Umsetzungsfragen zur EU-Datenschutz-Grundverordnung in der Schweiz


Die EU-Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft und wird durch deren weitgefassten Anwendungsbereich auch einen Grossteil der Unternehmen in der Schweiz betreffen. Bis zu diesem Zeitpunkt müssen sie die Anforderungen der DSGVO umsetzen, wollen sie nicht von den hohen finanziellen Sanktionen getroffen werden. Mit dieser Ausgangslage hat sich auch das Schweizer Parlament im Rahmen der Totalrevision des schweizerischen Datenschutzgesetzes zu befassen. Dabei stellen sich vielschichtige Umsetzungsfragen, mit welchen sich der Bundesrat kürzlich aufgrund der „Interpellation Fiala“ auseinandersetzen musste. Da die Schweizer Wirtschaft auf den Datenaustausch mit EU-Unternehmen angewiesen ist, bekräftigt der Bundesrat, vorrangiges Ziel der Revision sei, dass die EU die Schweiz als Land mit angemessenem Datenschutzniveau anerkennt. Besonderen Grund zur Eile sehen die Parlamentarier allerdings gleichwohl nicht. Vielmehr beschloss die Staatspolitische Kommission des Nationalrates bereits Mitte Januar 2018, dass die Totalrevision des Datenschutzgesetzes in zwei Etappen erfolgen soll. Den „Schengen-Teil“ will die Kommission schnell vorantreiben, die Totalrevision des DSG hingegen erst anschliessend beraten.


Interpellation Fiala zur Umsetzung der EU-Datenschutzgrundverordnung

Eine grosse Mehrheit der schweizerischen Unternehmen wird von der EU-Datenschutzgrundverordnung (DSGVO) betroffen sein (MLL-News vom 14. Januar 2016). Die DSGVO tritt am 25. Mai 2018 in Kraft. Es bleibt somit wenig Zeit für die Umsetzung. Dabei stellen sich viele verschiedene Fragen zur Umsetzung, die auch Einfluss auf die Revision des schweizerischen Datenschutzrechts haben (MLL-News vom 21. September 2017 und MLL-News vom 14. Februar 2017). Mit der Interpellation von Doris Fiala (FDP) wurden dem Bundesrat neun Fragen zur Umsetzung der DSGVO unterbreitet, welcher dieser in seiner Stellungnahme vom 2. März 2018 beantwortete.


Anerkennung der Äquivalenz des schweizerischen Datenschutzrechts?

Eine der zentralen Fragen, welche der Bundesrat im Rahmen der Interpellation zu beantworten hatte, war die Frage, ob die EU die Äquivalenz der Schweizer Datenschutz-Gesetzgebung weiterhin anerkennen wird (Frage 1 der Interpellation).

Der Bundesrat führte dazu aus, dass „[d]ie Beibehaltung des Angemessenheitsbeschlusses der EU für den Bundesrat ein vorrangiges Ziel“ sei. Deshalb wurde auch beschlossen, dass der Inhalt des totalrevidierten Datenschutzgesetz (E-DSG) den europäischen Anforderungen, insbesondere der DSGVO, angeglichen werden soll. Damit die Schweiz als Land mit angemessenem Datenschutzniveau von der EU anerkennt wird, muss die Schweiz aus Sicht der EU zumindest ein vergleichbares Schutzniveau aufweisen, wie es die EU hat. Der Bundesrat geht davon aus, dass der Ausgang dieser Prüfung durch die EU wesentlich von den Entscheidungen des Parlaments im Rahmen der Revision des Datenschutzgesetzes abhängt. Allerdings ist zurzeit nicht absehbar, wann die Europäische Kommission eine solche Angemessenheit überprüfen wird.

Die Staatspolitische Kommission des Nationalrates beschloss im Januar 2018, dass die Revision des Datenschutzgesetzes in zwei Etappen erfolgen soll (Medienmitteilung vom 12. Januar 2018). In der ersten Etappe sollen Anpassungen vorgenommen werden, die aufgrund der Schengen-Verträge innert einer bestimmten Frist vorgenommen werden müssen. Es handelt sich dabei um die Vorgaben aus der EU-Richtlinie 2016/680. Erst anschliessend soll die Totalrevision des Datenschutzgesetzes „ohne Zeitdruck“ angegangen werden.

