Ein Beitrag von Dr. Stefano Caldoro
In wenigen Monaten, am 25. Mai 2018, wird die bereits im Mai 2016 in Kraft getretene Datenschutz-Grundverordnung der EU (DSGVO) ihre Wirkung entfalten und verbindlich angewendet werden. Damit wird der Datenschutz in der EU auf eine einheitliche rechtliche Grundlage gestellt. Im Gegensatz zur bisherigen EU-Datenschutzrichtlinie gilt die DSGVO unmittelbar und eine Umsetzung in nationales Recht ist nicht erforderlich.
Die DSGVO stellt scharfe Anforderungen an die Datenbearbeitung. Unter anderem müssen die Unternehmen Prozesse und Richtlinien zur Risikovorbeugung, zur Einhaltung der Datenschutzgrundsätze, zu Reaktionsmassnahmen und zur entsprechenden Dokumentation implementieren. Die Umsetzung eines betrieblichen Datenschutz-Management Systems wird für jedes Unternehmen unerlässlich sein.
Beispiele von relevanten Bereichen und Tätigkeiten eines Unternehmens sind Personendatenauswertungen und Clusterbildung, Direktwerbemassnahmen, IT-Datensicherheit, Datenbearbeitung bei Zugriff auf Websites, Verträge mit Auftragsdatenbearbeitung (z.B. Auslagerung von Kundenbewirtschaftung, Kundenbefragung oder Kundendatenauswertung, Übertragung des Zahlungsunfähigkeitsrisikos und Debitorenumtriebe an Factoring-Unternehmen, IT-Outsourcing, Cloud-Computing, Hosting, IT-Archivierung, IT-Backup-Dienstleistungen, Profiling, Data Mining, Tracking von Website-Besuchern, kollektive Taggeldversicherung, Lohnbuchhaltungs-Dienstleister), Datenübermittlung ins Ausland, Human Resources-Aktivitäten (z.B. Bearbeitung des Personaldossiers, Personensicherheitsprüfung, Überwachung am Arbeitsplatz, Zugriff auf E-Mails der Angestellten) und Datenlieferprogramme.
Auch für Schweizer Unternehmen relevant
Die DSGVO ist weltweit anwendbar und gilt nicht nur für Unternehmen mit Niederlassung in der EU. Auch Unternehmen mit Niederlassung in Drittstaaten, wie Schweizer Unternehmen, können davon unmittelbar betroffen sein. Insbesondere gilt die DSGVO für Schweizer Unternehmen,
- die Daten von Personen in der EU (wie Adresse oder E-Mail) bearbeiten, um diesen Waren oder Dienstleistungen (entgeltlich oder unentgeltlich) anzubieten (z.B. eine Brauerei, die ihre Produkte an Interessenten in der EU aufgrund einer Liste von E-Mail-Adressen anbietet; eine Website in der Schweiz, die ihre Preise auch in Euro angibt bzw. Liefer- und Zahlungskonditionen für Ausländer erwähnt; ein Schweizer Unternehmen mit einer Service-Hotline in der EU);
- die Daten von Personen in der EU bearbeiten, um das Verhalten dieser Personen zu beobachten (z.B. Datenanalyse von Besuchern einer Webseite oder Nutzern einer App zu Marketingzwecken, wie mit Tracking durch Cookies; Profiling durch Analysetools);
- die an der Datenbearbeitung als Verantwortliche mitwirken (z.B. Schweizer Unternehmen, die Daten in der EU durch ein Outsourcing an einen EU-Cloud-Provider bearbeiten lassen);
- die an der Datenbearbeitung als Auftragsdatenbearbeiter mitwirken (z.B. Schweizer Unternehmen, die in der Schweiz Daten für die Niederlassungen oder Tochtergesellschaften in der EU bearbeiten oder Schweizer Rechenzentren, die für Unternehmen in der EU tätig sind);
- die im Einzelfall durch Rechtswahl die Anwendung des Rechts eines EU-Mitgliedstaates vereinbaren.
Darüber hinaus ist es zu erwarten, dass das sich in Revision befindende schweizerische Datenschutzgesetz (DSG) im Wesentlichen mit der DSGVO weitgehend übereinstimmen wird. Andernfalls würde das Schweizer Datenschutzrecht von der EU nicht als angemessen anerkannt, was wiederum den grenzüberschreitenden Austausch von Daten unverhältnismässig erschweren würde.
Sanktionen im Fall eines Verstosses
Verstösse gegen den materiellen Datenschutz (wie z.B. Datenbearbeitungsgrundsätze, Rechtmässigkeit der Datenbearbeitung, Accountability, Informationspflichten, Einwilligung und Betroffenenrechte) werden mit Geldbussen bis zu EUR 20 Mio. oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres des Unternehmens (nicht des Konzerns) geahndet, wobei es der höhere Wert gilt. Bei Verstössen gegen Datenschutz-Governance (z.B. Privacy Impact Assessment, Benachrichtigungspflicht bei Sicherheitslücken) und den Kinderdatenschutz drohen Bussen bis EUR 10 Mio. oder 2 % des Umsatzes. Die Aufsichtsbehörden können Datenbearbeitungen vorübergehend oder dauernd unterbinden. Darüber hinaus können die Betroffenen zivilrechtliche Ansprüche auf materielle sowie immaterielle Schäden gerichtlich durchsetzen.
Ihre Fragen beantwortet Ihnen gerne Dr. Stefano Caldoro.
Teil 1: EU Datenschutz-Grundverordnung – Ist Ihr Unternehmen bereit?
Teil 2: EU Datenschutz-Grundverordnung – Was Sie wissen müssen
Teil 3: EU Datenschutz-Grundverordnung – Handlungsbedarf