Die Ausgangslage war praktisch identisch. Sowohl in der EU als auch in der Schweiz galten bislang Datenschutzregeln aus den 1990er-Jahren, der Steinzeit des Internets sozusagen. Doch heute tritt in der EU die sogenannte Datenschutz-Grundverordnung in Kraft, während in der Schweiz die Politik wohl noch mehrere Jahre um ein modernes Datenschutzgesetz ringen wird.

«Mit den neuen Vorschriften erlangen die Menschen in Europa die Kon­trolle über ihre Daten zurück», jubilierte EU-Justizkommissarin Vera Jourova mit Blick auf den heutigen Start. Personendaten seien schliesslich das Gold des 21. Jahrhunderts. Selbst die Briten wollen auch nach dem Brexit den EU-Standard beibehalten. Sie hoffen trotz EU-Austritt, in den neuen Datenschutzaufsichtsbehörden mit am Tisch sitzen bleiben zu können.

In der Schweiz dagegen hat die zuständige Kommission des Nationalrats entschieden, die ursprünglich vom Bundesrat parallel zur Reform in der EU lancierte Totalrevision der Datenschutzregeln aufzusplitten. In einen ersten Teil, der den Datenschutz im Umgang mit Polizei und Strafverfolgungsbehörden regelt. Und einen zweiten Teil, der den Datenverkehr zwischen Bürgern und ­allen anderen Behörden sowie zwischen Kunden und Unternehmen betrifft.

Zuerst geht es um Schengen

Der erste Teil gilt als relevant für das Schengen-Abkommen. Er muss von der Schweiz möglichst rasch übernommen werden, wenn sie nicht die Mitgliedschaft im gemeinsamen europäischen Grenzraum gefährden will. Wenn sich der Nationalrat in der Sommersession dem Antrag seiner Kommission anschliesst und danach auch der Ständerat an der Aufsplittung festhält, dürfte der erste Teil der Datenschutzreform laut Kommissionspräsident Kurt Fluri bis Ende dieses Jahres beschlossen sein.

Offen hingegen ist der Zeithorizont für den zweiten und wichtigeren Teil des neuen Datenschutzgesetzes. Die Kommission ist derzeit erst daran, Experten anzuhören. Die Detailberatung hat noch nicht begonnen. Laut Kurt Fluri wird momentan eine Inkraftsetzung bis ins Jahr 2020 angepeilt. Es könne aber durchaus länger dauern. Unter anderem, weil umstritten ist, ob überhaupt und wie weitgehend sich die Schweizer Totalrevision an der EU-Reform orientieren soll. Auf Kritik stösst in der Schweiz nicht zuletzt der Sanktions­mechanismus der EU. Es drohen sehr hohe Strafen, wenn ein Unternehmen zum Beispiel ein Datenleak nicht rechtzeitig den Aufsichtsbehörden meldet.

Der Eidgenössische Datenschutzbeauftragte Adrian Lobsiger gehört zu jenen in der Schweiz, welche die Aufteilung und die dadurch verursachte Verzögerung bei der Modernisierung des Datenschutzes bedauern. Das Schweizer Datenschutzgesetz sei noch auf dem Stand von 1993, sagt Lobsiger: «Die Schweizer Bevölkerung sollte auch ein eigenes zeitgemässes Gesetz bekommen, um in der digitalen Welt angemessenen Schutz zu geniessen.» Der Datenschutzbeauftragte erhofft sich in den nächsten Monaten Klarheit. Ein moderner Datenschutz sei im souveränen Interesse der Schweiz. Es gehe nicht darum, einfach die EU-Vorlage abzuschreiben.

Wenn Brüssel genauer hinschaut

Adrian Lobsiger sieht durchaus Spielraum für das Parlament, gerade beim Sanktionsteil. Wer allerdings die Modernisierung der Datenschutzregeln grundsätzlich infrage stelle, werfe dem Bundesrat unnötig Knüppel zwischen die Beine. Und zwar mit Blick auf die bilateralen Beziehungen zur EU.

Je nach Entwicklung droht der Schweiz beim Datenschutz ein neuer Konflikt mit der EU. Die neue Verordnung schreibt nämlich vor, dass die EU-Kommission innert nützlicher Frist die bestehenden Angemessenheitsbeschlüsse mit Drittstaaten überprüft. Im Fall der Schweiz hat die EU im Jahr 2000 ein angemessenes Datenschutzniveau festgestellt. Diese Bescheinigung ist für Firmen wichtig, die Daten in die Schweiz transferieren, dort speichern und verarbeiten wollen.

