EU-Datenschutz-Grundverordnung: Viel Aufwand, kein Nutzen

Wie im inside Nr. 2/16 angekündigt, tritt die EU-Datenschutzgrundverordnung («DSGVO») am 25. Mai 2018 in Kraft. Sie führt zu einem einheitlichen Datenschutzstandard innerhalb der EU. Die DSGVO enthält eine Fülle an neuen Pflichten und Anforderungen sowie harte Sanktionen bei Zuwiderhandlungen. Der Anwendungsbereich der DSGVO ist sehr weit, weshalb Schweizer Unternehmen jeglicher Grösse, welche in der EU Waren oder Dienstleistungen an Privatpersonen anbieten, betroffen sein können.

Warum eine DSGVO?

Die DSGVO (Verordnung 2016/679/EU) stellt einerseits den Schutz personenbezogener Daten innerhalb der Europäischen Union sicher und gewährleistet andererseits den freien Datenverkehr innerhalb des Europäischen Binnenmarktes. Sie ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

Die DSGVO gibt den Privatpersonen mehr Kontrolle über ihre Personendaten bzw. mehr Möglichkeiten zur Ausübung ihrer Rechte, zieht die Unternehmen stärker in die Verantwortung und stärkt die Rolle der Datenschutzbehörden.

Gilt die DSGVO in der Schweiz?

Die Schweiz verfügt mit dem Datenschutzgesetz grundsätzlich über eine eigene, von der DSGVO unabhängige Datenschutzgesetzgebung. Diese wird derzeit revidiert (siehe Box). Die DSGVO gehört nicht zum Schweizer Landesrecht. Gemäss Art. 3 DSGVO wird sie aber immer dann auf Unternehmen mit Sitz in der Schweiz (oder jedem anderen Land ausserhalb der EU) extraterritorial angewendet,

  • wenn das Unternehmen eine Niederlassung in der EU hat, welche Personendaten verarbeitet; oder
  • wenn Daten von Personen aus dem EU-Raum im Rahmen des Angebots von Waren oder Dienstleistungen bearbeitet werden (sog. Marktortprinzip). Entscheidend ist nicht, ob Waren oder Dienstleistungen tatsächlich in das Gebiet der EU verkauft werden, sondern ob eine diesbezügliche Absicht besteht; oder
  • wenn durch Datenverarbeitungsvorgänge das Verhalten von Personen in der EU beobachtet wird (beispielsweise durch Auswertung von Nutzerdaten mittels Google-Analytics oder Profiling-Software, d.h. durch Nachvollzug der Internetaktivitäten einer Person, welche durch Einsatz von Analysetools die Erstellung eines Personenprofils mit Aussagen über persönliche Vorlieben, Verhaltensweisen oder Gepflogenheiten zulässt, bspw. um diesen Personen dann gezielt Werbung zu senden).

Die blosse Zugänglichkeit der eigenen Website für Personen aus der EU begründet noch keine Absicht.

Welche Pflichten beinhaltet die DSGVO?

Schweizer Unternehmen, welche aus den vorgenannten Gründen von der DSGVO betroffen sind, müssen ab dem 25. Mai 2018 im Wesentlichen folgende (Rechenschafts-)Pflichten erfüllen:

  • Information und Einwilligung: Personen, über die Daten gesammelt werden, müssen «in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache» über die Datensammlung proaktiv informiert und deren Einwilligung eingeholt werden (inkl. Verweis auf die Möglichkeit, eine Kopie der Daten zu erhalten bzw. deren Löschung zu verlangen).
  • Privacy by Design bzw. by Default: Die Datenverarbeitung muss von Beginn an datenschutzfreundlich ausgestaltet sein, insbesondere durch zweckbezogene Datenminimierung (Privacy by Design, mit anderen Worten «Datenschutz durch Technik», beispielsweise durch regelmässige Löschung nicht mehr benötigter Daten). Voreinstellungen müssen ebenfalls datenschutzfreundlich ausgestaltet sein, sodass nur für einen bestimmten Verwendungszweck benötigte Daten erhoben werden (Privacy by Default).
  • Benennung eines EU-Vertreters: Jede betroffene Firma muss innerhalb der EU einen Vertreter als Ansprechperson für die Aufsichtsbehörde benennen (diese Pflicht entfällt bei nur gelegentlicher Verarbeitung, wenn keine besonderen Datenkategorien verarbeitet werden und die Verarbeitung nicht zu einem Risiko für die Rechte und Freiheiten der natürlichen Person führt).
  • Verzeichnis von Verarbeitungstätigkeiten: Alle Prozesse und Verfahren im Unternehmen, bei welchen personenbezogene Daten verarbeitet werden, müssen dokumentiert werden.
  • Behördeninformation bei Verstössen: Stellt das datenverarbeitende Unternehmen einen Verstoss gegen die DSGVO fest, muss dieser binnen 72 Stunden (!) der Aufsichtsbehörde gemeldet werden, sofern «ein Risiko für die Rechte und Freiheiten betroffener Personen» besteht. Bei Vorliegen eines hohen Risikos sind die betroffenen Personen ausserdem persönlich zu
  • Recht auf Auskunft, Berichtigung, Übertragbarkeit und Löschung von Daten: Neu hinzu kommt hierbei insbesondere das «Recht auf Vergessen».
  • Datenschutz-Folgeabschätzung: Führt die Datenverarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten der Betroffenen, müssen diese Risiken im Rahmen der Datenschutz-Folgeabschätzung nach Eintretenswahrscheinlichkeit und Schwere bewertet und die geplanten Schutzmassnahmen dargestellt werden. Ergibt die Datenschutz-Folgenabschätzung im Ergebnis ein hohes Risiko, muss überdies die Aufsichtsbehörde konsultiert werden (!).

