Was bedeutet die Revision für die Unternehmen?

Der Bundesrat hat das Eidgenössische Justiz- und Polizeidepartement (EJPD) beauftragt, ihm bis Ende August 2016 einen Vorentwurf für eine Revision des Bundesgesetzes über den Datenschutz (DSG) zu unterbreiten. Dieser soll auch die Datenschutzreformen beim Europarat und der Europäischen Union berücksichtigen. Um die Auswirkungen der Revision abschätzen zu können, hat das Beratungsunternehmen PricewaterhouseCoopers in Zusammenarbeit mit B,S,S. Volkswirtschaftliche Beratung für das EJPD und das Staatssekretariat für Wirtschaft (Seco) eine vertiefte Regulierungsfolgenabschätzung (RFA) vorgenommen. Es wurden eine Analyse der relevanten Literatur, eine Befragung verschiedener Unternehmen und Gespräche mit Fachpersonen durchgeführt.

Kosten von der Ausgestaltung abhängig

Für die RFA wurde die geplante Neuregelung mit dem gegenwärtigen Datenschutzgesetz verglichen. Für die Neuregelung stützte man sich auf einen Bericht der Begleitgruppe Revision Datenschutzgesetz von Oktober 2014 («Normkonzept»).[1] Dieser stellt die wesentlichen Ziele der Revision dar, enthält aber noch keine konkret ausformulierten Gesetzesartikel, so wie sie im zu erwartenden Gesetzesentwurf enthalten sein werden.

Die untersuchten Massnahmen betreffen die Informationspflichten der Unternehmen als Datenbearbeiter gegenüber den betroffenen Personen, Regelungen zur Datenherrschaft und zur unternehmensinternen Datenschutzorganisation sowie den grenzüberschreitenden Datenverkehr. Auch die Regeln zur «guten Praxis», die alternative Streitbeilegung, die Datenschutzaufsichtsbehörde, die kollektive Rechtsdurchsetzung und den Geltungsbereich des Datenschutzgesetzes hat die RFA untersucht.

Die mit der Revision beabsichtigten Änderungen betreffen sämtliche in der Schweiz tätigen Unternehmen. Denn wer Daten bearbeitet, untersteht dem Datenschutzgesetz. Die Unternehmen standen daher im Vordergrund dieser RFA. Wie intensiv sie allerdings betroffen sind, hängt von diversen Faktoren ab, insbesondere von der Art und der Menge der gesammelten Daten und in welcher Weise sie Daten bearbeiten. Für die RFA wurden die schweizerischen Unternehmen daher nach ihrer datenschutzrechtlichen Exponierung segmentiert und durch die Branche und die Grösse operationalisiert.

Rund 335’000 oder 55,1 Prozent der relevanten Unternehmen[2] sind kleine, vorwiegend lokal tätige Firmen, ohne Auslandsbezug, die keine anderen Daten bearbeiten als Kunden-, Lieferanten- und Mitarbeiterdaten. Beispiele sind die lokale Metzgerei oder Schreinerei (Segment A). Rund 265’000 oder 43,5 Prozent machen Unternehmen aus, die innerhalb der Schweiz und auch international mittels Einsatz von Web-IT-Technologien oder Cloud-Dienstleistungen die Kundendaten etwa für Marketing oder Marktanalysen bearbeiten. In diese Gruppe fallen einerseits alle kleinen und mittleren Unternehmen, welche ihre Kundenkontakte primär über elektronische Kanäle vollziehen. Andererseits gehören auch alle grossen Unternehmen dazu und Unternehmen, die mit vielen sensitiven Personendaten arbeiten. Beispiele sind Internetversandhändler, Banken, Arztpraxen, Anwälte und grosse Detailhändler (Segment B). Vergleichsweise gering ist der Anteil der Unternehmen, deren Kerngeschäft die Datenbearbeitung ist und die ihr Geld im Wesentlichen mit Daten verdienen, wie beispielsweise Big-Data- und Cloud-Dienstleister, Profiler oder Web-2.0-Firmen (Segment C). Dies trifft auf rund 8000 kleine bis grosse Unternehmen zu (1,4%).

