«Einheitliche Regulierung der Verarbeitung personenbezogener Daten»? Bei vielen dürften gleich die Alarmglocken läuten: Es geht um trockene Materie. Dazu noch so ein wenig einladender Wortbandwurm: Europäische Datenschutzgrundverordnung, kurz DSGVO. 99 Vorschriften auf 88 Seiten. Doch es ist eine wichtige Vorlage, die da aus Brüssel kommt. Denn am Ende ist potenziell jeder davon betroffen – auch in der Schweiz.

«Mit den neuen Bestimmungen erhalten Bürgerinnen und Bürger mehr Kontrolle über ihre Personendaten», bringt es der eidgenössische Datenschützer Adrian Lobsiger auf den Punkt. Vom 25. Mai an gibt es in der Europäischen Union erstmals ein einheitliches Datenschutzrecht. Die DGSVO betrifft alle Unternehmen, die Angaben von Bürgern verarbeiten, nutzen und speichern. Bislang hat jeder EU-Staat dafür seine eigenen Gesetze, es gibt so viele Regeln wie Mitgliedsländer. Das ändert sich nun.

Was das mit der Schweiz zu tun hat? Ziemlich viel. Die Verordnung wirkt «extraterritorial». Das heisst, auch Firmen, die ihren Sitz nicht auf EU-Territorium haben, müssen sich daran halten. Bei Verstössen drohen drakonische Bussen von bis zu vier Prozent des globalen Umsatzes.

Vordergründig zielen die Regeln auf Internetgiganten wie Google, Facebook und Amazon. Ihr Sammeleifer soll gebremst werden. Die Verordnung verpflichtet die Unternehmen zu strengeren Konsumentenrechten. Dazu gehört unter anderem das «Recht auf Vergessen», wonach alle persönlichen Daten und Links auf Antrag hin gelöscht werden müssen. Ebenso müssen Anbieter jederzeit die über eine Person gesammelten Daten herausrücken, wenn sie dies einfordert. So gesehen könnten die vereinheitlichten Regeln also auch als Antwort auf den jüngsten Datenschutz-Skandal bei Facebook verstanden werden; obwohl sie keine Reaktion darauf sind und schon lange in Arbeit waren.

Fast alle sind betroffen

Doch nicht nur die grossen Player von der amerikanischen Westküste müssen sich auf die DGSVO einstellen. Betroffen sind eben auch alle Firmen in der Schweiz, die direkt oder online mit Kunden aus der EU in Kontakt stehen oder Daten von diesen speichern. Die Verordnung wird laut Datenschützer Lobsiger «auf eine Vielzahl von Schweizer Unternehmen direkte Auswirkungen haben». In einem soeben aktualisierten Bericht verdeutlicht er die Anwendbarkeit auf hiesige Anbieter.

So greife die Verordnung beispielsweise bei einem Uhrenhändler, der seine Ware über einen Online-Shop an Personen mit Wohnsitz in Frankreich, Finnland oder Griechenland verkauft. Ebenso müsse sich ein Bündner Hotelier daran halten, wenn er Informationen über italienische oder polnische Nutzer seiner Website sammelt, um diesen automatisch generierte Angebote für Aufenthalte zu unterbreiten.

Wirtschaft rüstet sich

Sieben Wochen noch, dann tritt die DGSVO in Kraft. Allein wegen der sogenannten Beweislastumkehr sollte dies Unternehmen aus der Schweiz nicht kalt lassen. Fortan müssen Anbieter sorgfältig dokumentieren, dass sie im Umgang mit Daten alles richtig machen und kein Verstoss vorliegt.

Ob sich die Schweizer Wirtschaft für die neuen Auflagen ausreichend gerüstet hat, ist fraglich. Gemäss einer im Februar publizierten Studie des Beratungsunternehmens Ernst & Young haben sich bisher nur 40 Prozent der befragten Firmen auf die DSGVO vorbereitet. Allerdings ist die nicht repräsentative Untersuchung mit Vorsicht zu geniessen.

Aus der Sicht von Economiesuisse geht die neue Gesetzgebung der EU in vielen Teilen zu weit. Es drohe die Gefahr einer Überregulierung, kritisiert der Wirtschaftsdachverband. Ungeachtet dessen hat er seine Mitglieder aufgefordert, sich zu rüsten. Dabei setzt der Verband auf eine ungewöhnliche Massnahme: Mittels eines Online-Tests können Unternehmen innert weniger Minuten herausfinden, ob sie grundsätzlich von der DGSVO betroffen sind. Es gehe darum, «den Stand bereits getroffener Massnahmen einzuschätzen». Eine rechtliche Beratung könne der Test natürlich niemals ersetzen, betont Economiesuisse.

Konsumenten profitieren

Und die Schweizer Konsumenten? Ihnen werden die höheren Standards der Europäischen Union entgegenkommen. Die DGSVO macht, ganz im Geiste der globalen Vernetzung, keinen Halt vor Landesgrenzen. Gerade die amerikanischen Dienstleister betrachten Europa nämlich üblicherweise als eine einzige Region – auch aus dem profanen Grund, dass das Land zu klein wäre für eigene Privatsphäre-Regeln. Namentlich Facebook bestätigte kürzlich gegenüber dem «Blick», die Anforderungen im Umgang mit Nutzerdaten würden auch für die Schweiz gelten.

Ohnehin ist es zu einem wesentlichen Teil der EU zu verdanken, dass die Politik hierzulande gerade ebenfalls das Datenschutzgesetz revidiert. Nur so kann gewährleistet werden, dass die Schweiz von Brüssel auch weiterhin als Land mit einem «adäquaten Datenschutzniveau» anerkannt wird.