Jetzt gilt’s ernst beim Datenschutz

KMU ⋅ Ende Mai tritt in der EU eine neue Verordnung in Kraft, die Konsumenten besser schützen soll. Unternehmen – auch solche aus der Schweiz – riskieren hohe Bussen.
10. Januar 2018, 00:00

Maurizio Minetti

Es ist nicht nur für Wirtschaftskanzleien eines der wichtigsten Themen im Moment: die neue Datenschutz-Grundverordnung der EU, die unter der sperrigen Abkürzung DSGVO bekannt ist. Das Regelwerk gilt ab Ende Mai dieses Jahres und hat zum Ziel, die Daten von EU-Bürgern besser zu schützen als bisher.

Firmen, die gegen die neuen Datenschutzregeln verstossen, droht eine Geldstrafe von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Das kann zum Beispiel dann der Fall sein, wenn eine Firma wegen ungenügender Sicherheitsvorkehrungen gehackt wird und die Kundendaten danach im Internet landen.

Grosser Aufwand für kleine Firmen

Die neuen Regeln gelten nicht nur für Firmen in der EU – auch Schweizer Unternehmen sind betroffen. Jede hiesige Firma, die Kunden im EU-Raum bedient, muss ab Mai mit einer Busse rechnen, selbst wenn sie dort keine Niederlassung hat. Ueli Grüter, Rechtsanwalt und Dozent an der Hochschule Luzern, warnt vor gravierenden Folgen für Schweizer Unternehmen. Er erklärt: «Nach dem sogenannten Marktort- oder auch Auswirkungsprinzip kommt die Verordnung auch bei Schweizer Unternehmen zur Anwendung, wenn ihre Datenverarbeitung dazu dient, betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten.»

Es reicht also bereits, wenn eine Schweizer Firma eine Website betreibt, um ihre Leistungen auch für Kunden aus der EU zu bewerben. Auch der Kleingewerbler, der einen in der EU stationierten Dienst zum Versand eines Newsletters verwendet, ist betroffen. Gravierende Folgen könnte zum Beispiel ein Datenleck bei einer Schweizer Bank haben oder bei einem Online-Händler, der Preise in Euro angibt. Schon heute verursacht die neue EU-Verordnung Arbeit für Schweizer Unternehmen. «Sie müssen umfassende neue Strukturen und Prozesse schaffen, um den Vorgaben der Verordnung zu entsprechen», erklärt Ueli Grüter. Die Verordnung verlangt unter anderem eine Analyse der Datenschutzrisiken, umfassende Informationspflichten bei der Datenerhebung, striktere Löschpflichten und ein Recht auf Vergessenwerden, um nur einige Vorgaben zu nennen.

Grosskonzerne werden weniger Mühe haben, die Vorgaben zu erfüllen, da sie eingespielte Compliance-Abteilungen haben. «KMU werden diese Möglichkeit nicht haben», sagt Dieter Kläy vom Schweizerischen Gewerbeverband: «Sie müssen individuell abschätzen, wo und in welchem Masse sie betroffen sind, und dann die entsprechenden Vorkehrungen treffen.» Dem pflichtet Anwalt Ueli Grüter bei. «Wir beraten selber KMU im Hinblick auf die Verschärfung des Datenschutzes. Dabei handelt es sich um KMU, die diesbezüglich bereits Basisarbeit geleistet haben. Das verursacht immer noch Kosten von ein paar tausend Franken. Dazu kommen die unternehmensinternen Aufwendungen.»

Schweizer Gesetz wird angepasst

Nach Meinung von Grüter sollten sich Firmen schon jetzt auf die schärferen Regeln vorbereiten, denn es ist anzunehmen, dass der Datenschutz hierzulande im Rahmen der laufenden Revision des Schweizerischen Datenschutzgesetzes (DSG) auf ein ähnliches Niveau gehievt wird. «Auch wenn der künftige Schweizer Datenschutz weniger rigide sein dürfte, wohl auch weniger drastische Bussen vorsehen wird, bewegt sich der Datenschutz in Richtung der EU-Verordnung», sagt Grüter.

Der Bundesrat hat die entsprechende Botschaft im September 2017 vorgelegt. Die Staatspolitische Kommission des Nationalrats entscheidet voraussichtlich noch diese Woche über das Eintreten auf die Vorlage.

Der Stiftung für Konsumentenschutz geht die geplante Revision des Schweizer Datenschutzgesetzes in vielen Bereichen zu wenig weit. Sie moniert etwa zu viele Ausnahmen und Einschränkungen bei der Transparenz, das Fehlen des Rechts auf Vergessen oder dass im Gesetz nicht vorgesehen ist, dass die Konsumenten grundsätzlich ihre Einwilligung geben müssen, wenn Daten gesammelt, ausgewertet und weitergegeben werden. Ausserdem seien die Bestrafungen zu milde. Geschäftsleiterin Sara Stalder räumt aber ein: «Grundsätzlich sind die Anpassungen in der EU eine gute Sache aus Sicht des Konsumentenschutzes, denn sonst hätte sich in der Schweiz nichts bewegt.»

Alles andere als eine Annäherung an das EU-Gesetz wäre für die Schweiz riskant, wie auch der Wirtschaftsdachverband Economiesuisse feststellt. Sprecher Michael Wiesner sagt: «Die Schweiz muss mit ihrem Datenschutz nachziehen, da sonst das Risiko besteht, dass sie aus EU-Sicht als nicht mehr adäquat reguliert gilt», so Wiesner. In anderen Worten: Wie bei der Auseinandersetzung um die Börsenregulierung könnte die EU zum Schluss kommen, dass der Datenschutz in der Schweiz nicht konform ist – «dies hätte einen negativen Einfluss auf den grenzüberschreitenden Datenverkehr», warnt Economiesuisse-Sprecher Wiesner.


Anzeige: