06.18 EU-Datenschutz-Grundverordnung (DSGVO)

06 Data Protection

Am 25. Mai 2018 löste die Europäische Union die bisher geltende Datenschutz-Richtlinie durch die neue Datenschutz-Grundverordnung (DSGVO) ab, die als Verordnung (im Gegensatz zur Richtlinie) das Datenschutzrecht der EU-Mitgliedstaaten nicht nur harmonisiert, sondern nunmehr vereinheitlicht. D.h. die DSGVO kommt ohne Umsetzung im nationale Recht direkt zur Anwendung (self-executing).

Für Unternehmen hat die Verordnung gravierende Folgen. Neben Schadenersatzforderungen der Betroffenen drohen bei Verstössen Bussen von bis zu 4 % des globalen (!) Umsatzes (!) und fehlbare Manager, Datenschutzbeauftragte und übrige Entscheidungsträger können mit Bussen bis zu 20 Mio. Euro bestraft werden. Dabei weisen die offiziellen Erläuterungen (Erwägungsgründe) der EU-Datenschutzverordnung darauf hin, dass der Begriff des «Unternehmens» analog des Begriffs im EU-Kartellrecht verstanden werden müsse. Im EU-Kartellrecht kann unter dem Begriff «Unternehmen» effektiv ein ganzer Konzern bzw. eine ganze Holding verstanden werden, auch wenn effektiv nur eine Tochtergesellschaft verantwortlich ist. Dies ist dann der Fall, wenn die Muttergesellschaft die Tochtergesellschaft beherrscht. In diesem Fall würden die bis zu 4 % Busse auf den ganzen Konzern- bzw. Holding-Umsatz bezogen! Unter folgendem Link finden Sie eine Übersicht der bisher bei Verletzungen der DSGVO verhängten Bussen: GDPR Enforcement Tracker.

Schweizer Unternehmen sind davon nicht gefeit. Denn nach dem sogenannten Marktort- oder auch Auswirkungsprinzip kommt die Verordnung auch auf Schweizer Unternehmen zur Anwendung, wenn ihre Datenverarbeitung dazu dient, betroffene Personen in der EU Waren oder Dienstleistungen – entgeltlich oder unentgeltlich – anzubieten. Die Verordnung kommt zudem auch dann auf Schweizer Unternehmen zur Anwendung, wenn diese oder ihre Beauftragten betroffene Personen in der EU beobachten. (Art. 3 DSGVO)

Obwohl die Datenschutz-Grundsätze (Rechtmässigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht) die gleichen bleiben, bedeutet die Verordnung ein Quantensprung im Datenschutz. Die Verordnung bringt den Unternehmen einen erheblichen Mehraufwand. Unternehmen müssen umfassende, neue Strukturen und Prozesse schaffen, um den Vorgaben der Verordnung zu entsprechen. Die Verordnung verlangt eine erweiterte Dokumentations- und Nachweispflicht, eine Analyse der Datenschutzrisiken, eine Datenschutz-Folgeabschätzung bei voraussichtlich hohen Risiken, umfassende Informationspflichten bei der Datenerhebung, striktere Löschpflichten und ein Recht auf Vergessenwerden, erhebliche Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen, einen stärkeren Datenschutz durch Technik und Voreinstellungen, ein Verzeichnis von Verarbeitungstätigkeiten, zusätzliche Verantwortung für Datenschutzbeauftragte im Unternehmen, umfassende Rechte der Betroffenen, insbesondere die Rechte auf Auskunft, Berichtigung, Löschung und eben das Recht auf Vergessenwerden.

Die EU-Datenschutzverordnung bringt nicht nur Zusatzaufwand für Unternehmen, sondern erleichtert diesen auch das Business in bestimmten Bereichen. So fallen z.B. die Daten juristischer Personen nicht mehr unter den Datenschutz (inskünftig auch in der Schweiz), was den Bereich B2B erheblich entlastet. Daten von juristischen Personen sind aber inskünftig nicht „Freiwild“, sondern sind immer noch durch den generellen Persönlichkeitsschutz sowie insbesondere den Grundsätzen des Lauterkeitsrechts (in der Schweiz UWG) geschützt. Es fragt sich aber, ob die EU-Datenschutzverordnung auf Daten von natürlicher Personen, die für ein bzw. in einem Unternehmen arbeiten, zur Anwendung kommt. Dazu gibt es kurz nach Einführung der Verordnung noch keine Rechtsprechung. Eine Recherche zeigt aber, dass eine Mehrheit der Kommentatoren davon ausgeht, dass die EU-Datenschutzverordnung in Bezug auf diese Daten zur Anwendung kommt. Da insbesondere im Zusammenhang mit der Kommunikation mit Unternehmen wohl praktisch immer Daten natürlicher Personen ins Spiel kommen, fragt sich, wie sinnvoll eine Unterscheidung von Daten juristischer und Daten natürlicher Personen überhaupt ist. Die Frage ist aber wohl nicht von praktischer Bedeutung, da über kurz oder lang die EU-Datenschutzverordnung von allen Unternehmen umgesetzt wird.

