«Die Revision des Datenschutzrechts wird Profiling 
erschweren»

Werbewoche: Mit dem Vorentwurf des neuen Datenschutzgesetzes in der Schweiz ist eine umfassende Revision des geltenden Rechts zu erwarten. Braucht es denn ein neues Datenschutzgesetz?

Lukas Bühlmann: Mit dem vorgeschlagenen Entwurf will der Bundesrat unter anderem den veränderten technologischen und gesellschaftlichen Verhältnissen Rechnung tragen. Dies ist im Grundsatz sinnvoll, sofern es letztlich zu mehr Rechtssicherheit für die Unternehmen führt. Darüber hinaus soll die Transparenz von Datenbearbeitungen verbessert und die Selbstbestimmung der betroffenen Personen über ihre Daten gestärkt werden. Hier besteht unmittelbarer Handlungsbedarf aufgrund der völkerrechtlichen Verpflichtung der Schweiz, die Anforderungen der revidierten Datenschutzkonvention des Europarats (SEV 108) zu erfüllen. Zudem hat bekanntlich auch die EU ihr Datenschutzrecht grundlegend überarbeitet. Diese Veränderungen zwingen auch die Schweiz dazu, die datenschutzrechtlichen Vorgaben anzupassen. Denn aus gesamtwirtschaftlicher Sicht ist es zentral, dass das Niveau des Schweizer Datenschutzes auch in Zukunft durch die EU als angemessen und gleichwertig beurteilt wird. Diese Beurteilung ist eine zwingende Voraussetzung für einen reibungslosen, funktionierenden Datenaustausch mit den europäischen Nachbarländern. Vor diesem Hintergrund braucht es eine Revision des Schweizer Datenschutzgesetzes und eine Annäherung an die neuen EU-Vorschriften. Allerdings ist es keinesfalls erforderlich, über die Vorgaben des EU-Rechts hinauszugehen.

Soeben wurde die Vernehmlassung für den Vorentwurf des neuen Datenschutzgesetzes abgeschlossen. Gab es etwas zu bemängeln?

Die umstrittenste Neuerung ist sicher das Vorhaben, auf die Einführung von Verwaltungssanktionen zu verzichten und stattdessen die strafrechtliche Verantwortung der mit Datenbearbeitungen in den Unternehmen befassten natürlichen Personen auszubauen und zu verschärfen. Die vorgesehenen Sanktionen sollen sich also unverständlicherweise primär an die Mitarbeiter und nicht an das Unternehmen, in dessen Interesse die Datenbearbeitungen erfolgen, richten. Diese Sanktionen sollen Bussen – maximal CHF 500 000 bei Vorsatz und 250 000 bei Fahrlässigkeit– und/oder sogar Freiheitsstrafen beinhalten.
Dieses vorgesehene Sanktionssystem steht der «Digitalen Strategie» der Schweiz diametral entgegen. Es ist in höchstem Mass innovationshemmend und etabliert eine Kultur des Denunziantentums in den Unternehmen. Es führt auch zu einem ganz erheblichen Standortnachteil der Schweiz. Kein innovatives digitales Start-up wird bereit sein, seine Gründer und Mitarbeiter solch drastischen strafrechtlichen Risiken auszusetzen. Gute Mitarbeiter werden nicht mehr bereit sein, Verantwortung in den Unternehmen mitzutragen. Insbesondere aufgrund der vorgesehenen Strafbarkeit fahrlässigen Verhaltens wird potenziell jeder Mitarbeiter durch heute alltägliche Verrichtungen am Arbeitsplatz ständig Gefahr laufen, sich strafbar zu machen. Dies ist meines Erachtens auch gesellschaftspolitisch nicht akzeptabel. Gleichzeitig wären die Sanktionen gegenüber Datenbearbeitungen durch ausländische Unternehmen faktisch nicht durchsetzbar, was sodann einerseits den Datenschutz in der Schweiz nicht erhöht und andererseits ausländischen Unternehmen einen immensen Wettbewerbsvorteil verschafft.

Heisst das beispielsweise, dass der IT- Verantwortliche und nicht das Unternehmen gebüsst wird?