Die EU-Kommission sei verpflichtet, das Datenschutzniveau in der Schweiz fortlaufend zu evaluieren, heisst es im Schweizer Justizdepartement. Stelle die EU fest, dass das Datenschutzniveau der Schweiz nicht mehr angemessen sei, könne sie den Angemessenheitsbeschluss widerrufen. Der genaue Zeitpunkt der nächsten Evaluation sei jedoch nicht bekannt, heisst es in Bern.

In Brüssel ist die Rede von einer Frist von zwei Jahren. Die Schweiz hätte also bis 2020 Zeit, ihre veralteten Datenschutzregeln europatauglich zu gestalten. Sonst droht der Schweiz ähnlich wie bei der Diskussion um die Äquivalenz der Börsenregeln ein böses Erwachen. Wenn der freie Fluss der Daten gefährdet ist, steht aber mit Blick auf die kommende Digitalwirtschaft einiges mehr auf dem Spiel.

Die neuen EU-Regeln helfen

auch Schweizer Konsumenten

Das staatliche spanische Eisenbahnunternehmen teilt mit, dass ab heute neue Regeln für den Datenschutz gelten. Eine Hotelkette mit Sitz in Deutschland bittet um Erlaubnis, die E-Mail-Adresse auch in Zukunft speichern zu dürfen. Ein grosses Nachrichtenportal will wissen, ob man seinen Newsletter wirklich weiterhin erhalten will.

Die meisten Schweizerinnen und Schweizer haben in den letzten Tagen und Wochen eine Flut von E-Mails erhalten, in denen ihnen von unterschiedlichsten Absendern mitgeteilt wurde, dass die neuen Regeln der EU zum Datenschutz per 25. Mai in Kraft treten. Das zeigt: Die Anpassungen in der EU haben hierzulande schon jetzt Auswirkungen. Und das, obwohl die Schweiz die EU-Regeln nicht übernommen hat und obwohl die Erneuerung der hiesigen Datenschutzgesetze voraussichtlich noch mehrere Jahre dauern wird.

Ein Recht auf Information

Die neuen EU-Regeln gelten für den Umgang mit Personendaten. Sie kommen sowohl innerhalb als auch ausserhalb des Gebiets der EU zur Anwendung und unabhängig von Staatsangehörigkeit oder Wohnsitz der Betroffenen. Zum Beispiel dann, wenn die Daten einer Schweizerin aus Bern von einem Onlineshop in der EU bearbeitet werden. Oder wenn ein Schweizer Hotel Daten von Gästen aus der EU auswertet. Deshalb müssen sich seit heute auch viele Schweizer Unternehmen an die neuen Regeln halten – und zwar immer dann, wenn sie mit Kunden aus der EU zu tun haben. Die meisten werden deshalb die Regeln für alle Kunden anwenden. Schweizer Konsumenten profitieren so als Trittbrettfahrer vom schärferen Datenschutz aus Brüssel.

Die Grundidee der neuen EU-Regeln ist, dass die Bürger mehr Kontrolle über ihre Daten erhalten und die Unternehmen mehr Verantwortung für den Umgang mit diesen Daten übernehmen müssen. So muss ein Unternehmen seine Kunden zum Beispiel zwingend vorgängig darüber informieren, welche persönliche Daten es sammelt und was es damit vorhat. Die Kunden müssen dem Sammeln ausserdem zustimmen. Das ist der Grund für die meisten der vielen freundlichen E-Mails, die in letzter Zeit versandt worden sind.

Weiter hat der Kunde das Recht, Auskunft zu den über ihn gesammelten Daten zu verlangen. Das Unternehmen muss ihm die Daten auf Anfrage zur Verfügung stellen. Der Kunde kann zudem verlangen, dass diese angepasst oder vollständig gelöscht werden. Ein solches Auskunftsrecht kennt die Schweiz allerdings bereits. Verstossen Unternehmen gegen die Datenschutzregeln der EU, drohen ihnen harte Strafen. Möglich sind Bussen bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes. Zum Vergleich: In der Schweiz können Verstösse gegen das Datenschutzgesetz heute mit maximal 10'000 Franken gebüsst werden.

Luca De Carli

(Tages-Anzeiger)