Für jedes Unternehmen ist das bislang erreichte datenschutzrechtliche Niveau ausschlaggebend dafür, welche Auswirkungen die Datenschutzrevision mit sich bringen wird. Unternehmen, die dem Thema Datenschutz bereits heute entsprechende Aufmerksamkeit widmen und entsprechende Standards erreicht haben, werden die geplanten Massnahmen mit verhältnismässig geringerem Aufwand umsetzen können. Vor dem Hintergrund, dass mit der Revision die Durchsetzung datenschutzrechtlicher Vorgaben gestärkt wird, ist es möglich, dass Unternehmen mit geringerem Datenschutzniveau dem Thema nun mehr Relevanz beimessen.

Anzumerken ist, dass die Daten aus der elektronisch durchgeführten Unternehmensbefragung quantitativ und qualitativ unzureichend waren; auf eine gesamtwirtschaftliche Hochrechnung der Auswirkungen auf Unternehmen musste daher verzichtet werden. Die Gründe des unzureichenden Datenrücklaufs liegen zunächst in der Komplexität des zu revidierenden Datenschutzgesetzes. Zudem scheint die Sensibilität der Mehrheit der schweizerischen Unternehmen betreffend Datenschutz eher gering zu sein. Dies gilt nicht nur bezüglich der Revision, sondern auch hinsichtlich der heute bereits geltenden Rechtslage.

Kosten bei Informationspflichten und Datenherrschaft

Die Unternehmen des Segments A werden nur von wenigen Handlungspflichten tangiert. Deshalb werden sie durch die Revision auch vergleichsweise gering belastet. Allerdings haben einige Fachpersonen im Rahmen der Fachgespräche vorgebracht, dass kleinere und mittlere Unternehmen (KMU) bei gleicher Datenbearbeitungstätigkeit stärker von den datenschutzrechtlichen Verpflichtungen betroffen sind als grosse Unternehmen. Denn ihnen fehle heute tendenziell die notwendige Compliance-Infrastruktur, welche im Verhältnis zu grossen Unternehmen zudem teurer sei. Eine wesentliche Belastung für das Segment A wird aufgrund der erweiterten Informationspflichten erwartet. Die Unternehmen müssen dabei die betroffenen Personen aktiv darüber informieren, dass sie Personendaten beschaffen und was der Zweck davon ist. Wie sie dies tun müssen, ist noch offen. Auch eine generelle Form mittels allgemeiner Geschäftsbedingungen wird diskutiert. Mehrheitlich wird diese Handlungspflicht von den Fachpersonen als nicht besonders kostenintensiv erachtet, vorausgesetzt, die Unternehmen können mittels genereller Erklärung auf ihrer Website oder mit AGB informieren. Die Kosten werden allerdings beträchtlich, wenn jede Person einzeln informiert werden muss.

Zusätzlich soll neu auch darüber informiert werden, wie die Daten bearbeitet werden. Zum Beispiel hat eine Person neu das Recht auf Auskunft, durch welche Angaben und Mechanismen es zu einer gewissen Bonitätseinschätzung von Banken oder Ratingagenturen gekommen ist. Wie hoch die Kosten sind, darüber sind sich die Fachpersonen uneinig. Auch hier hängen die Auswirkungen von der Ausgestaltung der Auskunftspflicht ab. Zudem können die Unternehmen durch die Pflicht zur Berichtigung oder Löschung von Daten stark belastet werden (aufgrund der sogenannten Datenherrschaft): Verlangt eine Person von einem Unternehmen die eigenen Daten zu berichtigen oder gar zu löschen, muss das Unternehmen dafür sorgen, dass die betroffenen Daten nicht nur bei ihm, sondern auch bei allen anderen Unternehmen berichtigt werden, an die es die Daten weitergegeben hat. Ein solcher Prozess kann bei den Unternehmen aller Segmente einen erheblichen Aufwand bewirken. Betroffen sind allerdings nur Firmen, die Daten an Dritte weitergeben.

