Anerkennung fraglich 

Im Gegensatz zu Grüter hält Schlauri den aktuellen Gesetzesentwurf für ungenügend. Wie er erklärt, weichen die Sanktionsnormen erheblich vom EU-Recht ab. Und zwar nicht nur in der Höhe der Sanktionen, sondern auch in Bezug auf die Frage, was überhaupt strafbar ist. Eine Reihe der in der EU sanktionierten Handlungen sollen in der Schweiz nämlich straflos bleiben – etwa das Verschweigen von Datenlecks vor den Behörden. «Die Schweizer Norm bleibt damit wohl toter Buchstabe. Ich sehe nicht, warum die EU-Kommission solches für äquivalent halten sollte.» Hinzu komme, dass sich viele Schweizer Firmen ohnehin nach EU-Recht ausrichten müssten, weil sie Kunden mit Wohnsitz in der EU haben. «Es lohnt sich für diese Unternehmen kaum, für Schweizer und EU-Einwohner unterschiedliche Standards zu fahren. Von daher bringt eine Verwässerung des Schweizer Rechts auch für Unternehmen wenig.» 

Beat Rudin, Präsident der Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) und Datenschützer des Kantons Basel-Stadt, schätzt die Lage ähnlich ein. Es sei alles andere als sicher, dass die EU-Kommission die Angemessenheit der schweizerischen Regelung anerkennen würde. Nebst den entschärften Sanktionsregelungen fehlen gemäss Rudin im Entwurf das Recht auf Datenportabilität, die Pflicht zum Nachweis der Datenschutzkonformität sowie das «Recht auf Vergessenwerden». 

Wie es nun mit der Totalrevision des Schweizer Datenschutzgesetzes weitergehen soll, dazu hat Privatim einen konkreten Vorschlag in petto. Denn Zeitdruck besteht gemäss der Konferenz der schweizerischen Datenschutzbeauftragen primär bei der Umsetzung der Schengen-relevanten Richtlinie. Die Regeln dieser Richtlinie betreffen die Bundesorgane und sollten bis zum 1. August 2018 umgesetzt sein. «Die diesbezüglichen Vorschläge des Bundesrates sind auch kaum umstritten», erklärt Rudin.

Weniger Zeitdruck bestehe danach für die Umsetzung der DSGVO, da die EU-Kommission über die Angemessenheit der Datenschutzregelungen von Drittstaaten wie der Schweiz nicht gleich nach dem Inkrafttreten neu entscheiden werde. «Am besten wäre eine Trennung der beiden Gesetze und eine rasche Umsetzung für die Bundesorgane.» Für die Privaten solle danach in Zusammenarbeit mit den Wirtschaftsverbänden und Konsumentenorganisationen in Ruhe geprüft werden, wie im schweizerischen Recht souverän ein angemessenes Datenschutzniveau geschaffen werden könne. «Die DSGVO verlangt nicht, dass die Regeln und Instrumente eins zu eins übernommen werden – vielmehr muss mit den konkret gewählten Regeln und Instrumenten eine angemessene Datenschutzwirkung erreicht werden», sagt Rudin.

Am 12. und 13. April tagte die Staatspolitische Kommission des Nationalrates nun erneut. Dabei stimmte sie einerseits über die notwendigen Anpassungen an die Anforderungen des EU-Rechts bei der Schengen-relevanten Richtline 2016/680 im Bereich des Strafrechts ab. Sie blieb in der Kommission weitgehend unumstritten, die Vorlage wurde bei der Gesamtabstimmung mit 18 zu 0 Stimmen bei 4 Enthaltungen angenommen, wie die Staatspolitische Kommission in einer Mitteilung schreibt. Nun möchte diese laut eigenen Angaben umgehend die zweite Etappe der Revision in Angriff nehmen, welche die Totalrevision des Datenschutzgesetzes umfasst und auf alle Datenbearbeitungen durch private Datenbearbeiter und Bundesorgane Anwendung findet. Sie werde dazu an einer ihrer nächsten Sitzungen zusätzliche Anhörungen durchführen. Im Nationalrat wird die Anpassung der Schengen-relevanten Richtlinie in der kommenden Sommersession thematisiert. Dabei solle dieser grundsätzlich entscheiden, ob er der vorgesehenen Teilung der Totalrevision zustimme. Eine Minderheit der Kommission stellte an der Tagung zudem den Antrag an den Nationalrat, die gesamte Vorlage an die Kommission zurückzuweisen mit dem Auftrag, die Revision des Datenschutzrechts in einem Stück zu beraten. Dieser Vorschlag wurde jedoch mit 17 zu 6 Stimmen bei einer Enthaltung abgelehnt, wie es in der Mitteilung abschliessend heisst.