Lexipedia

17.4088 · Interpellation · 2017-12-13

Justiz- und Polizeidepartement

Erledigt

Wortlaut

Kaum ein Schweizer Unternehmen, das nicht von der neuen Datenschutz-Grundverordnung (DSGVO) der EU betroffen ist, welche am 25. Mai 2018 in der EU zur Anwendung kommt. Die Regulierung zwingt alle Firmen, die Kunden in der EU haben, zu massiven bürokratischen Aufwänden. Viele Fragen der konkreten Umsetzung sind dabei jedoch noch offen und sollten vom Bundesrat beantwortet werden:

1. Wird die EU die Äquivalenz der Schweizer Datenschutzgesetzgebung weiterhin anerkennen?

2. Wer ist der Ansprechpartner für Schweizer Unternehmen (z. B. bei Meldepflichten) betreffend DSGVO

und E-DSG? Ist dies der Edöb, eine Stelle in der EU oder gar beide?

3. Werden Untersuchungen und allfällige Sanktionen gegenüber Schweizer Unternehmen von einer schweizerischen Stelle durchgeführt? Wie und durch wen?

4. Können Unternehmen für den gleichen Fall sowohl von der Schweiz als auch vonseiten EU sanktioniert werden?

5. Können Unternehmen von der EU oder deren Mitgliedstaaten sanktioniert werden, obwohl sie schweizerisches Recht einhalten?

6. Werden Schweizer Zertifizierungen und Zertifizierungsstellen von der EU anerkannt?

7. Ist die Schweiz bei der Erarbeitung von Standards involviert?

8. Die DSGVO verweist an vielen Stellen auf das Recht der Mitgliedstaaten. Welche Rolle spielt dabei das schweizerische Recht?

9. Diese Fragen zeigen, dass ein grosser Koordinierungsbedarf bereits vor der parlamentarischen Beratung der Revision des DSG besteht. Daher wurde der Bundesrat mit der überwiesenen Motion 16.3752 beauftragt, eine entsprechende Vereinbarung mit der EU zu suchen. Gemäss Antwort auf meine Frage 17.5528 in der Fragestunde vom 4. Dezember 2017 hat der Bundesrat erklärt, er wolle nicht vor der parlamentarischen Beratung die Europäische Kommission kontaktieren. Die obenerwähnten Fragen stellen sich für viele Schweizer Unternehmen jedoch bereits im Mai 2018. Ausserdem sind diese Umsetzungsfragen gerade auch für die Beratung des schweizerischen DSG sehr wertvoll. Welche Schritte gedenkt der Bundesrat zu unternehmen, um diesen Koordinationsbedarf möglichst rasch staatsvertragsrechtlich zu regeln?

Stellungnahme des Bundesrates

1. Die Beibehaltung des Angemessenheitsbeschlusses der EU ist für den Bundesrat ein vorrangiges Ziel. Namentlich aus diesem Grund hat er beschlossen, den Inhalt des E-DSG den Anforderungen des Entwurfes zur Revision des Übereinkommens SEV 108 und der DSGVO anzugleichen. Wann die Europäische Kommission die Angemessenheit des schweizerischen Datenschutzrechts erneut überprüfen und ob das Resultat positiv ausfallen wird, ist heute nicht vorhersehbar. Damit die Schweiz die bestehende Angemessenheitserklärung beibehalten kann, muss sie ein vergleichbares Schutzniveau aufweisen wie die EU. Der Ausgang der Prüfung hängt wesentlich von den Entscheidungen des Parlamentes im Rahmen der Revision der schweizerischen Datenschutzgesetzgebung ab.

Da die SPK-N beschlossen hat, die Vorlage aufzuteilen und in zwei Etappen zu beraten (vgl. nachfolgend Ziff. 9), sind Verzögerungen wahrscheinlich. Kommt die Europäische Kommission bei ihrer nächsten Prüfung des schweizerischen Datenschutzrechts zum Schluss, dass dieses - weil das DSG noch nicht revidiert worden ist - kein angemessenes Schutzniveau mehr gewährleistet, kann sie den Angemessenheitsbeschluss widerrufen, ändern oder aussetzen. Dies hätte für die schweizerische Wirtschaft und insbesondere die KMU nachteilige Folgen. Personenbezogene Daten aus der EU könnten nicht mehr ohne Weiteres in die Schweiz übermittelt werden, sondern es müssten zusätzliche sichernde Massnahmen getroffen werden. So müssten sich Schweizer Unternehmen etwa gegenüber Unternehmen aus der EU vertraglich verpflichten, das europäische Datenschutzniveau zu wahren.

