Die Schweiz muss ihr Datenschutzrecht anpassen, damit «die freie Datenübermittlung zwischen Schweizer Unternehmen und solchen in der EU weiterhin möglich bleibt.»
Ohne die Anpassung riskiert die Schweiz, dass die Europäische Union (EU) den Datenschutz in der Schweiz nicht mehr als angemessen beurteilt, weil die Unterschiede zur Datenschutz-Grundverordnung (DSGVO) zu gross sind. In der Folge gäbe es keinen freien Datenverkehr mehr zwischen dem Europäischen Wirtschaftsraum (EWR) und der Schweiz.
Inzwischen ist frühestens 2020 mit einer Inkraftsetzung des neuen beziehungsweise revidierten Datenschutzgesetzes (DSG) zu rechnen, wie die Neue Zürcher Zeitung (NZZ) schreibt:
«Ursprünglich stand die Möglichkeit im Raum, dass der Nationalrat bereits in der kommenden Wintersession [2018] das Gesetz im Plenum hätte beraten können. Doch die Kommission habe zahlreiche Zusatzberichte von der Verwaltung angefordert und die Beratung der ersten grundlegenden Artikel sei sehr zeitintensiv gewesen. […] ‹Das Ziel ist nun aber, das Geschäft bis zur Frühlingssession [2019] fertig zu beraten›, sagt Fluri. Dafür habe die Kommission nun auch zusätzliche Sitzungszeit im Februar eingeplant.»
Danach ist der Ständerat als zweite parlamentarische Kammer am Zug:
«[…] [Ständerätin] Pascale Bruderer […] sagt, man habe das neue Datenschutzgesetz eigentlich bereits im ersten Quartal 2019 beraten wollen und dafür auch zusätzliche Sitzungstermine reserviert. Daraus wird nun nichts. Bruderer will nun im April und Mai die Beratung in ihrer Kommission vorantreiben, damit der Ständerat das komplexe Gesetz zumindest im Sommer 2019 im Plenum besprechen kann. Selbst dann wird es zeitlich eng für eine Inkraftsetzung auf Anfang 2020.»
Die Aussagen von Ständerätin Bruderer kann man so verstehen, dass ein Inkrafttreten allenfalls erst 2021 möglich sein könnte. Erste Verzögerungen hatte es bereits Anfang 2018 gegeben.
In der Praxis orientieren sich heute schon viele Unternehmen in der Schweiz freiwillig an der DSGVO. Zahlreiche schweizerische Unternehmen sind ausserdem gemäss Art. 3 Abs. 2 DSGVO zumindest teilweise zur Umsetzung der DSGVO verpflichtet.
Kann die Schweiz aus den Erfahrungen in der EU lernen?
Immerhin bieten die Verzögerungen die Chance, untaugliche Bestimmungen der DSGVO nicht in das revidierte DSG zu übernehmen. Ein Beispiel ist das Verzeichnis der Bearbeitungstätigkeiten, wie es der bundesrätliche Entwurf in Art. 11 vorsieht. Der Entwurf übernimmt das Verzeichnis der Verarbeitungstätigkeiten gemäss Art. 30 DSGVO.
Anwaltskollege und «Datenschutz-Guru» Stephan Hansen-Oest erklärt in seinem Podcast, wieso solche Verarbeitungsverzeichnisse in der Praxis – wie auch schon vor der DSGVO! – nicht funktionieren:
«Es zeigt sich schon jetzt wieder sehr deutlich: Die Verarbeitungsverzeichnisse funktionieren in der Praxis der Unternehmen nicht. Besser gesagt: Schon wieder nicht.
Denn auch die Verfahrensverzeichnisse nach dem alten BDSG bzw. der damaligen EG-Datenschutz-Richtlinie haben nie wirklich funktioniert. Wenn sie überhaupt früher gemacht wurden, dann sind sie irgendwann verstaubt im Regal bzw. virtuell im Dateiordner verstaubt.
Und wenn ihr euch bzw. das unternehmerische Umfeld mal kritisch betrachtet, bin ich recht sicher, dass euer Verarbeitungsverzeichnis schon jetzt nicht mehr auf dem aktuellen Stand ist.
Und ganz ehrlich: Das ist auch eigentlich nicht schlimm. Rechtspolitisch gehört die Pflicht zur Erstellung von Verarbeitungsverzeichnissen auf den Prüfstand. Sie hat nämlich keinen echten Vorteil für den Schutz von Daten von Betroffenen. Mehr dazu in dieser Podcast-Episode.»
Datenschutz hat nur Aussichten auf Erfolg, wenn das Datenschutzrecht nicht in erster Linie zu noch mehr Bürokratie führt, sondern den Schutz der betroffenen Personen in den Vordergrund stellt.