Auch dazu äusserte sich der Bundesrat in der Stellungnahme zur ersten Frage der Interpellation. Gemäss Bundesrat seien „Verzögerungen wahrscheinlich (…) weil das DSG noch nicht revidiert worden ist“. Dies könne zur Folge haben, dass kein angemessenes Schutzniveau gewährleistet werden kann und die EU den Angemessenheitsbeschluss widerrufen, ändern oder aussetzen könnte. Dies hätte für die schweizerische Wirtschaft nachteilige Folgen. Fällt nämlich der Angemessenheitsbeschluss der EU weg, könnten personenbezogene Daten nicht ohne weiteres in die Schweiz übermittelt werden, sondern es müssten zusätzliche, sichernde Massnahmen getroffen werden. Eine Möglichkeit wäre etwa, dass sich schweizerische Unternehmen gegenüber EU-Unternehmen vertraglich verpflichten, dass europäische Datenschutzniveau zu wahren.


Behördenzuständigkeit in der Schweiz?

In der zweiten Frage der Interpellation, hatte der Bundesrat dazu Stellung zu nehmen, wer Ansprechpartner für Schweizer Unternehmen betreffend Pflichten gemäss der DSGVO und dem E-DSG sei.

Dazu führt der Bundesrat aus, dass „jede Behörde ihr eigenes Recht anwenden [wird]. Wenn der für die Datenbearbeitung Verantwortliche der Ansicht ist, dass er sowohl dem DSG als auch der DSGVO untersteht, wird er sich an den EDÖB und an die zuständige ausländische Aufsichtsbehörde wenden“.

Folglich werden sich die Unternehmen vorerst Fragen müssen, welchem Recht sie unterstehen bzw. aus welchem Gesetz sich die entsprechende Pflicht ableitet. Erst in einem zweiten Schritt muss das betroffene Unternehmen entscheiden, an welche Aufsichtsbehörde oder welche Aufsichtsbehörden es sich wenden soll.


Zuständigkeit der Schweizer Behörden für Untersuchungen und Sanktionen?

Die Interpellation unterbreitet dem Bundesrat in ihrer dritten Frage Folgendes: „Werden Untersuchungen und allfällige Sanktionen gegenüber Schweizer Unternehmen von einer schweizerischen Stelle durchgeführt?

Gemäss Bundesrat liegt die Zuständigkeit bei der Aufsichtsbehörde der EU-Mitgliedstaaten, sofern ein schweizerisches Unternehmen der DSGVO unterstellt ist. Jedoch können ohne ein entsprechendes Kooperationsabkommen keine Untersuchungshandlungen in der Schweiz durch Aufsichtsbehörden der EU-Mitgliedstaaten durchgeführt werden. Jedoch sieht die DSGVO in Art. 27 vor, dass unter gewissen Voraussetzungen ein Vertreter in der EU benannt werden muss. Der Bundesrat führt dazu aus, dass „die europäischen Aufsichtsbehörden ihre Entscheidungen dem schweizerischen Unternehmen über diesen Vertreter zustellen [kann], ohne den diplomatischen Weg zu beschreiten“.


Doppelte Strafbarkeit von Schweizer Unternehmen?

Die Interpellantin warf die Frage auf, ob ein schweizerisches Unternehmen für den gleichen Fall neben der Schweiz auch durch die EU sanktioniert werden kann (Frage 4 der Interpellation).

Diese Möglichkeit sei nicht auszuschliessen“, so der Bundesrat. Jedoch könnte das im schweizerischen Recht verankerte Prinzip des Verbots der doppelten Strafverfolgung (ne bis in idem) zur Anwendung kommen. Insbesondere dann, wenn Geldbussen der EU und strafrechtliche Sanktionen der zuständigen Schweizer Behörde zusammentreffen.


Strafbarkeit von schweizerischen Unternehmen 
durch die EU trotz der Einhaltung des Schweizer Rechts ?

In der fünften Frage der Interpellation musste der Bundesrat dazu Stellung nehmen, ob ein Unternehmen von der EU bzw. von einem Mitgliedsstaat sanktioniert werden kann, obwohl es das schweizerische Recht einhält.

Gemäss dem Bundesrat ist das möglich, wenn das Unternehmen der DSGVO untersteht und deren Vorschriften verletzt.

Entscheidend ist, wie bei allen rechtlichen Fragen, ob man prinzipiell von einem Gesetz erfasst wird und zwar sowohl in sachlicher als auch in räumlicher Hinsicht.


Anerkennung von Schweizer Zertifizierungen und Zertifizierungsstellen?

In der Interpellation unterbreitete dem Bundesrat auch die Frage, ob Schweizer Zertifizierungen und Zertifizierungsstellen durch die EU anerkennt werden (Frage 6 der Interpellation).

Der Bundesrat führte dazu in seiner Stellungnahme aus, dass die DSGVO kein Verfahren zur Anerkennung von solchen Zertifizierungen und Zertifizierungsstellen vorsieht.


