Achtung, fertig, DSGVO

Achtung, fertig, DSGVO
Zürich, 28.05.2018

 

Achtung, fertig, DSGVO

 

Die europäische Datenschutzgrundverordnung (DSGVO oder Englisch General Data Protection Regulation, GDPR) trat am 24. Mai 2016 in Kraft und die Umsetzungsfrist lief am 25. Mai 2018 ab.

Mit der DSGVO wird im Europäischen Wirtschaftsraum das Datenschutzrecht weitgehend vereinheitlicht (Abweichungen in Einzelfragen sind in den nationalen Datenschutzgesetzen aber immer noch möglich). Die DSGVO besteht erst auf dem Papier und es gibt noch keine verbindliche Behörden- oder Gerichtspraxis. Entsprechend sind noch viele Fragen zur Umsetzung offen. Die Regulierungsbehörden haben erst kürzlich Leitlinien zu Schlüsselfragen veröffentlicht, und es kommen laufend neue Leitlinien und Empfehlungen hinzu. Sodann hat erst ein Bruchteil der EU-Länder ihre "Hausaufgaben" gemacht und ihre nationalen Datenschutzgesetze der DSGVO angepasst sowie ihre Aufsichtsbehörden DSGVO-konform aufgestellt.

Die nachfolgenden Abschnitte behandeln zentrale Fragen für Schweizer Unternehmen im Zusammenhang mit der DSGVO. Sie behandeln nicht alle Regelungspunkte der DSGVO und stehen unter dem Vorbehalt, dass viele Fragen noch offen sind und mangels der oben erwähnten Behörden- und Gerichtspraxis offenbleiben bzw. Mutmassungen über mögliche Antworten angestellt werden müssen.

Es ist damit zu rechnen, dass nunmehr laufend neue Empfehlungen von Behörden und Verbänden ergehen. Die DSGVO ist ein Thema, das betroffene Unternehmen noch länger begleiten wird.

1. Wieso ist die DSGVO auch für Schweizer Unternehmen relevant?

Schweizer Unternehmen fallen in den Anwendungsbereich der DSGVO, wenn sie eine Niederlassung in der EU haben (Art. 3 (1) DSGVO). Eine Niederlassung setzt gemäss Erläuterungen zur DSGVO die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus, ungeachtet der Rechtsform dieser Einrichtung.

Schweizer Unternehmen fallen auch ohne Niederlassung in der EU in den Anwendungsbereich der DSGVO, wenn sie Waren und Dienstleistungen an sich in der EU befindende Personen im Sinne einer aktiven Marktbearbeitung anbieten oder das Verhalten von sich in der EU befindenden Personen überwachen (sog. "Marktortprinzip", Art. 3 (2) DSGVO).

Eine aktive Marktbearbeitung durch ein Schweizer Unternehmen im Europäischen Wirtschaftsraum findet gemäss DSGVO dann statt, wenn offensichtlich beabsichtigt ist, Endkunden (der englische Text spricht von "data subjects", was per Definition nur natürliche Personen sein können) in einem oder mehreren Mitgliedstaaten der Union Waren oder Dienstleistungen anzubieten. Die blosse Zugänglichkeit einer Website in der Union, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Land des Anbieters allgemein gebräuchlich ist, ist kein ausreichender Anhaltspunkt für "offensichtliches Anbieten". Andere Faktoren hingegen, wie die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der Union befinden, deuten auf eine solche Absicht hin.

Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen Personen gilt, ist daran festzumachen, ob deren Internetaktivitäten nachvollzogen werden und so von der betreffenden Person ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen (d.h. Einsatz von Tracking-Tools, Profiling).

Sodann besteht die Möglichkeit, dass Schweizer Unternehmen vertraglich zur Einhaltung der DSGVO verpflichtet werden, beispielsweise wenn das Schweizer Unternehmen als Vertragspartner eines EU-Unternehmens in deren Auftrag eine Datenverarbeitung vornimmt (vgl. Art. 28 DSGVO, Datenverarbeitungsvertrag).

2. Welche Daten sind denn überhaupt betroffen?

Gemäss DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen als personenbezogene Daten zu qualifizieren.

Dies beinhaltet nebst den offensichtlich personenbezogenen Daten wie Namen, E-Mailadresse, Telefonnummer explizit auch Daten wie IP-Adressen, GPS-Daten, MAC-Adressen, eindeutige Mobilgerätekennungen, User-IDs und dergleichen.

Die DSGVO verpflichtet Unternehmen, ein entsprechendes Verarbeitungsverzeichnis über die konkret bearbeiteten Daten zu führen (der zwingende Inhalt eines solches Verzeichnisses ist in Art. 30 DSGVO beschrieben. Siehe auch Muster-Verarbeitungsverzeichnis von BITKOM: https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Verarbeitungsverzeichnis-online.pdf).

