Die Schweiz will ihr Datenschutzrecht revidieren. Dies einerseits, um den internationalen Standards gemäss der gerade modernisierten Datenschutzkonvention 108 des Europarats zu genügen und andererseits, um die für die Wirtschaft sehr wichtige Äquivalenz mit der EU-DSGVO zu bewahren. Der Bundesrat veröffentlichte dazu im September 2017 die entsprechende Gesetzesvorlage. Dieser Kurs wird von SwissHoldings explizit begrüsst. Damit Mehrbelastungen durch unterschiedliche Datenschutzniveaus minimiert werden und die Schweiz im agilen Digitalregulierungsumfeld nicht den Anschluss verliert, gilt es die Arbeiten an der Revision nun zügig voranzubringen.
Mit dem Abschluss der Arbeiten an der Datenschutzkonvention 108 des Europarats im Mai 2018 wurde unter Mitwirkung auch der Schweizer Experten europaweit – und weit darüber hinaus – eine Einigung darüber erzielt, welchen Minimalstandards der Datenschutz im digitalen Zeitalter zu genügen habe. Unsere Unternehmen, wie auch vor allem forschungsorientierte KMU, brauchen umgehend Klarheit darüber, wie diese Prinzipien in der Schweiz umgesetzt werden. Ein gleichwertiges Datenschutzniveau wie die EU wird von der Schweiz auch im Kontext der bilateralen Schengen-/Dublin-Abkommen verlangt.
Verharren auf veraltetem Schweizer Datenschutzgesetz für die Wirtschaft nachteilig
Bereits im September 2017 hat der Bundesrat eine entsprechende Botschaft an das Parlament verabschiedet, die sich im Wesentlichen am Schutzniveau der Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) orientiert, zugleich aber viele vermutungsweise die Äquivalenz nicht gefährdende Spielräume nutzt. Der vom Bundesrat eingeschlagene Kurs wird von SwissHoldings explizit begrüsst, da die Behinderung des Datenaustausches mit der EU angesichts des bereits erreichten Grads der Digitalisierung unverhältnismässig schwere Nachteile mit sich zöge. Auch darf mit dem Aufdatieren nicht zugewartet werden. Die innovativen Kräfte in der schweizerischen Wirtschaft – Grosskonzerne wie auch KMU – sind darauf angewiesen, rasch die Rahmenbedingungen für ihren Umgang mit Personendaten zu kennen. Grenzüberschreitend tätige Unternehmen haben ihre Datencompliance ohnehin bereits auf die Anforderungen der EU ausrichten. Ein überlanges Verharren auf dem veralteten schweizerischen Datenschutzniveau bringt unserem Standort überwiegend Nachteile. Bereits jetzt spüren hiesige Firmen, dass sich der Wind diesbezüglich gegen sie dreht.
Rascher Schweizer Beitritt zur Europaratskonvention 108 ist angezeigt
Im aktuell sehr agilen Digitalregulierungsumfeld, in dem Investitionsentscheide namentlich im F&E-Umfeld und bei Startups aufgrund der Faktoren Zukunftsträchtigkeit, Einhaltung von Standards und Stabilität getroffen werden, hätte eine Isolierung der Schweiz gerade beim Datenschutz sehr negative Folgen. Deshalb ist als vertrauensbildende Massnahme der Beitritt zur modernisierten Europaratskonvention 108 zum Datenschutz umgehend an die Hand zu nehmen. Zudem ist die Erneuerung der EU-Datenschutzäquivalenz von grösster Bedeutung. Ein Verlust der formellen Gleichwertigkeit wäre für den Digitalstandort Schweiz ein schwerer Schlag und würde die meisten Unternehmen, insbesondere auch KMU, mit grossen administrativen Aufwänden unverhältnismässig belasten.
Das Schweizer Parlament hatte einen zuerst zu beratenden Teil betreffend die Verpflichtungen aus den Schengen-/Dublin-Abkommen abgespaltet, um wenigstens in diesem Bereich à jour zu sein. Das Aufdatieren insgesamt darf dadurch aber auf keinen Fall verzögert werden. Das für die Unternehmen unverzichtbare Fortbestehen der Anerkennung der Datenschutzäquivalenz durch die EU-Kommission kommt sonst in ernsthafte Gefahr. Als wäre die Materie nicht schon rein sachlich als Eckpfeiler der Digitalregulierung schwierig genug, würde bei einem Verlust unnötig auch noch prozedurale Komplexität mit entsprechend höheren Verwaltungskosten für die europaorientierten Unternehmen und eine weitere europapolitische Baustelle provoziert.
Datenschutzäquivalenz steht auf der Kippe
Effektiv hat die EU-Kommission bereits mit ihrem nüchtern technisch aufgesetzten Verfahren begonnen, die Schweiz auf Gleichwertigkeit mit der EU-DSGVO zu überprüfen. Die EU-Behörden führen diesen Prozess gleichzeitig mit den übrigen Drittstaaten auf Basis eines einheitlichen Massstabes. Es dürfte recht offensichtlich sein, dass das aktuelle, nicht revidierte Schweizer Datenschutzgesetz von 1992 für die Aufrechterhaltung der Äquivalenz kaum noch ausreichend ist. Auch genügt es für ein Unternehmen keineswegs, sich bloss individuell an das Niveau-der EU-DSG-VO zu halten. Das Schweizer Datenschutzgesetz als Ganzes muss von der EU als äquivalent anerkannt sein. Die Veröffentlichung des EU-Berichts über sämtliche Äquivalenzbeschlüsse mit Drittstaaten im Mai 2020 wird zu einem Zeitpunkt erfolgen, an dem beim aktuell vom Parlament angeschlagenen Tempo ein gesicherter Ausgang noch lange nicht erreicht ist. Die Schweiz wird realistisch betrachtet grosse Mühe haben, unter den aktuellen Vorzeichen die EU rechtzeitig von der Gleichwertigkeit zu überzeugen.
Weitere Informationen
Weitere Informationen zur modernisierten Datenschutzkonvention 108 des Europarats und zur EU-Datenschutzäquivalenz finden Sie im neuen Q&A-Papier von SwissHoldings.
