da noch mit?

Martin Steiger: Die Rechtslage ist tatsächlich unübersichtlich. Europäische Richtlinien beispielsweise müssen von den EU-Mitgliedstaaten umgesetzt werden, was zu unterschiedlichen Ergebnissen führen kann. Verordnungen wie die Datenschutz-Grundverordnung (DSGVO) hingegen gelten direkt und bringen eine gewisse Klarheit. Das Datenschutzgesetz der Schweiz ist dann nochmals anders, wobei sich viele Schweizer Unternehmen aber sowieso an der DSGVO orientieren.

Partner-Inhalte
 
 
 
 
 
 

Und was beinhaltet die DSGVO?

Die DSGVO legt den Fokus auf Daten über Sie und mich. Man spricht von Personendaten oder personenbezogenen Daten. Die DSGVO möchte die Menschen in Europa umfassend vor der Nutzung solcher «böser» Daten schützen. Diese Nutzung ist deshalb grundsätzlich verboten, obwohl wir bekanntlich im Informationszeitalter leben.

Martin Steiger Rechtsanwalt

Martin Steiger ist Anwalt und Unternehmer für Recht im digitalen Raum. Ein Fokus seiner Tätigkeit liegt im Datenschutzrecht, unter anderem mit seiner Anwaltskanzlei Steiger Legal AG und als Mitgründer der Datenschutzpartner AG.

Quelle: ZVG

Aber mit den Daten wird doch gearbeitet?

Genau, denn viele Geschäftsmodelle basieren auf diesen Daten. Die Lösung der DSGVO: Es gibt Ausnahmen vom Verbot! Im Alltag begegnen wir häufig der Einwilligung: Als betroffene Personen erlauben wir Unternehmen, unsere Personendaten zu nutzen. Das ist das eine grosse Thema der DSGVO.

Und das andere?

Das andere grosse Thema ist der Datenfluss in Drittstaaten, also Staaten ausserhalb des Europäischen Wirtschaftsraumes (EWR). Die DSGVO greift präventiv, denn sie stellt Drittstaaten unter den Generalverdacht, Personendaten nicht angemessen zu schützen. Fliessen Daten ins Ausland, dann – so die EU-europäische Sicht – droht erst einmal Gefahr. Nur einige wenige Drittstaaten gelten als genügend sicher, darunter momentan die Schweiz. Die USA hingegen gelten datenschutzrechtlich als «Reich des Bösen».

Das heisst, wenn ich meine Einwilligung gebe bei einem Cookie-Banner, dann fliessen die dadurch gesammelten Daten ins Ausland und es droht Gefahr?

Ja, das ist möglich. Aber vor dieser Gefahr will Sie die DSGVO schützen! Durften Sie überhaupt einwilligen? Darin liegt der entscheidende Unterschied zur Schweiz: Wir verfolgen einen risikobasierten Ansatz. Was nicht verboten ist, ist erlaubt. Daten gelten nicht per se als «böse», sondern der Missbrauch der Daten soll verhindert werden. Man muss sich nicht allein dafür rechtfertigen, Personendaten nutzen zu wollen, und den Menschen wird zugetraut, informierte Entscheidungen treffen zu können.

Das Wichtigste zum Datenschutz

Datenschutz-Grundverordnung (DSGVO): Mit der Datenschutz-Grundverordnung (DSGVO) vereinheitlichte und verschärfte die Europäische Union mit Geltung per 25. Mai 2018 ihr Datenschutzrecht. Unternehmen, welche das Datenschutzrecht verletzen, riskieren hohe Bussen oder Klagen betroffener Personen. Da die DSGVO auch im Ausland gelten kann, müssen viele Unternehmen in der Schweiz die DSGVO mindestens teilweise umsetzen. Sie müssen beispielsweise eine passende Datenschutzerklärung veröffentlichen und benötigen eine EU-Datenschutz-Vertretung.

Europäische ePrivacy-Richtlinie: Mit der ePrivacy-Richtlinie setzt die EU den Mindeststandard für den Datenschutz bei der Telekommunikation im Europäischen Wirtschaftsraum (EWR). Seit 2009 wird im Rahmen der «EU-Cookie-Richtlinie» eingeschränkt, was an Informationen bei den Endnutzerinnen und Endnutzern an Daten gespeichert und ausgelesen werden darf. Dieser Richtlinie verdanken wir die allgegenwärtigen Cookie-Banner.

Datenschutzgesetz (DSG): Die Schweiz verfügt mit dem Datenschutzgesetz (DSG) über ein eigenes Datenschutzrecht. Um EU-kompatibel zu bleiben, wurde das DSG kürzlich revidiert. Das neue DSG tritt voraussichtlich am 1. September 2023 in Kraft und orientiert sich an der DSGVO. In Zukunft drohen persönliche Bussen bis zu 250’000 Franken. So hofft die Schweiz, aus Sicht der EU ein Drittstaat zu bleiben, dessen Datenschutz als angemessen beurteilt wird, um den freien Export und Import von Personendaten gewährleisten zu können.