So wie es im Entwurf vorgesehen ist – ja. Problematisch am vorgeschlagenen Sanktionssystem ist auch, dass mit dem Verzicht auf Verwaltungssanktionen wiederum ein Sonderweg im Vergleich zur Regelung in der EU-DSGVO eingeschlagen wird. Der Entwurf der neuen Datenschutz-Konvention verlangt nämlich sowohl gerichtliche als auch nicht-gerichtliche Sanktionen. Hier wird eine Unsicherheit im Hinblick auf die Angemessenheit des Schweizer Datenschutzrechts geschaffen, und dies entspricht einem gesetzlich nicht notwendigen «Swiss-Finish».

Welche Neuerung betrifft die Werbebranche am stärksten?

Neben der Einführung einer generellen aktiven Informationspflicht bei der Datenbearbeitung, bei deren Verletzung nota bene drastische Sanktionen drohen, ist die vorgeschlagene Regelung zum Profiling besonders einschneidend für die Werbebranche. Die Bestimmung sieht vor, dass Profiling per se eine Persönlichkeitsrechtsverletzung darstellt und deshalb regelmässig eine Einwilligung erforderlich sein wird. Diese muss darüber hinaus «ausdrücklich» erteilt werden. Hinzu kommt, dass der Begriff «Profiling» im Gesetzesvorschlag viel zu weit gefasst und zu wenig konkret beschrieben wird. Insbesondere soll auch ein Profiling, das nicht auf Personendaten basiert, von der Regelung erfasst sein. Die Regelung schiesst weit über das Ziel hinaus und ist zudem eine (unnötige) Verschärfung gegenüber den europäischen Reformbestrebungen. Für Werbeaktivitäten, insbesondere personalisiertes Marketing, sowie Big Data hätte diese Bestimmung erhebliche negative Auswirkungen. Damit ist nicht nur die DM-Branche betroffen, sondern alle Wirtschaftszweige und deren Unternehmen. Ausländische Anbieter, die durch diese strengen Schweizer Vorschriften faktisch nicht bedroht wären, könnten durch diese Bestimmung allenfalls einen Wettbewerbsvorteil erlangen. Ein weiteres Beispiel, wie der vorgeschlagene Entwurf zu Standortnachteilen für die Schweizer Wirtschaft führen würde.

Wie will das Gesetz in der Schweiz Big Data regulieren? Das scheint unmöglich.

Der Bundesrat betont zwar, dass Big Data in verschiedener Hinsicht eine Herausforderung für den Datenschutz darstellt. Zum gegenwärtigen Zeitpunkt bestehe aber zu wenig Klarheit über die konkreten Auswirkungen. Das Thema «Big Data» wurde daher nur punktuell angegangen, und eine Gesamtregelung fehlt. Die fehlende Rechtssicherheit wirkt sich negativ auf Werbeaktivitäten und insbesondere auf personalisierte Werbung aus. Was bleibt, ist ein grosser Graubereich. Mit den vorgesehenen strengeren Sanktionsmöglichkeiten, dem Ziel, die Anzahl Datenschutzverletzungsverfahren zu erhöhen, und mit dem Ausbau der Kompetenzen der Datenschutzbehörden wäre dies für die Schweizer Wirtschaft keine gute Nachricht.

Wie verhält es sich mit der Einwilligung für Datenbearbeitungen zu Werbezwecken? Gelten künftig strengere Anforderungen?

Diese Frage wird in der Vorlage des Bundesrats nicht klar beantwortet. Der Vorschlag ist in diesem Punkt widersprüchlich. So wird das Gesetz zwar an die Terminologie der EU- Regelung angepasst. Jedoch fehlt eine Klarstellung, ob damit künftig auch die gleichen Anforderungen an eine gültige Einwilligung gelten sollen wie in der EU. Die Übernahme dieser strengen Vorgaben hätte eine erhebliche Verschärfung im Vergleich zur geltenden Rechtslage zur Folge. Beispielsweise wären die aktuell in der Schweiz häufig anzutreffenden, bereits vorangekreuzten Check-Boxen künftig auch in der Schweiz verboten. Die Kunden müssten diese Check-Boxen aktiv ankreuzen. Zudem sieht die DSGVO ein sogenanntes Kopplungsverbot vor. Es soll z.B. nicht mehr erlaubt sein, die Teilnahme an Gewinnspielen von der Zustimmung zur Verwendung der Teilnehmerdaten für Werbezwecke abhängig zu machen. Eine derart strenge Regelung ist meines Erachtens jedenfalls mit Blick auf die Angemessenheit des Schweizer Datenschutzrechts nicht zwingend erforderlich und daher abzulehnen.

