SwissBanking
Das Online-Magazin der Schweizerischen Bankiervereinigung
2018/04/10 01:10:00 GMT+2

Sektionen

Message
Das Datenschutzgesetz geht in Revision

Das Datenschutzgesetz geht in Revision

Das Datenschutzgesetz wird derzeit überarbeitet, um den internationalen Standards gerecht zu werden. Die SBVg begleitet die Revision in Zusammenarbeit mit economiesuisse.

Daten bestimmen unser Leben, jederzeit und überall. Unternehmen wie auch Privatpersonen haben deshalb ein grosses Interesse daran, den Datenschutz respektiert und vor allem gewährleistet zu wissen. Jeder Bürger und jede Bürgerin sollte über die Verwendung der eigenen Daten selbst bestimmen können sowie die entsprechende Dateneinsicht haben.

Mit den Entwicklungen mithalten

Um sicherzustellen, dass Personen in unserer digitalen Gesellschaft über eine eigene Datenkontrolle verfügen können, müssen wir mit den technischen Entwicklungen einerseits Schritt halten und diese andererseits frühzeitig erkennen. Wie richten wir beispielsweise unseren Datenschutz auf die technischen Entwicklungen des in Zukunft folgenden Quantencomputers aus? Oder wie gestalten wir unseren Datenschutz, um auf dem internationalen Parkett optimal handlungsfähig zu bleiben? Der grenzüberschreitende, digitalisierte Datenverkehr ist heute alltäglich.

Ohne Swiss Finish in zwei Schritten zum Ziel

Die Schengen-Richtlinie und die Europarats-Konvention 108 sind Staatsverträge, welche die Schweiz abgeschlossen hat und umsetzen muss. Dagegen betrifft die revidierte europäische Datenschutz-Grundverordnung (DSGVO oder GDPR für General Data Protection Regulation) im europäischen Zusammenhang auch ohne Umsetzung viele Unternehmen. Sie tritt am 25. Mai 2018 in Kraft. Im Hinblick auf die DSGVO geht es um die Gleichwertigkeit des Datenschutzes in der Schweiz zu demjenigen in der EU, und damit um den auch in Zukunft ungehinderten Datenfluss in Europa. In diesem Umfeld steht die in der Schweiz derzeit laufende Revision des Datenschutzgesetzes, welche die internationale Handlungsfähigkeit sicherstellt und in zwei Schritten erfolgt:

Schritt 1: Der „Schengen-Teil“ wird dazu führen, dass die Schweiz im Bereich Strafverfolgung, Strafvollstreckung und öffentliche Sicherheit im „Schengen-Raum“ handlungsfähig bleibt. Die Schweiz soll beispielsweise weiterhin effizient Daten von europäischen Strafverfolgungsbehörden erhalten können. Das Inkrafttreten des „Schengen-Teils“ ist im ersten Halbjahr 2019 vorgesehen. Wie weit dieser Zeitplan realistisch ist, wird sich zeigen.

Schritt 2: Der „DSGVO-Teil“ beinhaltet die Annäherung des schweizerischen Datenschutzes an die revidierte DSGVO, mit dem Ziel der Aufrechterhaltung des bestehenden Angemessenheitsbeschlusses der Europäischen Kommission. Dieser Schritt ist aus Schweizer Sicht für Handlungen im europaweiten Datenraum unerlässlich. Gefahr besteht jedoch darin, dass die Schweiz strengere Regeln als nötig aufstellt und umsetzt. Einen solchen „Swiss Finish“ wollen die Schweizerische Bankiervereinigung (SBVg) und economiesuisse verhindern. Das Inkrafttreten des „DSGVO-Teils“ ist derzeit noch offen.

Für die Revision des Schweizer Datenschutzgesetzes hat die SBVg zusammen mit economiesuisse Anpassungsanträge erarbeitet, welche in den Gesetzgebungsprozess eingebracht wurden, und beispielsweise beinhalten:

  • Einheitliche Formulierungen für einheitliches Verständnis
    Damit im Alltag keine Missverständnisse entstehen, sollten Begriffe im Zusammenhang mit dem Datenschutz, wie beispielsweise „Profiling“, europaweit einheitlich beschrieben und interpretiert werden.
  • Für die Unternehmen praktikable Informationspflichten
    Informationen müssen aktuell und leicht zugänglich sowie Informationspflichten einfach umzusetzen sein. Entsprechende online publizierte und verständliche Erläuterungen seitens Unternehmen sollten diesen Bedürfnissen soweit gerecht werden, damit betroffene Personen beispielsweise nicht per Brief über die Beschaffung von Personendaten zu informieren sind. In diesem Sinne müsste auch die Informationspflicht aufgrund automatisierter Einzelentscheidungen und dem „menschlichen Gehör“ geregelt werden.
  • Europäischer Datenraum
    Der Datenfluss muss im europäischen Datenraum einfach möglich sein und darf beispielsweise nicht durch zu differenzierte Informationspflichten erschwert werden.
  • Datenschutz-Folgenabschätzung und Meldung Datensicherheits-Verletzungen
    Auch bei Datenschutz-Folgenabschätzungen und Meldungen von Datensicherheits-Verletzungen sollte der Gesetzgeber ein gesundes Mass wahren und sich bei jeder Regelung vor Erlass zuerst vor Augen führen, wie viel Aufwand damit für Unternehmen geschaffen wird, und wie das gleiche Ziel effizienter erreicht werden kann. Beispielsweise wären Meldungen der Datenschutz-Verletzungen an den internen Datenschutzberater viel pragmatischer als an den Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Ein grundsätzlich positiver Entwurf

Alles in allem ist der Entwurf des Schweizer Datenschutzgesetzes grundsätzlich positiv. Er ist risikobasiert, technologieneutral, gibt uns Handlungsfähigkeit in dem für uns wichtigen europäischen Datenraum, hält am unternehmensinternen Datenschutzberater fest und stärkt mittels der Möglichkeit von Verhaltenskodizes die Selbstregulierung.

Unser Datenschutz in der Zukunft

Zu beantworten bleibt, wie sich unser Datenschutz auf die technischen Entwicklungen des Quantencomputers ausrichtet. Derzeit gibt es erst Prototypen von Quantencomputern; noch sind wir zehn bis 20 Jahre von dieser Entwicklung entfernt. Trotzdem ist unser Datenschutzgesetz aufgrund der Festlegung von Prinzipien wie Datensicherheit, „Privacy by Design“ oder „Privacy by Default“ bereits in den Grundzügen darauf vorbereitet. Dennoch wird die Möglichkeit der parallelen und damit schnelleren Berechnungsmöglichkeiten des Quantencomputers viele neue Regelungen benötigen, um den Datenschutz bei einer Grossdurchsuchung von Datenbanken sicher zu stellen.