Schweizer Unternehmen, die auf dem EU-Markt tätig sind, dort insbesondere Daten erheben oder Marktteilnehmer beobachten, ist zu raten, sich mit der neuen EU-Datenschutz-Grundverordnung zu befassen und entsprechende Vorkehren im Unternehmen zu treffen. Dabei dürfte der Zuzug von Datenschutz-Fachleuten unumgänglich sein.

Konkrete Datenschutz-Massnahmen

Währenddem die Datenschutz-Grundsätze noch relativ einfach zu verstehen sind, liegt der Teufel auch im Datenschutz im Detail bzw. in deren praktischen Umsetzung.

Wichtige Grundlage dafür und für die Erfüllung der Dokumentationspflichten ist die Erstellung eines Verarbeitungsverzeichnisses. Das Verarbeitungsverzeichnis sollte insbesondere folgende Informationen enthalten:
– Name und Kontaktdaten der Datenschutzverantwortlichen (Unternehmen)
– Zweck der Datenverarbeitung
– Kategorien der betroffenen Personen
– Kategorien der verarbeiteten personenbezogenen Daten
– Kategorien der Empfänger der personenbezogenen Daten
– Information über Datenübermittlung ins Ausland und deren rechtliche Grundlage
– Information, wann oder zumindest nach welchen Kriterien die personenbezogenen Daten gelöscht werden
– Allgemeine Information über technische und organisatorische Massnahmen zur Datensicherung

Das Verarbeitungsverzeichnis kann auf Papier oder in elektronischer Form geführt werden.

In jedem Fall ist zu empfehlen, einen Datenschutzbeauftragten einzusetzen. Dieser soll ein kontinuierliches Datenschutz-Audit, die Ergreifung notwendiger Massnahmen und die Beratung in Sachen Datenschutz gewährleisten. Der Datenschutzbeauftragte kann unternehmensextern oder unternehmensintern sein. Der unternehmensinterne Datenschutzbeauftragte hat den Vorteil, dass er nahe am Geschehen ist. Dafür muss mittels Vereinbarung mit dem Arbeitgeber sichergestellt werden, dass der Datenschutzbeauftragte bei der entsprechenden Tätigkeit gegenüber dem Arbeitgeber frei und unabhängig ist und der Arbeitgeber keine entsprechenden Repressionen ausüben kann. Für den Datenschutzbeauftragten ist ein entsprechender Beschrieb mit dessen Aufgaben zu erstellen. Der Datenschutzbeauftragte kommt seinen Verpflichtungen nach, wenn er diese Aufgaben sorgfältig erfüllt. Er ist jedoch nicht Datenschutzverantwortlicher. Das sind das Unternehmen bzw. dessen Organe selbst.

Unabhängig von der in der DSGVO für hohe Risiken vorgesehenen Datenschutz-Folgeabschätzung sollte in jedem Fall eine Risikoanalyse betreffend möglicher Datenschutzverletzungen durchgeführt und die entsprechend notwendigen Massnahmen getroffen werden.

Bestehende Vereinbarungen mit Dritten, insbesondere mit Auftragsverarbeitern (Dritte, die für das Unternehmen Daten verarbeiten) müssen laufend auf ihre Kompatibilität mit den datenschutzrechtlichen Vorschriften überprüft und allenfalls angepasst werden.

Da der Mensch allgemein das schwächste Glied im Datenschutz ist, ist es elementar, Mitarbeitende regelmässig in Sachen Datenschutz zu sensibilisieren und zu schulen.

Im Rahmen der DSGVO wurden die Rechte der Betroffenen gestärkt. So haben diese sowohl ein Auskunftsrecht, wie auch in Art. 8 DSG vorgesehen, als auch ein Recht auf Vergessenwerden bzw. ein Recht auf Löschung. Dafür muss gewährleistet sein, dass es das System zulässt, auf eine Übersicht der entsprechenden Daten zuzugreifen.

Insbesondere für Unternehmen, die personenbezogene Daten hosten, dürfte das Recht auf Datenübertragbarkeit eine Herausforderung darstellen. Denn neu haben Betroffene das Recht, dass ihre Daten in einem Format gespeichert werden, das die Übertragung an andere Unternehmen erlaubt. Darüber hinaus können Betroffene die direkte Übertragung zwischen den nämlichen Unternehmen verlangen. Das bedeutet, dass Unternehmen eine entsprechende Interoperabilität gewährleisten müssen. Ein Beispiel dafür stellt der Fall dar, in dem ein Kunde von Apple seine Daten aus einer iOS-Applikation (Apple) auf eine Android-Applikation (Google) transferieren will, weil er von einem iPhone auf ein Smartphone mit dem Betriebssystem Android wechselt.

Schlussendlich ist die Datenschutzkommunikation, weil nach aussen sichtbar, ein wesentliches Element konkreter Datenschutz-Massnahmen. Für die interne Kommunikation kann dafür ein Datenschutzreglement erstellt werden. Extern erfolgt die Kommunikation über eine Datenschutzerklärung.

06 Data Protection