Einbezug der Schweiz bei der Ausarbeitung von Standards?

In der siebten Frage der Interpellation ging es darum, ob die Schweiz bei der Ausarbeitung von Standards auf dem Gebiet des Datenschutzes durch die EU involviert wird.

Auch hier führte der Bundesrat aus, dass die DSGVO keine Bestimmung enthält, welche vorsehen würde, dass die Schweiz bei der Ausarbeitung von entsprechenden Standards beigezogen wird. Jedoch sei es „nicht ausgeschlossen, dass schweizerische Unternehmen einbezogen werden könnten“. Dies insbesondere im Rahmen der Ausarbeitung von entsprechenden Verhaltenskodizes.


Rolle der Schweiz im Zusammenhang mit Öffnungsklausel in der DSGVO?

An vielen Stellen verweist die DSGVO auf das Recht der Mitgliedstaaten (sog. Öffnungsklauseln). In der Interpellation wird dem Bundesrat die Frage unterbreitet, wie die Rolle der Schweiz diesbezüglich aussehe (Frage 8 der Interpellation).

Der Bundesrat stellt in seiner Stellungnahme klar, dass die Schweiz kein Mitgliedstaat im Sinne der DSGVO sei. Er präzisiert seine Antwort wie folgt:

Dies gilt unabhängig davon, dass dieser Rechtsakt [die DSGVO] gemäss seinem Artikel 3 Abs. 2 auf schweizerische Unternehmen direkt Anwendung finden kann. Die Verweisungen auf das Recht der Mitgliedstaaten umfassen das schweizerische Recht nicht, welchem folglich auch keine Rolle zukommt.


Schritte des Bundesrates zur Koordination mittels Staatsvertrag?

Zuletzt wirft die Interpellation die Frage der internationalen Koordinationsmassnahmen durch den Bundesrat auf. Die obenstehenden Fragen werfen gemäss der Interpellation grossen Koordinationsbedarf auf, der bereits vor der parlamentarischen Beratung bestehe. Dies sei einerseits deshalb der Fall, weil die DSGVO bereits am 25. Mai 2018 in Kraft tritt und andererseits, weil diese Umsetzungsfragen für die Beratung des Parlaments zur Revision des DSG sehr wertvoll seien. Der Bundesrat stellte bereits früher klar, dass er die Europäische Kommission jedoch nicht vor den parlamentarischen Beratungen kontaktieren wolle. Die Interpellation stellt nun aber die Frage, welche Schritte der Bundesrat zu unternehmen gedenkt, um den Koordinationsbedarf möglichst rasch staatsvertraglich zu regeln.

Der Bundesrat hält dazu fest, dass sich der Abschluss eines Kooperationsabkommens zwischen der Schweiz und der EU „wahrscheinlich“ über mehrere Jahre ziehen wird. Dabei sei jedoch für das Zustandekommen entscheidend, dass die Schweiz aufzeigen könne, dass ein angemessenes Datenschutzniveau aus DSGVO-Sicht gewährleistet sei. Das sei auch der Grund dafür, dass der Bundesrat mit dem Abschluss eines Kooperationsabkommen mit der EU zugewartet habe. Abschliessend hält der Bundesrat folgendes fest:

Eine erste Kontaktaufnahme mit der Europäischen Kommission war für Anfang 2018 vorgesehen. Angesichts des Entscheids der Staatspolitischen Kommission des Nationalrates vom 11. Januar 2018, die für die Umsetzung des Schengen-Besitzstandes notwendigen gesetzgeberischen Massnahmen prioritär zu behandeln und die Prüfung der Anpassung, welche eine Annäherung des schweizerischen Datenschutzrechts an die Anforderungen der DSGVO bezwecken, in einer zweiten Etappe vorzunehmen, beabsichtigt der Bundesrat jedoch, mit diesem Schritt vorerst abzuwarten.

In seiner Stellungnahme unterstreicht der Bundesrat, dass es für schweizerische Unternehmen entscheidend sein wird, ob die EU das revidierte Schweizer Datenschutzgesetz als angemessen beurteilen und anerkennen wird. Wie die Interpellation aufzeigt, steht das Parlament vor einer heiklen und herausfordernden Aufgabe bei der Umsetzung der Revision. Dabei wird für den Wirtschaftsstandort Schweiz entscheidend sein, dass sich das schweizerische Datenschutzrecht zumindest inhaltlich an der DSGVO orientiert und die zentralen Anliegen des revidierten EU-Datenschutzrechts auch in das schweizerische Recht Eingang finden werden.

Weitere Informationen: