Datenschutzrecht: Weniger, mehr oder anders? Die Schweiz und das Europäische Datenschutzniveau

Anna Brand | Mounia Stocker

Neben Frau Prof. Dr. Astrid Epiney von der Universität Fribourg und Herrn Prof. Dr. Urs Gasser von der Technischen Universität München, welche beide zuvor ihre Inputs vorgetragen hatten, stiessen für die erste Paneldiskussion zum Thema Datenschutz weitere Personen hinzu. Auf den roten Stühlen, welche in einem Halbkreis auf dem Podium angeordnet worden waren, nahmen Platz: Martin Steiger von der Digitalen Gesellschaft, Richard Eisler, Gründer und CEO von Comparis, und Dr. Anna Zeiter, welche die Ämter Chief Privacy Officer und DPO bei ebay bekleidet. Links und rechts von ihnen sassen David Rosenthal und Prof. Dr. Florent Thouvenin, welche die Diskussion leiteten.

Thouvenin knüpfte zum Einstieg an die Keynotes von Epiney und Gasser an und gab die Frage, ob die Schweiz ihren Spielraum ausnutzen sollte, um strategisch und innovativ vorzugehen, in die Runde weiter. Zeiter sah dies aus einer praktischen Sicht. Unternehmen wie ebay verfolgen in dieser Situation üblicherweise einen sog. «High-Watermark-Approach»: Sie können sich nicht nach allen Jurisdiktionen richten, mit denen sie in Berührung kommen. Für ebay (wie auch viele andere Tech-Unternehmen) seien dabei einerseits die DSGVO in Europa und andererseits das CCPA in Kalifornien relevant. Die Unternehmen stellen sich so ihr eigenes Recht zusammen, um in möglichst allen Regionen bzw. Jurisdiktionen der Welt compliant zu sein. Zeiter führte weiter aus, es sei für die Schweiz nun eine unglaubliche Chance zu beobachten, was sich in Grossbritannien abspiele. Die Schweiz könne hier im Fahrwasser Grossbritanniens Spielräume ausnutzen und diese als Wettbewerbsvorteil nutzen. Rosenthal leitete die Diskussion zu den nationalen Unternehmen über und sprach damit Eisler an. Dieser führte aus, dass obwohl Comparis Dienstleistungen ausschliesslich für Personen mit Wohnsitz in der Schweiz anbiete, diese weltweit bezogen werden können. Aus diesem Grund sei Comparis DSGVO-compliant, weil er sich nicht sicher sei, dass Comparis nicht gestützt auf die DSGVO verklagt werden könne. Er würde einen Sonderweg der Schweiz begrüssen, auch wenn dies für sein Unternehmen einen Mehraufwand bedeuten würde.

Einen Sonderweg befürwortete auch Steiger, denn es sei ein ehrlicher Weg. Für ihn sei das Einwilligen eine Abwälzung der Verantwortung, wobei ohnehin kaum eine Einwilligung funktioniere. Aus Betroffenensicht sei die Einhaltung des Datenschutzrechts heute in der Schweiz eine Reputationsfrage. Er erhoffte sich mit dem revidierten Datenschutzgesetz mehr Möglichkeiten für die Betroffenen zur Durchsetzung ihrer Anliegen. Auch habe der Staat nach seiner Ansicht ein Glaubwürdigkeitsproblem, da er einerseits den Datenschutz regulieren möchte, andererseits aber selbst sehr datenhungrig sei. Epiney teilte die Meinung betreffend die Einwilligung. Sie wünsche sich, dass man im Privatsektor, um mehr Vertrauen zu schaffen, weg von der Einwilligung und hin zu einem AGB-Ansatz käme. Von der gesetzlichen Grundlage im öffentlichen Sektor würde sie sich schon aus demokratietheoretischer Sicht nicht verabschieden, da so der staatliche Datenhunger demokratisch kontrolliert werden könne. Auch bei Eisler fand die klare Trennung zwischen öffentlichem und privatem Sektor Anklang.

