Was die EU-DSGVO für den obersten Schweizer Datenschützer bedeutet
Die Datenschutz-Grundverordnung der Europäischen Union ist nicht nur für Unternehmen relevant. Auch die Datenschutzbehörden müssen sich auf die neuen Regeln einstellen. Adrian Lobsiger, oberster Datenschützer der Schweiz, spricht über die Auswirkungen der EU-DSGVO auf seine Arbeit und zeigt, wo die grössten Herausforderungen liegen.
Welche konkreten Auswirkungen wird die EU-DSGVO ab dem 25. Mai auf Ihre Arbeit als EDÖB haben?
Adrian Lobsiger: Ab diesem Datum können die Einwohner der Schweiz gegenüber Bearbeitungsverantwortlichen in den EU-Staaten die verstärkten Schutzrechte der DSGVO geltend machen. Ausserdem gilt die DSGVO für Schweizer Unternehmen, die im Zusammenhang mit ihren Dienstleistungen Daten von Personen in der EU bearbeiten. Ihnen allen stehen wir mit Rat und Tat zur Seite und stellen eine umfassende Wegleitung mit weiterführenden Links auf unserer Website zur Verfügung.
Inwiefern wirken sich die neuen Datenschutzregeln schon jetzt auf Ihre Arbeit aus?
Die DSGVO stellt dem betrieblichen und behördlichen Datenschutz eine Reihe von nützlichen Arbeitsinstrumenten zur Verfügung. So etwa die Risiko-Folgenabschätzung oder die Meldung und Dokumentation von Verletzungen von Schutzrechten. Diese Instrumente haben sich in der Praxis der Digitalisierung herausgebildet und sind deshalb schon heute Bestandteil unserer Beratungs- und Aufsichtstätigkeit.
Welche Herausforderungen warten auf die Behörden?
Die auch in der Schweiz anwendbare DSGVO tritt im Mai in Kraft, während das Parlament mit der Revision des Bundesgesetzes über den Datenschutz, kurz DSG, aus dem Jahr 1993 noch am Anfang steht. Gleichzeitig sind die mit zusätzlichen Mitteln und Kompetenzen ausgestatteten Datenschutzbehörden in der EU daran, ihre Zusammenarbeit zu bündeln. Das stellt die Datenschutzbehörden des Bundes und der Kantone vor die Herausforderung, in dieser schwierigen Übergangszeit mit vergleichsweise bescheidenen Befugnissen und Ressourcen eine Aufsichtspräsenz zu entfalten, die im In- und Ausland als glaubwürdig und proaktiv wahrnehmbar ist.
Wie wirkt sich die EU-DSVGO auf die Ausarbeitung des schweizerischen Datenschutzgesetzes aus?
Mit Abschluss der Revision des DSG wird der Weg für die Schweiz und die EU frei, ihre Datenschutzgesetzgebungen gegenseitig als gleichwertig anzuerkennen. Für die Schweiz ist dies als Rechtsstaat und Wirtschaftsstandort zentral.
Unternehmen müssen künftig Datenschutzverletzungen melden. Wie können Datenschützer diese Meldepflicht überwachen?
Entsprechende Vorfälle müssen nach der DSGVO in der Regel innert 72 Stunden ab Entdeckung gemeldet und dokumentiert werden. Spekuliert ein Unternehmen darauf, dass nicht gemeldete Verletzungen unentdeckt bleiben, riskiert es massive Reputationsschäden und Sanktionen. Vorsätzliche Verletzungen der Meldepflicht werden auch nach dem revidierten DSG verschärfte Sanktionen nach sich ziehen. Meine Behörde wird solche Verfehlungen konsequent zur Anzeige bringen.
Welche Branchen sind besonders betroffen?
Betroffen sind Unternehmen aller Branchen, die grosse Mengen von Personendaten durch automatisierte Verfahren profilbildend analysieren. Die DSGVO ist sowohl auf Grosskonzerne als auch auf mittlere oder kleine Betriebe anwendbar. Das viel zitierte Beispiel von Hotels, die zur Bearbeitung ihrer Kundendaten teure Beratungsdienstleistungen einkaufen müssen, scheint mir übertrieben.