Im Juni 2020 war es soweit: Die EU-Kommission beurteilte den Schweizer Datenschutz und entschied, ob er dem EU-Datenschutzgesetz gleichwertig ist. Entsprechen unsere Regelungen den Standards der EU? Wie wichtig ist die Gleichstellung für unsere Wirtschaft? Und wie sicher war ein positives Urteil?
Verspätete Beurteilung des Schweizer Datenschutz
Geplant war die Bewertung ursprünglich für den 25. Mai 2020. Warum sich der Prozess verzögerte, blieb unklar. Ein möglicher Grund: Die europäische Datenschutzgrundverordnung (DSGVO) greift ohnehin schon für Teile der Schweizer Wirtschaft. Sie gilt seit Mai 2018 – und zwar auch für Schweizer Unternehmen, wenn:
- ein Schweizer Unternehmen eine Geschäftsniederlassung innerhalb der EU hat
- Aufträge massgeblich in der EU verarbeitet werden
- personenbezogene Daten im Auftrag eines EU-ansässigen Betriebes verarbeitet werden
- personenbezogene Daten von EU-Bürger:innen bearbeitet werden
Wer also Zweigstellen, Verarbeiter oder Kunden in der EU hat, kommt an den DSGVO-Regelungen nicht vorbei.
Schweizer Datenschutz vs. DSGVO
Der Schweizer Datenschutz ist im DSG (Datenschutzgesetz) geregelt. Warum ist dieses Gesetz der DSGVO nicht bereits gleichwertig? Die Antwort liegt im Schengener Abkommen. Seit 2004 gehört die Schweiz zum Schengen-Raum – und wer das Abkommen liest, fragt sich zunächst, wo dort überhaupt Datenschutz eine Rolle spielt.
Im Abkommen selbst kaum. Aber das DSG mit seiner Aufteilung auf Bundesverwaltung und Privatbereich hat eine sogenannte Schengen-Relevanz. Die EU-Kommission prüfte die geltenden Regelungen und stellte fest: Im Teil für die Bundesverwaltung sind Anpassungen nötig – etwa bei der Verarbeitung von Personendaten im Strafrecht.
Folgen für die Schweizer Wirtschaft
Die involvierten Parteien waren tendenziell zuversichtlich, dass das Urteil der EU-Kommission positiv ausfallen würde. Das Bundesamt für Justiz (BJ) bestätigte, dass in der Schweiz fortlaufend parlamentarische Anpassungsarbeiten stattfanden – ein gutes Zeichen.
Doch was wäre bei einem negativen Urteil passiert? Erstens hätten alle Unternehmen wieder stärker auf die Einhaltung der DSGVO-Regelungen achten müssen, ohne sich an einem übergreifenden Gesetz orientieren zu können. Das hätte erhebliche Verwaltungsaufwände nach sich gezogen: geeignete Ersatzregelungen wären nötig geworden, etwa EU-Standard-Klauseln – aufgesetzt von anderen, unterzeichnet von allen Vertragsparteien bei jedem Geschäftsprozess.
Der grösste Nachteil wäre aber ein anderer gewesen: Personenbezogene Daten hätten nur noch dann in der Schweiz verarbeitet werden dürfen, wenn die Anforderungen der DSGVO gleichwertig eingehalten wurden. Wichtige Geschäftsbeziehungen wären gefährdet gewesen.
Schweizer Datenschutz: Bedeutung für Internet- und Kommunikationstechnik
Die Schweiz ist ein bedeutender wirtschaftlicher Standort für Internet- und Kommunikationstechnik (IKT). Wirtschaftsstudien aus dem Jahr 2017 zeigten, dass jährlich durchschnittlich 300 Millionen Franken in diesen Sektor fliessen. Eine Studie der Broadgroup/IWSB platzierte die Schweiz sogar auf Platz zwei beim Verhältnis «Anzahl Datencenter pro Einwohner».
Wie das Urteil letztlich ausgefallen ist und was das für den Schweizer Datenschutz bedeutet, haben wir in unserem Blog festgehalten.