PERSONENDATEN: Der lange Arm der EU-Datenschützer
Die EU verschärft ihre Datenschutzbestimmungen. Das hat auch Konsequenzen für Schweizer Unternehmen. Sie müssen bei Verstössen mit hohen Bussen rechnen – auch wenn sie gar keine Niederlassung in der EU haben.
Das Schweizer Recht hat nicht Schritt gehalten mit der technologischen Entwicklung: Zwar hat die Menge der persönlichen Daten, die tagtäglich geteilt werden, in den vergangenen Jahren massiv zugenommen. Das Datenschutzgesetz stammt aber noch von 1992. Der Bundesrat will dieses darum modernisieren und den Schutz der Personendaten stärken. Gleichzeitig soll den Entwicklungen in der EU in diesem Bereich Rechnung getragen werden. Die Vernehmlassung zur Revision des Datenschutzgesetzes ist gestern zu Ende gegangen – mit gemischten Reaktionen (siehe Kasten). Laut dem Bundesamt für Justiz wird der Bundesrat die Botschaft voraussichtlich noch im Sommer verabschieden.
Doch egal wie die Gesetzgebung hierzulande am Schluss genau aussehen wird, müssen sich viele Unternehmen so oder so auf schärfere Regeln einstellen. Grund dafür ist die neue EU-Datenschutzverordnung, die im Mai 2018 effektiv in Kraft tritt. Dabei gilt künftig das sogenannte Marktortprinzip: Die EU-Regeln gelten für Schweizer Unternehmen auch dann, wenn sie gar keine Niederlassung in der EU haben. Entscheidend ist nämlich, wo der Kunde ist. Konkret bedeutet das: Bietet ein Schweizer Unternehmen Bürgern aus der EU Waren oder Dienstleistungen an und verarbeitet personenbezogene Daten, gilt die neue Verordnung auch für sie. Betroffen wären laut Experten unter anderem viele Exporteure, Onlineshops oder sogar Hotels, die ihre Dienstleistung auch EU-Bürgern anbieten und eine Reservation über das Internet ermöglichen.
Neu gibt es ein Recht auf Vergessen
Mit der neuen EU-Verordnung gelten für die Unternehmen zusätzliche Informations- und Dokumentationspflichten. So müssen sie beispielsweise Behörden und Betroffene innerhalb von 72 Stunden informieren, wenn Daten gestohlen werden oder verloren gehen. Zudem wird ein Recht auf Vergessen, also auf die Löschung von Daten, eingeführt. Bei Verstössen gegen die EU-Regelungen müssen die Unternehmen mit hohen Bussen rechnen: bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes. Die Strafen sollen möglichst abschreckend wirken und könnten Schweizer Firmen empfindlich treffen.
Für grosse Konzerne mit einer eigenen Compliance-Abteilung sei es kein grosses Problem, sich den neuen Gegebenheiten anzupassen, sagt Ursula Widmer, Rechtsanwältin mit Spezialgebiet IT-, Datenschutz- und Kommunikationsrecht sowie Mitglied der vom Bundesrat eingesetzten Expertengruppe «Zukunft der Datenbearbeitung und Datensicherheit». «Für kleinere Firmen ist diese Umstellung jedoch schwierig», sagt sie. Das Know-how dazu sei oft nicht vorhanden. «Ihnen wird man helfen müssen.» Widmer hofft, dass die neue Schweizer Gesetzgebung am Schluss möglichst ähnlich wie die EU-Regelung ist. «Sonst wird es für die betroffenen Unternehmen sehr kompliziert», sagt sie. Grundsätzlich hält die Rechtsanwältin die EU-Verordnung aber für sinnvoll und die Strafen für angemessen.
Ganz anders sieht das der Schweizerische Gewerbeverband: «Für die Unternehmen ist die EU-Datenschutzverordnung mit grossen Nachteilen bezüglich administrativen Aufwands sowie Melde- und Informationspflichten verbunden», sagt Kommunikationschef Bernhard Salzmann auf Anfrage. Diese seien nicht verhältnismässig und würden die betroffenen Personen überfordern, anstatt mehr Schutz zu bringen, kritisiert er.
Michel Burtscher