Was haben CH-Unternehmen vorzukehren?

Schweizer Unternehmen, die im EU-Markt aktiv sind, sind gut beraten, sich umgehend mit dem Thema auseinanderzusetzen und zu prüfen, inwiefern sie betroffen sind.

Konkret muss Folgendes unternommen werden:

  • Thema Datenschutz ist aus Compliance-Sicht auf VR- oder GL-Stufe anzusiedeln (andernfalls die Compliance-Pflichten durch GL nicht eingehalten sind)
  • Ernennung einer verantwortlichen Person für das Thema Datenschutz
  • Bereitstellung der notwendigen Ressourcen personeller, finanzieller und technischer Art (z.B. frühzeitige Einbindung der IT in die Gestaltung der Datenverarbeitungsprozesse, Bildung von Projektteams mit Einbezug von Verkauf und Marketing)
  • Ermitteln aller Datenverarbeitungsprozesse mit personenbezogenen Daten (Mitarbeiterdaten, Kundendaten, etc.)
  • Prüfen, ob der Anwendungsbereich der DSGVO von den Datenverarbeitungsvorgängen tangiert ist
  • Wenn ja:
  • Überprüfung der eigenen Datenbearbeitungsvorgänge auf Übereinstimmung mit dem Prinzip Privacy by Default sowie Privacy by Design und ggf. Vornahme von Anpassungen
  • Überprüfung von Verträgen bzw. Datenschutzerklärungen auf Übereinstimmung mit der DSGVO und ggf. Überarbeitung
  • Erstellen der Verzeichnisse von Verarbeitungstätigkeiten
  • Information und Einholen der Einwilligung zur Datenbearbeitung bei betroffenen Personen
  • Ernennung eines Vertreters in der EU.

Sanktionen bei Missachtung der DSGVO

Der Anwendungsbereich der DSGVO reicht aufgrund des Marktortprinzips über die Grenzen der EU hinaus. Unternehmen von ausserhalb der EU, welche auf dem EU-Markt aktiv sind, haben diese neuen Regeln einzuhalten. Insofern ist das Thema ernst zu nehmen, auch wenn es lästig ist, gerade auch wegen der doch beträchtlichen Bussen, welche bei Verstössen drohen: Die DSGVO sieht Geldbussen bis zu 20 Mio. Euro oder bis zu 4% des weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr vor, je nachdem welches der höhere Wert ist. Abwarten und Tee trinken ist jedenfalls der falsche Weg.

Fazit: Viel Aufwand, wenig Nutzen

Für KMU ist die Einhaltung des vorgenannten Pflichtenkatalogs zweifellos eine Belastung. Der technische und organisatorische Aufwand, um die Einhaltung der DSGVO zu garantieren, ist beträchtlich, und dies ohne erkennbaren Nutzen weder für die Firmen noch für die Konsumenten. Zudem wimmelt es an unbestimmten Rechtsbegriffen, die der Konkretisierung bedürfen. Die vorgenannten Pflichten führen zudem zu einer Beweislastumkehr: Nicht die Privatperson muss eine Verletzung der Grundsätze beweisen, sondern die datensammelnde Unternehmung muss die Einhaltung der Grundsätze nachweisen.

Portrait - Urs Freytag

Rechtsanwalt
lic.iur. HSG Urs Freytag
swissT.net-Beauftragter
für Wirtschaft und Recht

Revision des CH-Datenschutzgesetzes (DSG)

Das DSG gilt als nicht mehr zeitgemäss und wurde revidiert. Der Gesetzesentwurf liegt vor. Eine Hauptstossrichtung ist die inhaltliche Anpassung an die DSGVO der EU. Ohne Anpassung müssten sich Schweizer Unternehmen mit zwei unterschiedlichen Datenschutzregelungen gleichzeitig auseinandersetzen, was keinen Sinn ergäbe. Zudem ist die Schweiz darauf angewiesen, weiterhin als Staat mit angemessenem Datenschutzniveau von der EU anerkannt zu bleiben.

Unternehmen, welche sich auf das Inkrafttreten der DSGVO vorbereiten, werden daher automatisch auch beim Inkrafttreten des revidierten DSG gerüstet sein. Derzeit befindet sich der Entwurf in der parlamentarischen Behandlung.

Weiterführende Informationen

Umsetzung Masseneinwanderungsinitiative: Meldepflicht für offene Stellen ab 1.7.2018

Im Zuge der Umsetzung der Masseneinwanderungsinitiative (Art. 121a BV) hat der Bundesrat im Dezember 2017 die gesetzliche Regelung betreffend Meldung offener Stellen (neuer Art. 21a des Ausländergesetzes) konkretisiert. Demzufolge sind ab dem 1. Juli 2018 alle offenen Stellen zu melden in Berufsarten, die eine durchschnittliche Arbeitslosenquote von 8 Prozent oder mehr ausweisen. Per 1. Januar 2020 wird dieser Schwellenwert auf 5 Prozent gesenkt werden. Zurzeit erstellt das SECO die Liste der Berufsarten, die bei einem Schwellenwert von 8 Prozent ab kommenden Juli meldepflichtig sind. Die Liste wird voraussichtlich ab April auf dem Web-Portal des Seco abrufbar sein, damit Arbeitgeber frühzeitig abklären können, ob geplante Stellenausschreibungen der Meldepflicht unterliegen. Es ist davon auszugehen, dass die dem Verband swissT.net zugehörigen Branchen weit unter dem vorgenannten Schwellenwert liegen und von den Neuerungen vorerst nicht betroffen sind.

factum advocatur

Davidstrasse 1
Postfach 635
9001 St. Gallen

Tel. 071 421 41 41 
Fax. 071 421 41 40
freytag@factum.pro
www.factum.pro