Herr Rosenthal, ab dem 25. Mai gilt die neue Datenschutz-Grundverordnung (DSGVO) der EU. Inwiefern betrifft das die Schweiz?
David Rosenthal: Sie gilt für Unternehmen in der Schweiz, die von hier aus den Menschen in der EU Produkte oder Dienstleistungen anbieten oder deren Internetaktivitäten überwachen. Die DSGVO findet zwar nicht so breit Anwendung, wie kolportiert wird. Wer mit der EU zu tun hat, sollte aber prüfen, ob er erfasst ist. In einem Punkt kann ich immerhin Entwarnung geben: Die Beschäftigung von Mitarbeitenden aus der EU genügt nicht.
Welche Branchen müssen besonders aufpassen?
Das höchste Risiko haben Unternehmen, die mit Konsumenten aus der EU zu tun haben, vor allem im Online-Bereich. Bei B2B-Unternehmen sehe ich die Situation sehr viel entspannter.
Sind die Schweizer Unternehmen und vor allem die KMU gut genug vorbereitet?
Was heisst gut genug? Ich kenne nur wenige Unternehmen, die ihre Hausaufgaben gemacht haben. Am weitesten sind Firmen, die viel mit Daten zu tun haben, und internationale Konzerne, die das Thema schon lang auf dem Radar haben. Wesentlich ist, dass ein Unternehmen einen Plan hat, das neue Datenschutzrecht umzusetzen, und mit seiner Ausführung beginnt. Vollständig rechtskonform wird keiner je sein. Das ist im Datenschutz so. Gefragt ist ein risikobasiertes Vorgehen.
Das könnte nach hinten losgehen. Immerhin drohen auch KMU Bussen bis zu 24 Millionen Franken. Wie hoch schätzen Sie die Gefahr ein, dass Schweizer Unternehmen derart sanktioniert werden?
Wenn ein Unternehmen keine Schweinereien macht oder sonst den Unmut der Öffentlichkeit auf sich zieht, ist das Bussenrisiko gering. Es muss mit Bussen am ehesten bei formalen Verstössen rechnen, etwa wenn die vorgeschriebene Datenschutzerklärung fehlt oder der vorgeschriebene Vertrag. Solche Bussen werden vorkommen wie beim Autofahren, aber gering ausfallen. Die Behörden werden ihren Spielraum nicht gleich ausschöpfen, vielleicht mal ein Exempel statuieren. Doch Schweizer Unternehmen werden kaum im Fokus sein; Zwangsmassnahmen können EU-Behörden ohne Bewilligung aus Bern hier ohnehin nicht durchsetzen.
Was müssen die Firmen tun, um nicht gegen die Verordnung zu verstossen?
Vor allem sollten sie verstehen, was bei ihnen an Daten wie bearbeitet wird. Gestützt darauf sollten sie ein Inventar erstellen, DSGVO-konforme Datenschutzerklärungen und passende Verträge mit Service-Providern vorsehen. Dann drängt sich auf, diese Datenbearbeitungen auf ihre Rechtskonformität zu prüfen. Neu ist, dass Datenschutz sehr viel formaler und bürokratischer geworden ist. Verstösse müssen neu gemeldet werden, für heikle Anwendungen muss eine sogenannte Datenschutzfolgenabschätzung erstellt werden.
Wer profitiert vom höheren Datenschutz?
Vor allem die Berater, Anbieter von Datenschutzsoftware und die Datenschutzbehörden. Ich glaube nicht, dass der jetzige Aktivismus den betroffenen Personen besonders zugutekommt. Schauen Sie sich nur die neuen, gesetzlich vorgeschriebenen Datenschutzerklärungen an: Wer sie liest, weiss zwar viel, aber was wirklich mit seinen Daten geschieht, erfährt er nicht. Und wer liest schon solche Erklärungen?
Auch die Schweiz wird ihr Datenschutzgesetz anpassen. Was ändert sich?
Wir kopieren die DSGVO zwar nicht, passen unser Gesetz aber in ähnlicher Weise an. Einige unsinnige Regelungen übernehmen wir zum Glück nicht. Ich hoffe, das Parlament streicht noch etwas mehr davon raus.