Ein Beitrag von Dr. Stefano Caldoro
Was man von der DSGVO wissen muss
Das Ziel der DSGVO ist der Schutz personenbezogener Daten der EU-Bürger als Grundrecht. Zu berücksichtigen sind insbesondere die folgenden Eckpunkte:
Personendaten: Die personenbezogenen Daten sind nach dem „absoluten“ Ansatz der EU alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, wobei eine Person „identifizierbar“ ist, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung wie IP-Adressen und Cookie-Kennungen u.Ä. identifiziert werden kann.
Bearbeitungsgrundsätze: Die Bearbeitung personenbezogener Daten darf immer nur unter Beachtung bestimmter Grundsätze erfolgen, d.h. Rechtmässigkeit, Treu und Glauben, Transparenz (Erkennbarkeit von Datenbeschaffung und Bearbeitungszweck), Zweckbindung, Verhältnismässigkeit (Datenminimierung), Richtigkeit der Daten, Speicherbegrenzung, Datensicherheit (technische und organisatorische Massnahmen geeignet zur Sicherung von Integrität, Vertraulichkeit und Verfügbarkeit der Daten), Rechenschaftspflicht, beschränkte Bearbeitung durch Dritte (Auftragsdatenbearbeiter), beschränkte Datenübermittlung ins Ausland.
Rechtfertigungsgrund: Jede Datenbearbeitung erfordert einen Rechtfertigungsgrund, wie die Einwilligung, die Erfüllung einer Rechtspflicht, oder andere berechtigte Interessen.
Einwilligung: Beruht die Datenbearbeitung auf einer Einwilligung des Betroffenen, muss diese freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden sowie „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erfolgen. Ein Ersuchen um Einwilligung muss immer von anderen Themen und Bedingungen getrennt dargestellt und ebenso in einer klaren und einfachen Sprache formuliert sein. Die Einwilligung der Bearbeitung von sensiblen Daten muss ausdrücklich sein (Stillschweigen, Untätigkeit und bereits angekreuzte Kästchen sind keine Einwilligung), wobei die Beweislast beim Datenverantwortlichen liegt. Die Einwilligung ist jederzeit widerrufbar. Im Einzelfall ist zu prüfen, ob die Einwilligung wirklich frei erteilt wurde, v.a. falls ein erhebliches Missverhältnis zwischen dem Datenverantwortlichen und dem Betroffenen besteht (z.B. wenn eine Dienstleistung von der Einwilligung zur Datenbearbeitung abhängig gemacht wird, die für die Erbringung der Dienstleistung nicht erforderlich ist). Jugendliche ab dem Alter von 16 Jahren dürfen die Einwilligung selbst erteilten (die Mitgliedsstaaten können aber das Mindestalter bis auf 13 Jahre reduzieren). Bei Kindern unter dem Mindestalter ist die Zustimmung der Eltern erforderlich.
Umfassende Information: Der Grundsatz der Transparenz beinhaltet eine umfassende und aktive Informationspflicht mit definiertem Mindestinhalt seitens des Datenverantwortlichen. Die von einer Datenbearbeitung betroffenen Personen sind bereits beim Erstkontakt (d.h. bei der Datenbeschaffung) „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ über Folgendes zu informieren: Kontaktdaten des Verantwortlichen und des Datenschutzvertreters, Zweck und Rechtsgrundlage der Bearbeitung, Datenkategorien (sofern die Daten bei Dritten beschafft werden), berechtigte Interessen für die Bearbeitung, Angaben der Empfänger der Daten, angemessene Garantien für den internationalen Datentransfer, Dauer der Speicherung, Rechte der Betroffenen und automatisierte Einzelfallentscheide (inkl. Profiling) mit entsprechenden Kriterien. Die Information der Betroffenen muss im konkreten Einzelfall oder mindestens allgemein vorab in Datenschutzerklärungen oder in AGB über gut sichtbaren und verständlichen Link (mindestens im Fall der Direkterhebung von Daten über die Webseite) erfolgen. Die Informationspflicht gilt auch bei indirekter Datenbeschaffung (dafür ist eine Webseite-Information empfehlenswert) und bei späterer Änderung des Bearbeitungszwecks. Ausnahmen sind nur in besonderen Situationen, wie bei unternehmensinternen Untersuchungen, gestattet.
Betroffenenrechte: Die von Datenbearbeitungen betroffenen Personen haben umfangreiche Rechte, namentlich auf Auskunft über alle Details der Bearbeitung sowie über alle aufgrund der Datenbearbeitung gefällten Entscheidungen, auf Berichtigung falscher Daten, auf unverzügliche Löschung der eigenen Daten (Recht auf Vergessenwerden) und Weitermeldung des Löschbegehrens bei veröffentlichten Daten, auf Beschränkung und Widerspruch gegen bestimme Bearbeitungen (z.B. Direktmarketing), auf Datenportabilität (Herausgabe der selbst zur Verfügung gestellten Daten in einem gängigen maschinenlesbaren Format oder Übertragung an einen Nachfolger), auf Widerruf der Einwilligung, auf Beschwerde bei der Aufsichtsbehörde, auf Anhörung bei automatisierten Einzelfallentscheiden. Diese Anträge sind unentgeltlich (ausser bei exzessiven oder offenkundig unbegründeten Anträgen) und innert Monatsfrist zu erfüllen (bei komplexen Anfragen ist diese Frist um zwei Monate verlängerbar). Klare Prozesse sind dafür unentbehrlich.
