Nationalrätin Doris Fiala (FDP) stellte dem Bundesrat am 13. Dezember 2017 zahlreiche Fragen zur Umsetzung der neuen Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU).
Hintergrund der Interpellation 17.4088 ist die richtige Feststellung von Nationalrätin Fiala, dass es kaum ein Schweizer Unternehmen gibt, das nicht von der DSGVO betroffen ist.
Nun hat der Bundesrat unter anderem folgende Fragen beantwortet:
Bundesrätliche Antworten zur DSGVO-Umsetzung
Wer ist Ansprechpartner für Schweizer Unternehmen?
«Wer ist der Ansprechpartner für Schweizer Unternehmen (zum Beispiel bei Meldepflichten) betreffend der DSGVO und E-DSG? Ist dies der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), eine Stelle in der EU oder gar beide?»
Antwort:
«Jede Behörde wird ihr eigenes Recht anwenden. Wenn der für die Datenbearbeitung Verantwortliche der Ansicht ist, dass er sowohl dem schweizerischen Datenschutzgesetz (DSG) als auch der DSGVO untersteht, wird er sich an den EDÖB und an die zuständige ausländische Aufsichtsbehörde wenden.»
Wer führt Untersuchungen gegen Schweizer Unternehmen durch?
«Werden Untersuchungen und allfällige Sanktionen gegenüber Schweizer Unternehmen von einer schweizerischen Stelle durchgeführt? Wie und durch wen?»
Antwort:
«Die Untersuchung und die Verhängung von Sanktionen gegen ein Unternehmen mit Sitz in der Schweiz, das aber der DSGVO unterstellt ist, fallen in die Zuständigkeit der Aufsichtsbehörden der EU-Mitgliedstaaten. Ohne ein Kooperationsabkommen können diese jedoch selbst keine Untersuchungshandlungen in der Schweiz durchführen. Muss ein Unternehmen einen Vertreter in der EU benennen (Art. 27 DSGVO), können die europäischen Aufsichtsbehörden ihre Entscheidungen dem schweizerischen Unternehmen über diesen Vertreter zustellen, ohne den diplomatischen Weg zu beschreiten.»
Können Unternehmen sowohl in der EU als auch in der Schweiz bestraft werden?
«Können Unternehmen für den gleichen Fall sowohl von der Schweiz, als auch von Seiten EU sanktioniert werden?»
Antwort:
«Diese Möglichkeit ist nicht auszuschliessen. Der Grundsatz ne bis in idem (Verbot der doppelten Strafverfolgung) könnte jedoch zur Anwendung kommen, wenn Geldbussen der EU und strafrechtliche Sanktionen der Schweizer Strafverfolgungsbehörden zusammentreffen.»
Können Schweizer Unternehmen in der EU trotz Einhaltung von schweizerischem Recht bestraft werden?
«Können Unternehmen von der EU oder deren Mitgliedsstaaten sanktioniert werden, obwohl sie schweizerisches Recht einhalten?»
Antwort:
«Ja, wenn sie der DSGVO unterstehen und deren Vorschriften verletzen.»
Welche Rolle spielt das schweizerische Recht im Rahmen der DSGVO?
«Die DSGVO verweist an vielen Stellen auf das Recht der Mitgliedsstaaten. Welche Rolle spielt dabei das schweizerische Recht?»
Antwort:
«Die Schweiz ist kein Mitgliedstaat im Sinn der DSGVO. Dies gilt unabhängig davon, dass dieser Rechtsakt gemäss seinem Art. 3 Abs. 2 auf schweizerische Unternehmen direkt Anwendung finden kann. Die Verweisungen auf das Recht der Mitgliedstaaten umfassen das schweizerische Recht nicht, welchem folglich auch keine Rolle zukommt.
Beibehaltung von Angemessenheitsbeschlusses als vorranges Ziel
Ausserdem betonte der Bundesrat, dass die Beibehaltung des Angemessenheitsbeschlusses der EU ein vorrangiges Ziel ist. Bei diesem Beschluss geht es darum, dass die Europäische Kommission das Datenschutzrecht in der Schweiz auch in Zukunft als angemessen beurteilt, damit der Austausch von Personendaten zwischen der EU und der Schweiz nicht erschwert wird.
«Wird die EU die Äquivalenz der Schweizer Datenschutz-Gesetzgebung weiterhin anerkennen?»
Antwort:
«Die Beibehaltung des Angemessenheitsbeschlusses der EU ist für den Bundesrat ein vorrangiges Ziel. […] Wann die Europäische Kommission die Angemessenheit des schweizerischen Datenschutzrechts erneut überprüfen und ob das Resultat positiv ausfallen wird, ist heute nicht vorhersehbar. Damit die Schweiz die bestehende Angemessenheitserklärung beibehalten kann, muss sie ein vergleichbares Schutzniveau aufweisen wie die EU. Der Ausgang der Prüfung hängt wesentlich von den Entscheidungen des Parlaments im Rahmen der Revision der schweizerischen Datenschutzgesetzgebung ab.
Da die SPK-N beschlossen hat, die Vorlage aufzuteilen und in zwei Etappen zu beraten […], sind Verzögerungen wahrscheinlich. Kommt die Europäische Kommission bei ihrer nächsten Prüfung des schweizerischen Datenschutzrechts zum Schluss, dass dieses – weil das DSG noch nicht revidiert worden ist – kein angemessenes Schutzniveau mehr gewährleistet, kann sie den Angemessenheitsbeschluss widerrufen, ändern oder aussetzen. Dies hätte für die schweizerische Wirtschaft und insbesondere die KMU nachteilige Folgen. Personenbezogene Daten aus der EU könnten nicht mehr ohne weiteres in die Schweiz übermittelt werden, sondern es müssten zusätzliche sichernde Massnahmen getroffen werden. So müssten sich Schweizer Unternehmen etwa gegenüber Unternehmen aus der EU vertraglich verpflichten, das europäische Datenschutzniveau zu wahren.»
Die EU könnte versuchen, den Angemessenheitsbeschluss als weiteres Druckmittel gegen die Schweiz im Streit um ein «Rahmenabkommen» und die weitere Übernahme von EU-Recht einzusetzen.
Bild: Pixabay / GregMontani, Public Domain.