«Was bringt das neue DSG?» und unsere Einschätzung dazu - Bericht aus einem Vortrag von Dr. Adrian Lobsiger (EDÖB) an der Universität Zürich.
Rechtsanwalt und Fachanwalt für IT-Recht Sven Kohlmeier war einer der Teilnehmer, die sich am 26. Oktober 2023 im Hörsaal der Universität Zürich einfanden, um zu hören, wie sich der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Dr. Adrian Lobsiger rund 2 Monate nach Inkrafttreten des neuen Schweizer Datenschutzgesetzes positioniert. Die Veranstaltung wurde eröffnet durch Prof. Dr. Florent Thouvenin (Universität Zürich) und endete mit einer Paneldiskussion von Claudius Ettlinger (Datenschutzberater SBB), Chantal Imfeld-Matyassy (Head of Data Protection Ringier Group) und Claudia Keller (Rechtsanwältin).
Vorweg: Einige Aussagen waren sehr interessant und dürften sowohl bei der Datenschutz-Beratungspraxis wie auch bei der rechtlichen Einschätzung eine Rolle spielen.
Amtsdauer des EDÖB endet
Die Amtszeit des Datenschutzbeauftragten endet am 5. Dezember 2023. Fraglich, ob seine Wahl durch die vereinigte Bundesversammlung am 13. Dezember 2023 erfolgt, da deren Haupttraktandum die «Gesamterneuerungswahlen», also die Neuwahl des Bundesrates sein wird. Dr. Lobsiger bewirbt sich um seine Dritte Amtszeit. Die Gerichtskommission hatte angekündigt, «ihren Vorschlag zur Wiederwahl von Adrian Lobsiger im vierten Quartal 2023» zu unterbreiten. Bis zur Neuwahl von Dr. Lobsiger wird die Behörde zwar nicht führungslos, da die Stellvertreterin Florence Henguely weiterhin im Amt ist, sie die Behörde wird aber wahrscheinlich übergangsweise nicht so prominent geführt werden.
Unsere Einschätzung: Der EDÖB hat gute Chancen, wiedergewählt zu werden.
«Wer DSGVO erfüllt, erfüllt DSG»
Mit diesem Zitat des EDÖB lässt sich der Vortrag gut zusammenfassen. Viele Unternehmen mit geschäftlichen Beziehungen in die EU unterliegen der DSGVO und werden damit kaum Schwierigkeiten haben, die Voraussetzungen des DSG zu erfüllen. Der EDÖB machte weiterhin deutlich, dass die hauptsächlichen Einflüsse und «Musik im Datenschutz» in der EU bestimmt werden, und unmittelbar auch Auswirkungen auf die Schweiz haben. Einen Schweizer Sonderweg im Datenschutz wird es damit nicht geben, vielmehr ist der Blick in die EU hilfreich, wenn es um die Umsetzung des DSG in der Schweiz gilt.
Unsere Einschätzung: Die DSGVO gilt weltweit als «Gold-Standard» im Datenschutz. Wer diesen erfüllt, erfüllt das DSG ohne Weiteres. Daher helfen die Erfahrungen bei der Einführung und Umsetzung des DSGVO, um daraus für die Schweizer Anwendungspraxis gerüstet zu sein.
KI und DSG
Nach Auffassung des EDÖB gilt auch bei dem Einsatz von KI-Tools das Datenschutzrecht. Die Anforderungen formulierte der EDÖB ganz deutlich: Es besteht eine Aufklärungspflicht über Zwecke, Funktionsweise, Datenquellen und Risiken bei dem Einsatz von KI-Tools. Auch müsse sichergestellt werden, dass automatisierte Entscheidungen, dazu zählt der EDÖB auch Resultate von KI-Tools, von einem Menschen überprüft werden. Zudem wies der EDÖB darauf hin, dass jeder Betroffene ein Widerspruchsrecht hat. Als Auslegungsrahmen für KI-Anwendungen verwies der EDÖB auf den Rechtsrahmen für den Einsatz von KI der Universität Zürich, den KI-Leitfaden des Europarates (Konvention 108), welcher von der Schweiz ratifiziert wurde und den aktuellen AI-Act der Europäischen Kommission.
Der EDÖB war vorsichtig optimistisch, dass er mit der Einhaltung des Datenschutzes bei KI durchdringt.
Unsere Einschätzung: Auch wenn das DSG für KI-Tools gilt, dürfte das DSG ein zahnloser Tiger sein, angesichts der Verbreitung von KI-Tools, der bereits erfolgten Datennutzung durch Trainingsdaten und der mangelnden Rechtsdurchsetzungsmöglichkeit des EDÖB. Hier werden wohl eher die europäischen Regelungen für Beschränkungen bei dem Einsatz von KI-Anwendungen führen.
