Zum Inkrafttreten des neuen Schweizer Datenschutzgesetzes im September 2023 beantwortete Rechtsanwältin Michèle Balthasar bereits eine Reihe praxisbezogener Fragen für Unternehmen (
hier nachzulesen). Sechs Monate später zieht sie im Gespräch nun ein erstes Fazit.
"Swiss IT Magazine": Frau Balthasar, seit Anfang September 2023, und damit nun seit einem halben Jahr, ist das revidierte Schweizer Datenschutzgesetz (DSG) in Kraft. Viel hat man noch nicht gehört – wie läuft es hierzulande mit der praktischen Umsetzung des revidierten DSG?
Michèle Balthasar: Aktuell sind nach wie vor viele KMU damit beschäftigt, grundlegende Massnahmen und Prozesse zur Umsetzung des revidierten Datenschutzgesetzes zu implementieren. Neben den Datenschutzpflichten, deren Verstösse strafrechtlich sanktioniert werden können, liegt nun aber auch vermehrt der Fokus auf die mit dem revidierten DSG neu hinzugekommenen Pflichten, wie etwa die Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Eine solche ist durchzuführen, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sie ist gemäss den Übergangsbestimmungen auch dann durchzuführen, wenn die Bearbeitungstätigkeit vor Inkrafttreten des revidierten DSG begonnen wurde und neue Daten beschafft werden.
Sie haben die strafrechtlichen Sanktionen erwähnt. Seit Inkrafttreten des revidierten DSG gibt es keine grossen Neuigkeiten – keine Zeitungsartikel, keine Nachrichten. Sind Bussen in absehbarer Zeit denkbar und wie würde der Prozess von der Anzeige bis zur Busse gegebenenfalls ablaufen?Ich denke, es dürfte noch eine Weile dauern, bis wir von den ersten Bussen hören. Geahndet werden nur eine bestimmte Anzahl von Verstössen und auch diese nur auf Antrag einer betroffenen Person hin. Verfolgt werden die Fälle dabei nicht vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), sondern den kantonalen Strafverfolgungsbehörden. Die verantwortliche Person muss zudem vorsätzlich handeln und der Vorsatz muss nachgewiesen werden.
Ein Verstoss muss also absichtlich sein? Wie ist das zu verstehen? Vorsätzlich handelt ein Täter, indem er mit Wissen und Absicht handelt. Er weiss, was er tut, ist sich der Strafbarkeit seiner Handlung bewusst und will diese verwirklichen, indem er planmässig vorgeht. Vorsätzlich handelt aber auch, wer eine Straftat zwar nicht direkt verwirklichen will, aber dennoch um die möglichen Folgen seines Verhaltens weiss und diese billigend in Kauf nimmt. In diesem Fall spricht das Recht von dem Eventualvorsatz. Demgegenüber liegt eine fahrlässige Straftat vor, wenn jemand unvorsichtig eine verbotene Handlung begeht. Der Täter will das Delikt nicht verüben, bedenkt die Folgen aber nicht, weil er nicht die Sorgfalt anwendet, zu der er verpflichtet wäre. Fahrlässiges Handeln ist nach DSG nicht strafbar.
Was kann ein Unternehmen tun, um strafbares Handeln seiner Mitarbeitenden zu verhindern?Das Unternehmen muss sicherzustellen, dass alle Mitarbeitenden sich deren Verantwortung bewusst sind und Kenntnis von den betreffenden Strafbestimmungen haben. Erforderlich sind deshalb regelmässige Sensibilisierungen und Schulungen zum DSG.
Im Januar hat der EDÖB eine überarbeitete Version des Leitfadens zu den technischen und organisatorischen Massnahmen des Datenschutzes (TOM) publiziert. Darin äussert er sich auch zum Cookie-Banner auf Websites. Wie steht es hier um die Rechtslage – muss man das Cookie-Opt-in auch als Schweizer Unternehmen obligatorisch einführen?Hierzu gehen die Meinungen nach wie vor auseinander. In der Lehre wird mehrheitlich davon ausgegangen, dass es auch nach revidiertem DSG keinen Cookie-Opt-in-Banner benötigt. Schliesslich gilt mit Bezug auf die Cookie-Regelung das Fernmeldegesetz (FMG). Demnach genügt es, wenn der Besucher einer Website im Rahmen der Datenschutzerklärung über die Cookies und deren Ablehnungsmöglichkeit informiert wird. Der EDÖB hat im Leitfaden TOM aber ausgeführt, dass technisch nicht notwendige Cookies standardmässig deaktiviert sein müssen, um dem Prinzip der datenschutzfreundlichen Voreinstellungen zu entsprechen. Website-Besucher müssen demnach aktiv zustimmen, wenn sie zusätzliche Cookies verwenden möchten.