Thouvenin brachte das revidierte Datenschutzgesetz und die neue Ausnahme der Informationspflicht nach Art. 20 Abs. 3 lit. d revDSG bei Datenbearbeitung durch öffentliche Organe in die Diskussion ein. Er vertrat die Meinung, dass es hier einen strikteren Ansatz brauche und erkundigte sich bei den Panelisten, welche Wege in diesem Bereich eingeschlagen werden könnten. Steiger nannte ohne zu zögern den «Weg der Ehrlichkeit». Weder im Schweizer Recht noch in der DSGVO gäbe es klar definierte Ziele bezüglich dessen, was geschützt werden solle. Aus seiner Sicht müsse man auch die Menschenrechte ernst nehmen, denn auf diese gehe der Datenschutz zurück. Für Zeiter war klar, dass Unternehmen das Vertrauen ihrer Nutzer wollen, was man auch daran erkenne, dass einige US Tech-Unternehmen Privacy and Trust in der Unternehmensorganisation zusammengefügt hätten. Datenschutz sei kein Hemmnis mehr, sondern könne das Geschäft auch fördern. Das neu von der luxemburgischen Datenschutzaufsichtsbehörde entwickelte DSGVO-Siegel könne aus Sicht der Unternehmen beispielsweise ein Instrument sein, um sich im Wettbewerb zu profilieren.

Eisler sprach die Tatsache an, dass künftige Nutzungsmöglichkeiten der Personendaten im Zeitpunkt der Datenerhebung oftmals noch unbekannt seien. Dies sei aus unternehmerischer Sicht problematisch. Seiner Meinung nach sei diese Rechtslage ein Innovationskiller, mit welcher Europa sich einen Rückstand einhandle. Steiger brachte daraufhin ein, dass der Grundsatz der Zweckbestimmung zwar anstrengend und unbequem sei, aber das geltende Recht dar|stelle, welches eingehalten werden müsse. Zeiter fügte der Diskussion hinzu, dass im Silicon Valley eine starke Tendenz bestehe, Daten in grossen Mengen schnell wieder zu löschen. Ein solches Vorgehen sei insbesondere auch hinsichtlich der Problematik überholter Daten zu befürworten.

Rosenthal fragte die Runde, welche Rolle der Datenschutz heute spiele und wie die Teilnehmenden zu den gesetzlichen Aufgaben der Aufsichtsbehörden sowie den hohen Geldbussen nach der DSGVO stünden. Epiney vertrat die Ansicht, die Datenschutzbehörden könnten ihrer gesetzlichen Aufgabe rein quantitativ nicht nachkommen, weshalb nach alternativen, interdisziplinären Ansätzen geforscht werden müsse. Man müsse in diesem Bereich nicht mehr oder weniger, sondern anders regulieren. Zeiter stimmte dem zu, merkte aber an, dass die hohen Bussen in den Unternehmen grosse Wirkungen gezeigt hätten und zu einer unternehmensinternen Aufrüstung der Datenschutzteams führten. Ein Grund dafür seien nicht zuletzt die Bussen, welche unter der DSGVO Reputationsschäden für die Unternehmen bewirken.

Rosenthal erkundigte sich alsdann, ob die in der Revision unverändert gebliebenen Grundsätze der Datenbearbeitung überhaupt noch passend seien. Gemäss Epiney gehe es im Datenschutzrecht immer um eine Abwägung bzw. um Verhältnismässigkeit. Für den öffentlichen Sektor sei sie für eine Beibehaltung der bestehenden Abwägungsmechanismen, im privaten Sektor müsse man ein Verfahren finden, welches eine (ex ante) Abwägung aller Interessen im Einzelfall zulasse. Steiger wendete ein, dass es diese Verfahren ja schon gäbe, sich diese in der Schweiz aber noch zu wenig durchgesetzt hätten. Wünschenswert sei ein bundesgerichtlicher Entscheid zu risikobasierten Ansätzen, weil hier hinsichtlich der Verantwortung noch Unsicherheiten bestünden.

Gasser sieht im Versicherungsmarkt ein Instrument, um das Verdichten von Informationen zu standardisieren und zu stabilisieren. Versicherungen können längerfristig eine Steuerungsfunktion im Markt übernehmen, da sie ganz genau prüfen, welche Datenschutz-Standards die Unternehmen, die ihre Policen unterschreiben, haben. Dadurch könne man viel Vertrauen schaffen. Rosenthal fügte dem zustimmend hinzu, dass man dieses Phänomen im Bereich der Cyber-Security bereits kenne. Wenn ein Unternehmen versichert sei, stehe dies auch für einen gewissen Standard. Zeiter merkte an, dass es den Versicherungen bisher am nötigen Wissen fehle und die gegenwärtigen Angebote oftmals noch zu oberflächlich seien.

Trotz kontroverser Diskussionen und divergierender Ansichten konnten sich alle darauf einigen, dass ein Schweizer Sonderweg zu begrüssen sei und der sich bietende Spielraum ausgenutzt werden müsse. Plädiert wurde einerseits für mehr, andererseits für weniger und ausserdem auch für komplementären Datenschutz. Was dies aber genau bedeutet und wie das Datenschutzrecht konkret weiter an die rasanten technologischen Entwicklungen angepasst werden kann, muss sich aber erst noch zeigen.