Würden nun Daten im EU-Raum nach USA abfliessen: Wie hoch fallen die Bussen aus?

Wenn ein solcher Daten-Export nicht genügend abgesichert wäre, könnten die Bussen sehr hoch ausfallen. Es drohen Bussen bis 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes. Amazon Europe beispielsweise soll wegen der Verletzung datenschutzrechtlicher Grundsätze 746 Millionen Euro bezahlen müssen, Facebook für die Verletzung der Informationspflicht bei WhatsApp 225 Millionen Euro.

Jetzt aber noch einmal zurück zu den Cookie-Bannern. Hab ich Sie richtig verstanden, dass die in der Schweiz überflüssig sind?

Ja. Solche Einwilligungen sind dem schweizerischen Recht fremd. Schweizer Unternehmen müssten keine Cookie-Banner aufschalten, denn sie müssten keine Einwilligung einholen. In der Schweiz genügt die Erkennbarkeit durch Information, zum Beispiel in der Datenschutzerklärung, und die Möglichkeit, Cookies löschen zu können. Es ist keine Einwilligung nötig, wie sie beispielsweise die europäische ePrivacy-Richtlinie verlangt. Allerdings orientieren sich viele Schweizer Unternehmen am europäischen Recht. Sie schalten deshalb solche Banner auf ihrer Website auf und nehmen damit in Kauf, potenzielle Kundinnen und Kunden abzuschrecken.

Es ist der Fluch einer guten Tat. Die Absichten hinter der DSGVO waren löblich, doch es mangelte an einer massvollen und zielführenden Umsetzung.

Martin Steiger

Also eigentlich ein Missverständnis: Schweizer Unternehmen wenden europäisches Recht an, obwohl sie nicht müssten?

Die DSGVO und sonstiges europäisches Recht setzen bei aller Kritik den «Goldstandard». Sobald sich Schweizer Unternehmen mit ihrem Angebot an Personen im EWR richten, müssen Sie die DSGVO anwenden. Das erhöht das Stresslevel für Schweizer Unternehmen enorm, denn faktisch ist niemand in der Lage, die DSGVO vollständig einzuhalten. Dennoch ist es häufig einfacher, nur ein Recht anzuwenden, also das europäische Recht und nicht parallel das schweizerische Recht. Die DSGVO brachte bislang viel zusätzliche Bürokratie, aber wenig zusätzlichen Datenschutz.

Können Sie das noch weiter ausführen?

Es ist der Fluch einer guten Tat. Die Absichten hinter der DSGVO waren löblich, doch es mangelte an einer massvollen und zielführenden Umsetzung. Die DSGVO ist derart umfassend und widersprüchlich, dass es für Unternehmen unmöglich ist, alle Bestimmungen einzuhalten. Die EU hat aber Gefallen gefunden am Daten-Thema und reguliert fleissig weiter.

Macht die EU das mit Blick auf die grossen mitunter amerikanischen Unternehmen wie Google oder Meta?

Amerikanische Unternehmen sind eine dankbare Zielscheibe. Europa scheitert häufig bei Digitalisierung und Innovation. Wir nutzen Google & Co., weil europäische Alternativen fehlen oder nicht mithalten können. Am Schluss leiden die kleinen und mittleren Unternehmen in Europa unter der Überregulierung. Grosse Unternehmen können sich die aufwendige Umsetzung leisten und sind in der Lage, langwierige Verfahren zu führen. Kleinen Unternehmen hingegen fehlen die Mittel und das Wissen.

Die EU hat aber Gefallen gefunden am Daten-Thema und reguliert fleissig weiter.

Martin Steiger

Die DSGVO ist also ein Dilemma?

Ja, auch weil die DSGVO alle Unternehmen weitgehend über einen Kamm schert. Das schränkt agile Unternehmen ein. Die DSGVO ist auch nicht kompatibel mit dem vergleichsweise liberalen schweizerischen Regulierungsansatz. Vor allem erschwert die DSGVO die Innovation, wo es darum geht, schnell zu sein und Dinge ausprobieren zu können. Datenschutz ist im Unternehmensalltag kein Innovationstreiber.

Und was wäre die Lösung?

Datenschutz ist inzwischen ein stark politisiertes Thema. Und vor allem: Wie will man den europäischen «Öltanker» noch vom Kurs abbringen? Immerhin bleibt die Schweiz ihrem Regulierungsansatz treu, was Nischen der Innovation ermöglichen kann. Das neue Datenschutzgesetz, das nächstes Jahr in Kraft tritt und sich ein Stück weit an der DSGVO orientiert, bleibt im Vergleich liberal. Und doch führt für die meisten Unternehmen kein Weg am europäischen Recht vorbei. Unternehmen müssen auf dem Laufenden bleiben und brauchen kompetente Unterstützung, um nicht am Datenschutzrecht zu scheitern.