Aber das ist nicht rechtlich verpflichtend, korrekt? Der EDÖB schreibt zu seinem Leitfaden, dass dieser kein Rechtsratgeber ist und lediglich Informationen zum Datenschutzgesetz beinhaltet, ohne dessen rechtliche Vorgaben auszuführen, zu kommentieren oder zu präzisieren. Der Leitfaden dient auch nicht als Grundlage für die Anwendung oder Auslegung dieser Regeln. Damit ist unklar, welche Bedeutung dem Leitfaden zukommt.
Was empfehlen Sie Ihren Klienten heute konkret? Aufgrund der Rechtsunsicherheit ist meines Erachtens eine Interessen- und Risikoabwägung vorzunehmen. Zwar drohen keine direkten Bussen, wenn keine Einwilligung zum Einsatz von Cookies mittels Cookie-Opt-in-Banner eingeholt wird oder wenn das Prinzip der datenschutzfreundlichen Voreinstellungen nicht eingehalten wird. Es kann aber dennoch sinnvoll sein, einen Cookie-Opt-in zu implementieren, da er dem Besucher Transparenz darüber bietet, welche Arten von Cookies auf der Website verwendet werden und der Besucher die Zustimmung zur Verwendung bestimmter Cookies erteilen oder verweigern kann. Diese Transparenz und Kontrolle stärken das Vertrauen des Besuchers in die Website und zeigen, dass seine Privatsphäre und Datenschutzrechte respektiert werden. Darüber hinaus ist zu beachten, dass die Europäische Datenschutz-Grundverordnung (DSGVO) für viele Unternehmen gilt, und ein Cookie-Opt-in in deren Anwendungsbereich erforderlich ist.
Mit dem Bericht vom 15. Januar 2024 hat die EU-Kommission den Angemessenheitsbeschluss erneuert und festgestellt, dass die Schweiz über ein angemessenes Datenschutzniveau verfügt. Was bedeutet dies für die Schweiz? Mit dem Beschluss anerkennt die Kommission die Angemessenheit des aktuellen Datenschutzrechts der Schweiz. Das DSG genügt also den Anforderungen, die der EuGH 2015 im Urteil Schrems I gesetzt und in Schrems II konkretisiert hatte. Ohne bestehenden Angemessenheitsbeschluss hätte der Datenverkehr zwischen der Schweiz und der EU respektive dem EWR im Einzelfall mit geeigneten Garantien abgesichert werden müssen.
Im Juli letzten Jahres hat die EU-Kommission einen Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (DPF) verabschiedet. Die Schweiz hat sich hierzu noch nicht geäussert. Die USA sind also für die Schweiz nach wie vor ein Land ohne angemessenes Datenschutzniveau. Wie steht es nun um die Angemessenheit des Datenschutzes bei Anwendungen aus den USA, wie etwa Office 365?
Gemäss dem revidierten DSG liegt es beim Bundesrat zu entscheiden, ob ein Staat, ein Gebiet, ein spezifischer Sektor in einem Staat oder ein internationales Organ einen angemessenen Datenschutz gewährleistet. Die Entscheidung, ob die USA einen angemessenen Datenschutz gewährleisten, ist aktuell noch ausstehend, weshalb die USA für die Schweiz nach wie vor als ein Land ohne angemessenes Datenschutzniveau gilt und damit angemessene Garantien zur Gewährleistung des Datenschutzes vorzusehen sind.
Und warum setzen sowohl Behörden als auch Unternehmen diese Anwendungen ohne Bedenken ein?
Ich gehe nicht davon aus, dass dies ohne Bedenken erfolgt. Risikoüberlegungen erfolgen regelmässig. Auch sollen TOMs einen angemessenen Datenschutz berücksichtigen. Aus rechtlicher Sicht ist die Situation so, dass Schweizer Unternehmen in der Regel ihre Verträge mit Microsoft Irland und damit mit einem Unternehmen mit Sitz in der EU abschliessen. Die EU hat gegenüber der Schweiz ein angemessenes Datenschutzniveau. Im Auftragsbearbeitungsvertrag werden sodann nach wie vor die EU-Standardvertragsklauseln als integrierender Bestandteil erklärt, was eine zusätzliche Garantie für die etwaige Datenübermittlung in die USA darstellt. Schliesslich hat sich Microsoft verpflichtet, verschiedene Dienste, so auch Office 365, innerhalb der EU-Datengrenze anzubieten. Damit werden für diese Dienste der Grossteil der Personendaten nunmehr innerhalb dieser geografisch definierten Grenze nicht mehr nur gespeichert, sondern auch bearbeitet.
Wo sehen Sie die zukünftigen Herausforderungen im Datenschutz?
Zum einen stellt sich immer mehr die Frage, wie die Wirksamkeit der datenschutzrechtlichen Massnahmen geprüft werden könnte. Erste Ansätze zu Reifegrad-Modellen hierzu finden sich in Deutschland und in Frankreich. Sodann ist es nicht ganz einfach, den Überblick zu bewahren bei der Vielzahl neuer Regulierungen, die auch Auswirkungen auf den Datenschutz haben. Nicht zu vergessen sind selbstverständlich auch die datenschutzrechtlichen Themen, welche mit dem Einsatz von KI auf uns zukommen.
(win)
