Die Konkurrenz aus der EU freuts

Nationalräte warnen, die EU könnte beim Datenschutz das Schweizer Gesetz nicht mehr anerkennen. Doch wäre das schlimm?

Das Datenschutzgesetz ist umstritten: Bislang stuft die EU die Schweiz als Land ein, das Personendaten gut schützt. Foto: Thomas Egli

Das Datenschutzgesetz ist umstritten: Bislang stuft die EU die Schweiz als Land ein, das Personendaten gut schützt. Foto: Thomas Egli

Luca De Carli@tagesanzeiger

Das passiert nicht alle Tage. SP-Nationalrat Cédric Wermuth setzte sich gestern in der Debatte zum neuen Datenschutzgesetz für die «grossen Wirtschaftsverbände» der Schweiz ein. «Diese sagen, das Schlimmste, was ihnen geschehen könne, sei eine Verweigerung der Äquivalenz durch die EU», so Wermuth. Für die SP müsse die Äquivalenz mit dem neuen Datenschutzgesetz sichergestellt werden.

Damit gemeint ist Folgendes: Bislang stuft die EU die Schweiz als Land ein, das Personendaten gut schützt. Deshalb können etwa Adressen von Kunden zwischen EU-Ländern und der Schweiz ohne zusätzliche Auflagen hin- und hergeschickt werden. Dies könnte sich aber im Mai 2020 ändern. Bis dann muss die EU entscheiden, ob die Äquivalenz für die Schweiz weiterhin gilt. Ohne ein neues Datenschutzgesetz hat die Schweiz schlechte Karten. Das alte aus den 1990er-Jahren genügt der EU nicht mehr, weil für ihre Mitglieder seit 2018 deutlich schärfere Vorgaben beim Datenschutz gelten.

Erhebliche Nachteile

Ein Verlust der Äquivalenz hätte für die schweizerische Wirtschaft erhebliche Nachteile zur Folge, sagte auch FDP-Bundesrätin Karin Keller-Sutter – insbesondere für kleine und mittelgrosse Unternehmen. Doch mit öffentlichen Aussagen dazu, was das genau für Nachteile sind, hat sich der Bundesrat bislang zurückgehalten. Keller-Sutter sprach in der Debatte bloss von «geeigneten Garantien», die Schweizer Unternehmen künftig geben müssten.

Wirtschaftsvertreter werden im Gespräch mit dieser Zeitung deutlicher. Sowohl Jacques Beglinger, der für den Verband Swiss Holdings das Dossier Datenschutz betreut, als auch Klaus Krohmann, Datenschutzspezialist bei der Unternehmensberatungsfirma BDO, sehen einerseits erheblichen bürokratischen Aufwand auf Unternehmen oder die Forschung an den Hochschulen zukommen. Andererseits dürfte der Verlust der Äquivalenz zu spürbaren Nachteilen gegenüber Konkurrenten aus der EU und als äquivalent anerkannten EU-Drittstaaten führen. Den Datenschutz Japans hat die EU zum Beispiel bereits als gleichwertig anerkannt.

Das ist konkret mit mehr bürokratischem Aufwand gemeint:

  • Verträge

Das Datenschutzgesetz regelt den Umgang mit Personendaten. Die EU legt in ihrer Verordnung fest, dass solche Daten nur an Drittstaaten ohne gleichwertigen Datenschutz übermittelt werden dürfen, wenn dort ein korrekter Umgang damit garantiert wird. Unter «Daten übermitteln» versteht die EU nicht nur den Austausch von grossen Datenbanken mit Hunderten Einträgen, sondern auch einfache Sachen wie der wöchentliche Versand eines Rapports per E-Mail oder ein einmaliger Einblick in eine Datenbank.Die EU stellt für die Garantien zwar standardisierte Verträge bereit. Der Aufwand für die betroffenen Unternehmen sei trotzdem gross, sagt Krohmann von BDO. Und zwar wegen der Anhänge. Dort muss erstens für jeden einzelnen Fall der konkrete Datenaustausch beschrieben werden. Zweitens verlangt die EU für jeden einzelnen Fall die Festlegung von technischen und organisatorischen Massnahmenaufgrund einer individuellen Risikoeinschätzung.

  • Kontrollen in der EU

Die neue Datenschutzverordnung sieht vor, dass Unternehmen aus Drittstaaten in bestimmten Fällen mit den lokalen Aufsichtsbehörden in Kontakt treten müssen. Und zwar jeweils in allen EU-Ländern, mit denen sie Daten austauschen. Zudem müssen sie einen rechtlichen Vertreter in der EU stellen. «Wird die Äquivalenz erneuert, ist absehbar, dass die EU und die Schweiz gegenseitig auf diese Vorgabe verzichten», sagt Krohmann.

  • Kontrollen in der Schweiz

Wird die Äquivalenz nicht erneuert, steigt das Risiko, dass Schweizer Unternehmen bei der Zusammenarbeit mit Geschäftspartnern aus der EU Fehler beim Datenschutz unterlaufen. Die Datenschutzverordnung sieht empfindliche Strafen vor. Wie Beglinger von Swiss Holdings sagt, steigt damit der Kontrollaufwand in der Schweiz.

Ruf der Schweiz in Gefahr

Die zusätzlichen Datenschutzauflagen für Unternehmen aus einem Drittstaat machen Schweizer Firmen weniger attraktiv für Auftraggeber oder Kunden aus der EU. «Gilt die Schweiz neu wegen fehlender Äquivalenz als risikoreicher für den Datenaustausch, sind die EU-Geschäftspartner von Schweizer Firmen deswegen verpflichtet, die vertraglich garantierten technischen und organisatorischen Schutzmassnahmen strenger zu überwachen als bei EU-Firmen», sagt Datenschutzspezialist Krohmann.

Beglinger sieht gar den Ruf der Schweiz als «ideales Land für Digitalprojekte» in Gefahr. An der EU-Datenschutzverordnung orientieren sich auch viele Staaten ausserhalb Europas. «Wird die Schweiz von der EU als Problemfall eingestuft, wird das auch dort Fragen aufwerfen», sagt Beglinger.

Diese Inhalte sind für unsere Abonnenten. Sie haben noch keinen Zugang?

Erhalten Sie unlimitierten Zugriff auf alle Inhalte:

  • Exklusive Hintergrundreportagen
  • Regionale News und Berichte
  • Tolle Angebote für Kultur- und Freizeitangebote

Abonnieren Sie jetzt