Durchsetzungsfähigkeit des EDÖB
Den Rahmen der Durchsetzungsfähigkeit des EDÖB hat das Bundesverwaltungsgericht in seiner Helvetia-Entscheidung (19.03.2019, A-3548/2018) bestimmt. Die Helvetia-Zusatzversicherung AG lehnte die Umsetzungsempfehlungen des EDÖB ab. Das Gericht hat die Klage des EDÖB nur teilweise gutgeheissen und zu den Kontroll- und Empfehlungsmöglichkeiten des EDÖB entschieden. Zudem kann der EDÖB keine exterritorialen Verfügungen erlassen. Anhand der Vorwürfe gegen das Unternehmen «Clearview» machte der EDÖB deutlich, dass er faktisch kaum Durchsetzungsmacht hat, da «Clearview» auf seine Aufforderungen nicht reagierte und auch die amerikanischen Behörden auf die Einhaltung des Territorialprinzips verwiesen.
Unsere Einschätzung: Der EDÖB wird sich auf die Einhaltung des DSG in der Schweiz konzentrieren. Auf unsere Nachfrage machte er deutlich, dass dabei sein Hauptblick nicht den Unternehmen gilt, die vielfach der DSGVO unterstehen, sondern der grosse Bedrohung der Datensammlung durch den Staat und dem damit einhergehenden Verlust von Freiheit.
Bussen und Strafbarkeit
Wir zitieren hier erneut den EDÖB: «Ich verwette meinen Job, dass es in den nächsten 4 Jahren kein Strafurteil gibt.». Er begründet dies damit, dass zum einen nur Fahrlässigkeitsdelikte bestraft werden. Zum anderen wird die Staatsanwaltschaft nicht von Amts wegen, sondern nur auf Anzeige tätig und es braucht eine Auswirkung auf die anzeigende Person. Der EDÖB hat daher die Hoffnung, dass eher nicht die Mitarbeitenden bestraft werden, sondern Bussen sich auf Personen der Unternehmensleitung konzentrieren. werden, wenn diese überhaupt ausgesprochen werden.
Unsere Einschätzung: Wir sehen das genauso. Abgesehen davon, dass die Staatsanwaltschaften andere Deliktsformen wohl vorrangig als wichtiger erachten, besteht bei den zuständigen kantonalen Strafverfolgungsbehörden kaum Erfahrung in der datenschutzrechtlichen Würdigung und Festlegung der Bussen. Die durch den EDÖB geschätzten 4 Jahre ohne Urteil halten wir daher für realistisch. Die Erfahrungen aus der DSGVO zeigen aber, dass zwar langsam, aber dann doch, die Verurteilungsquote steigt. Zudem: Neben der strafrechtlichen Bewertung darf nicht übersehen werden, dass ein Datenschutzverstoss nach Art. 28 ZGB zivilrechtlich verfolgt werden kann.
Cookie-Banner
Auf eine Antwort aus dem Publikum zur Notwendigkeit von Cookie-Bannern konnte der EDÖB keine abschliessende Auskunft geben, verwies aber auf ein Merkblatt, welches demnächst von den Experten der Behörde veröffentlicht werden soll.
Unsere Einschätzung: Die unsäglichen und nutzerunfreundlichen Cookie-Banner sind nach dem Schweizer DSG nicht erforderlich. Wer der DSGVO unterfällt, wird jedoch um ein Cookie-Banner nicht umhinkommen. Wer sein Angebot lediglich in die Schweiz ausrichtet, dem empfehlen wir, eine ordnungsgemässe DSG-Datenschutzerklärung einzustellen (siehe: www.datenschutzmuster.ch) und auf ein Cookie-Banner zu verzichten.
Sven Kohlmeier ist Fachanwalt für IT-Recht (D) und berät spezialisiert auch im Datenschutzrecht. Auf Grund seiner Erfahrung bei der Einführung der DSGVO ist er nicht nur bei EU- und grenzüberschreitenden Sachverhalten der richtige Ansprechpartner, sondern auch bei der Umsetzung des Schweizer Datenschutzrechts, welches – wie der EDÖB deutlich machte – durch das EU-Datenschutzrecht beeinflusst ist. Auf Grund seiner Erfahrung bei der Einführung der DSGVO kann man sagen: "Es wird nicht so heiss gegessen, wie es gekocht wird." Das gilt auch für die Umsetzung des DSG. Bei Fragen wenden Sie sich gerne an Sven Kohlmeier.
Weitere Beiträge zum Thema
Bussen im neuen Datenschutzrecht – bis CHF 250.00 für private Person möglich
Datenschutzrechtsrevision | Teil 1: Übersicht der Änderungen
Datenschutzrechtsrevision | Teil 2: Praktische Empfehlungen
Datenschutzrechtsrevision | Teil 3: Cyberangriff – die richtige Reaktion zählt