Was bedeutet der Ausbau der Kompetenzen der Datenschutzbehörden?

Im Vergleich zum bisherigen Gesetz sollen die Kompetenzen der Aufsichtsbehörde verstärkt werden. Damit wird insbesondere das Ungleichgewicht zwischen betroffenen Personen und den Datenbearbeitern ausgeglichen. Die vorgeschlagenen Bestimmungen räumen dem EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) zusätzliche Untersuchungs- und Verfügungskompetenzen ein und schaffen neu eine direkte Verfügungskompetenz. Nichtbeachtung der Verfügungen würde mit hohen Bussen bestraft. Besonders problematisch ist dabei die Regelung, dass Rechtsmittel gegen vorsorgliche Massnahmen des EDÖB generell keine aufschiebende Wirkung haben sollen. Da die Einstellung oder Anpassung von Datenbearbeitungen während der ungewiss langen Dauer eines Verfahrens massive Schäden für die Unternehmen verursachen kann, muss ihnen zumindest die Möglichkeit gegeben werden, vor Gericht die aufschiebende Wirkung zu beantragen.

Gibt es im Datenschutz keine Selbstregulierung oder Kriterien der Fairness?

Die diskutierten Detailregelungen, die verbindlich im DSG oder im Sinn einer Selbstregulierung («Gute Praxis») eingeführt werden, sind umstritten. Bereits heute bestehen funktionierende Selbstregulierungen in unterschiedlichsten Wirtschaftsbereichen. Diese müssten alle neu bewertet und vom EDÖB genehmigt werden. Dies führt für die Unternehmen zu einem zweischneidigen Ergebnis. Empfehlungen der «Guten Praxis» können bei der Umsetzung der Pflichten auf die Bedürfnisse der betreffenden Branche helfen. Die Empfehlungen sind vom EDÖB zu genehmigen und lassen hohe Standards erwarten. Da die genehmigten Empfehlungen aber faktisch zum Gesetz würden, könnte sich ein wachsendes und feingesponnenes Regelwerk rund um das Gesetz entwickeln. Bei Nichteinhaltung der Empfehlung würde eine Gesetzesverletzung faktisch vermutet. Im Grundsatz sind aber selbstregulierende Massnahmen einer starren und übermässig detaillierten Gesetzgebung vorzuziehen.

Im Vorgespräch haben Sie erwähnt, dass Betroffene bei Datenschutzverletzungen künftig kostenlos klagen dürfen.

Die Rechte der betroffenen Person werden stark ausgebaut. Das Auskunftsrecht ist im geltenden Recht umfassend und wird nur leicht ausgebaut. Die übrigen Ansprüche (Recht auf Vergessen, Löschungsrecht, Berichtigungsrecht, Bestreitungsvermerk) ändern sich gegenüber dem geltenden Recht nicht erheblich. Eingeführt werden soll der Erlass von Verfahrenskosten (Gerichtsgebühren) bei der zivilrechtlichen Verfolgung von Datenschutzverletzungen. Vielleicht ein Kind der Bestrebungen, die Anzahl von Datenschutzverletzungsverfahren zu erhöhen.

Was sollten Unternehmen in der Schweiz jetzt schon vorkehren? Haben Sie Handlungsempfehlungen?

Insbesondere grenzüberschreitend tätigen Unternehmen ist zu empfehlen, ihre Datenbearbeitungen im Licht der künftigen EU-Regelungen zu überprüfen. Der räumliche Anwendungsbereich der EU-DSGVO ist sehr weit gefasst, sodass auch eine Vielzahl von Unternehmen ohne Niederlassung in der EU den Vorgaben unterworfen sind. Die künftige Regelung steht bereits definitiv fest und gilt ab dem 25. Mai 2018. Demgegenüber muss in der Schweiz davon ausgegangen werden, dass die vorgeschlagene Revision noch einer Vielzahl von Änderungen unterworfen wird, was aber auch zwingend notwendig ist. Insofern ist aktuell noch völlig unklar, wie die künftige Rechtslage ausgestaltet sein wird. Der vorliegende Gesetzesentwurf stellt in der aktuellen Ausgestaltung jedenfalls eine grosse Bedrohung für die «Digitale Wirtschaft» in der Schweiz dar.

Interview: Heinz Schopfer

Dieses Interview wurde in der Werbewoche 6/2017 vom 24. März 2017 publiziert. Ein Abo zu Ostern? Hier.