Die Unternehmen der Segmente B und C sind gegenüber den Unternehmen des Segments A vergleichsweise stark betroffen. Entscheidend wird auch hier sein, wie der Gesetzgeber die im Normkonzept enthaltenen Absichten, welche Basis für diese RFA waren, im Gesetzesentwurf umsetzen wird. Stark betroffen werden die datenexponierten Segmente B und C von der oben beschriebenen Massnahme zur Datenherrschaft sein. Die Erfüllung dieser Pflicht innerhalb des Unternehmens kann mit den heutigen Kosten verglichen werden. Hingegen kann die Pflicht, sicherzustellen, dass auch sämtliche weiteren Unternehmen die erhaltenen Daten berichtigen oder löschen, zu exorbitanten Kosten führen.

Mehr Rechte bedeuten weniger Gratisdienstleistungen

Wie bereits das aktuelle sieht auch das revidierte Datenschutzgesetz gegenüber den Personen, deren Daten bearbeitet werden, keine Verpflichtungen, sondern vielmehr eine Stärkung vor. Die befragten Fachpersonen gehen davon aus, dass die geplanten Massnahmen geeignet sind, die betroffenen Personen zumindest formal dabei zu unterstützen, ihre informationellen Selbstbestimmungsrechte besser ausüben zu können. Dazu dienen verbesserte Auskunftsrechte gegenüber datenbearbeitenden Unternehmen, erhöhte Transparenz und Nachvollziehbarkeit beispielsweise in Bezug auf Methoden der Datenbearbeitung und Datenauswertung, das neu vorgesehene Recht, die eigenen Daten von einem Ort oder Dienst zu einem anderen zu bewegen (Datenportabilität), sowie die ausgebauten Durchsetzungsmöglichkeiten datenschutzrechtlicher Ansprüche.

Inwieweit die betroffenen Personen künftig aus den Neuerungen konkret Nutzen ziehen, wird vor allem davon abhängen, welche Bedeutung die Individuen dem Schutz der eigenen Daten beimessen. In diesem Zusammenhang können datenschutzfreundliche Voreinstellungen (Privacy by Default) zu einem wichtigen Instrument des Datenschutzes werden. Demgegenüber ist damit zu rechnen, dass Unternehmen folglich weniger Daten sammeln und bearbeiten können und weniger unentgeltliche Dienstleistungen wie beispielsweise Gratis-E-Mail-Dienste anbieten.

Marktzugang im Ausland bewahren

Die Gespräche mit den Fachpersonen zu den Auswirkungen auf die Gesamtwirtschaft fokussierten vor allem auf das Thema Wettbewerb. Auf internationaler Ebene könnten für die Schweiz aus zwei Gründen gravierende Wettbewerbsnachteile resultieren: einerseits, wenn die Schweiz aus Sicht der EU den Status eines Landes mit adäquatem Datenschutzniveau verlieren würde, und andererseits, wenn Datenschutzregelungen nur in der Schweiz gelten würden oder restriktiver wären als in der EU und so zu Mehrkosten führen würden.

Innerhalb der Schweiz werden die vorgesehenen Verpflichtungen mehrheitlich als wettbewerbsneutral eingestuft, da alle Unternehmen des gleichen Segments gleich betroffen sind. Demgegenüber blieb in der RFA noch unklar, inwieweit der gestärkte Datenschutz insgesamt zu einem Wettbewerbsvorteil für ein einzelnes Unternehmen führen könnte. Einige Fachpersonen vermuten denn auch, der verbesserte Datenschutz könnte das Vertrauen der Privatpersonen erhöhen und in der Folge zu einer gesteigerten Bereitschaft führen, Daten preiszugeben.

1. Normkonzept zur Revision des Datenschutzgesetzes, Bericht der Begleitgruppe Revision DSG vom 29. Oktober 2014. Der vollständige Bericht ist online verfügbar auf Ejpd.admin.ch. []
2. Die Summe dieser Unternehmen entspricht nicht der Zahl aller Unternehmen in der Schweiz, da bei der Segmentierung gewisse Ausschlüsse gemacht wurden. []