Technische und organisatorische Massnahmen: Personendaten sind durch angemessene technische und organisatorische Massnahmen zu sichern. Gemäss der DSGVO müssen Datenbearbeitungssysteme von Anfang an datenschutzfreundlich ausgestaltet sein, z.B. durch Minimierung der bearbeiteten Daten und Pseudonymisierung („Privacy by Design“). Als Konkretisierung des Verhältnismässigkeitsgrundsatzes müssen Voreinstellungen (wie vorangekreuzte Kästchen) so gewählt werden, dass nur für den Bearbeitungszweck erforderliche Daten bearbeitet werden („Privacy by Default“).
Datenschutz-Folgeabschätzungen („Privacy Impact Assessment“): Vor Aufnahme der Datenbearbeitung muss der Bearbeiter von Personendaten (sei er der Datenverantwortliche oder der Auftragsdatenbearbeiter) eine Abschätzung der Folgen von Datenbearbeitungsvorgängen durchführen, wenn die Bearbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt („Privacy Impact Assessment“). Damit sind die mit der geplanten Bearbeitung verbundenen Risiken zu identifizieren, zu bewerten und durch die möglichen Schutzmassnahmen zu vermeiden oder zu minimieren. Wenn ein Risiko nicht mit Schutzmassnahmen beschränkt werden kann, ist die Aufsichtsbehörde zu konsultieren. Die Risikoanalysen und Folgeabschätzungen sind laufend zu überprüfen, zu überarbeiten und zu auditieren.
„Privacy Breach“: Verstösse gegen Datenschutzmassnahmen bzw. Sicherheitslücken (wie z.B. Hacker, Datenverluste, falsch versendete E-Mails, vertauschte Rechnungen, weisungswidrige Datennutzung) sind unverzüglich zu verzeichnen und, wenn Auswirkungen auf die Betroffenen möglich sind, innert 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Die Betroffenen selbst sind unverzüglich und in einfacher und klarer Sprache zu informieren, wenn voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten besteht.
Auslanddatentransfer: Die Datenübermittlung ins Ausland (z.B. bei Unternehmensübernahmen, Zentralisierung oder Outsourcing von Datenbearbeitungen wie Kundendaten oder Lohnbewirtschaftung) ist zulässig, (i) wenn die allgemeinen Datenschutzgrundsätze eingehalten werden und (ii) wenn der Datenschutz im Zielland aus der EU-Perspektive als „angemessen“ anerkannt wird oder durch vertragliche Garantien bzw. behördlich genehmigte „Binding Corporate Rules“ bzw. „Code of Conducts“ gesichert ist.
„Accountability“: Der Datenverantwortliche trägt die Beweislast für die Einhaltung der Grundsätze der Datenbearbeitung. Dieser Compliance-Nachweis schliesst verschiedene Pflichten ein und bewirkt einen erhöhten Aufwand, wie z.B. die Dokumentation der Bearbeitungsvorgänge (mit einem Verzeichnis der Bearbeitungstätigkeiten), der Datenminimierung, der Datenschutz-Folgeabschätzung und der getroffenen Schutzmassnahmen.
Datenschutzbeauftragter: Unter Umständen (insbesondere bei regelmässigem, systematischem und umfangreichem Verhaltenstracking von Betroffenen sowie bei umfangreichen Verarbeitungen sensitiver Personendaten, d.h. Big-Data-Analysen) müssen Datenverantwortliche und Auftragsdatenbearbeiter einen Datenschutzbeauftragten ernennen. Der Datenschutzbeauftragte muss eine qualifizierte unabhängige Ansprechperson für das Unternehmen, die Betroffenen und die Aufsichtsbehörde sein.
Datenschutzvertreter in der EU: Schweizer Unternehmen ohne Niederlassung in der EU sind verpflichtet, einen Vertreter in der EU zu ernennen, der sie in Bezug auf ihre Pflichten unter der DSGVO vertritt (ausser wenn sie Daten von in der EU ansässigen Personen nur gelegentlich bearbeiten und keine umfangreiche Bearbeitung von besonders schützenswerten Personendaten wie Gesundheitsdaten vornehmen).
Rolle des Auftragsdatenbearbeiters: Unter der DSGVO hat der Auftragsdatenbearbeiter unmittelbare Pflichten, wie Führung eines Verzeichnisses der für den Datenverantwortlichen durchgeführten Bearbeitungstätigkeiten, Ernennung eines Datenschutzbeauftragten und/oder eines Datenschutzvertreters (wenn nötig), unverzügliche Meldung von Datenschutzverstössen an den Datenverantwortlichen. Die Bestimmungen über den Datentransfer ins Ausland sind anwendbar und Binding Corporate Rules werden anerkannt.
Ihre Fragen beantwortet Ihnen gerne Dr. Stefano Caldoro.
Teil 1: EU Datenschutz-Grundverordnung – Ist Ihr Unternehmen bereit?
Teil 2: EU Datenschutz-Grundverordnung – Was Sie wissen müssen
Teil 3: EU Datenschutz-Grundverordnung – Handlungsbedarf