2. Jede Behörde wird ihr eigenes Recht anwenden. Wenn der für die Datenbearbeitung Verantwortliche der Ansicht ist, dass er sowohl dem DSG als auch der DSGVO untersteht, wird er sich an den Edöb und an die zuständige ausländische Aufsichtsbehörde wenden.

3. Die Untersuchung und die Verhängung von Sanktionen gegen ein Unternehmen mit Sitz in der Schweiz, das aber der DSGVO unterstellt ist, fallen in die Zuständigkeit der Aufsichtsbehörden der EU-Mitgliedstaaten. Ohne ein Kooperationsabkommen können diese jedoch selbst keine Untersuchungshandlungen in der Schweiz durchführen. Muss ein Unternehmen einen Vertreter in der EU benennen (Art. 27 DSGVO), können die europäischen Aufsichtsbehörden ihre Entscheidungen dem schweizerischen Unternehmen über diesen Vertreter zustellen, ohne den diplomatischen Weg zu beschreiten.

4. Diese Möglichkeit ist nicht auszuschliessen. Der Grundsatz ne bis in idem (Verbot der doppelten Strafverfolgung) könnte jedoch zur Anwendung kommen, wenn Geldbussen der EU und strafrechtliche Sanktionen der Schweizer Strafverfolgungsbehörden zusammentreffen.

5. Ja, wenn sie der DSGVO unterstehen und deren Vorschriften verletzen.

6. Die DSGVO sieht kein Verfahren zur Anerkennung von schweizerischen Zertifizierungen und Zertifizierungsstellen durch die EU vor.

7. Die DSGVO enthält keine Bestimmung, welche eine solche Beteiligung der Schweiz vorsehen würde. Es ist jedoch nicht ausgeschlossen, dass schweizerische Unternehmen einbezogen werden könnten, z. B. im Rahmen der Ausarbeitung von Verhaltenskodizes.

8. Die Schweiz ist kein Mitgliedstaat im Sinn der DSGVO. Dies gilt unabhängig davon, dass dieser Rechtsakt gemäss seinem Artikel 3 Absatz 2 auf schweizerische Unternehmen direkt Anwendung finden kann. Die Verweisungen auf das Recht der Mitgliedstaaten umfassen das schweizerische Recht nicht, welchem folglich auch keine Rolle zukommt.

9. Der Abschluss eines Kooperationsabkommens zwischen der Schweiz und der EU wird wahrscheinlich mehrere Jahre in Anspruch nehmen. Die Erfolgschancen werden davon abhängen, ob die Schweiz aufzeigen kann, dass ihre Datenschutzgesetzgebung ein angemessenes Schutzniveau im Sinne der DSGVO gewährleistet. Deshalb hat es der Bundesrat für angebracht gehalten, den Beginn der parlamentarischen Arbeiten abzuwarten. Eine erste Kontaktaufnahme mit der Europäischen Kommission war für Anfang 2018 vorgesehen. Angesichts des Entscheids der Staatspolitischen Kommission des Nationalrates vom 11. Januar 2018, die für die Umsetzung des Schengen-Besitzstands notwendigen gesetzgeberischen Massnahmen prioritär zu behandeln und die Prüfung der Anpassungen, welche eine Annährung des schweizerischen Datenschutzrechts an die Anforderungen der DSGVO bezwecken, in einer zweiten Etappe vorzunehmen, beabsichtigt der Bundesrat jedoch, mit diesem Schritt vorerst zuzuwarten.

Antwort des Bundesrates.

Umsetzungsfragen zur EU-Datenschutz-Grundverordnung | Lexipedia | Lexipedia