3. Wenn mein Unternehmen unter die DSGVO fällt, was für Konsequenzen hat das für die Bearbeitung dieser Daten?

Die DSGVO statuiert umfangreiche Informations- und Rechenschaftspflichten. Betroffene Personen müssen einerseits umfangreicher als bisher über die Datenbearbeitung informiert werden, und andererseits spricht die DSGVO diesen Personen umfangreiche Rechte hinsichtlich Auskunft, Anspruch auf Löschung und Übergabe von Daten zu. Unternehmen müssen folglich intern ein Datenmanagement implementieren, das diesen Pflichten entspricht und garantiert, dass betroffene Personen ihre Ansprüche in dem von der DSGVO festgelegten Umfang und Zeitrahmen geltend machen können.

Die Datenbearbeitung hat sich an den Prinzipien "Privacy by Design" und "Privacy by Default" zu halten. "Privacy by Design" bedeutet, dass der für die Verarbeitung Verantwortliche sowohl zum Zeitpunkt der Festlegung der Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung selbst, geeignete technische und organisatorische Massnahmen implementieren muss, um die Grundsätze der DSGVO wirksam umzusetzen. "Privacy by Default" bedeutet, dass der für die Verarbeitung Verantwortliche geeignete technische und organisatorische Massnahmen treffen muss, um sicherzustellen, dass standardmässig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Zweck der Verarbeitung erforderlich sind. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, die Dauer ihrer Speicherung und deren Zugänglichkeit.

Die GDPR verpflichtet Unternehmen sodann, technische und organisatorische Massnahmen zu implementieren, die ein angemessenes Mass an Datensicherheit gewährleisten. Gemäss DSGVO sind beispielsweise folgende Massnahmen zu treffen:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der eingesetzten Verarbeitungssysteme;
  • Gewährleistung, dass personenbezogene Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederhergestellt werden können.

Der Einsatz der konkreten technischen und organisatorischen Massnahmen ist zu dokumentieren, und die Wirksamkeit der Massnahmen ist regelmässig zu überprüfen. Aufgrund der Rechenschaftspflicht ist auch die Überprüfung entsprechend zu dokumentieren.

Sodann statuiert die DSGVO eine Meldepflicht für Datenschutzverletzungen an die zuständige Datenschutzbehörde. Die Mitteilung ist unverzüglich und soweit möglich spätestens 72 Stunden nach Kenntnisnahme des Vorfalls zu machen. Im Falle von Schweizer Unternehmen hat die Meldung an die Aufsichtsbehörden in allen EU-Ländern zu erfolgen, in denen sich betroffene Personen befinden. In gewissen Fällen (den Betroffenen drohen schwere Nachteile durch den Vorfall) müssen nebst den Aufsichtsbehörden auch die betroffenen Personen selber informiert werden. Unternehmen sollten für diese Fälle ein entsprechendes Notfallkonzept erarbeiten, implementieren und regelmässig prüfen.

4. Gemäss DSGVO ist eine Bearbeitung von Personendaten grundsätzlich verboten und nur erlaubt, wenn ein Rechtfertigungsgrund vorliegt. Was sind mögliche Rechtfertigungsgründe?

Laut DSGVO ist eine Verarbeitung personenbezogener Daten nur dann rechtmässig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  • die betroffene Person hat ihre Einwilligung zur Verarbeitung erteilt;
  • die Verarbeitung ist notwendig für die Erfüllung eines Vertrages, an dem die betroffene Person beteiligt ist, oder um auf Verlangen der betroffenen Person vor Vertragsabschluss bestimmte Massnahmen zu ergreifen;
  • die Verarbeitung erfolgt aufgrund einer gesetzlichen Verpflichtung;
  • die Verarbeitung ist notwendig, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen,
  • die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse ausgeführten Aufgabe erforderlich ist;
  • die Verarbeitung ist durch ein berechtigtes Interesse des verarbeitenden Unternehmens oder eines Dritten erforderlich, es sei denn die Interessen der betroffenen Person überwiegen.

5. Welche Anforderungen gelten, wenn ich mich auf die Einwilligung der betroffenen Person als Rechtfertigungsgrund stütze?

Die Einwilligung muss freiwillig erteilt werden, und die betroffene Person ist detailliert über die erhobenen Daten und den Bearbeitungszweck hinzuweisen, so dass die Einwilligung informiert erfolgen kann. Eine Einwilligung ist sodann nur gültig, wenn sie durch eine eindeutige Willenskundgebung der betroffenen Person erfolgt (d.h. eine Erklärung oder eine eindeutige positive Handlung).

Die Einwilligung wird häufig über eine Datenschutzerklärung (Privacy Notice) eingeholt (eine von Prof. Thomas Hoeren und seinem Team an der Universität Münster erarbeitete, DSGVO-konforme Musterdatenschutzerklärung ist hier abrufbar: http://www.uni-muenster.de/Jura.itm/hoeren/itm/wp-content/uploads/Musterdatenschutzerkärung-nach-der-DSGVO.docx) . Diese ist in verständlicher und leicht zugänglicher Form und in klarer und verständlicher Sprache vorzulegen. Die betroffene Person muss ihre Einwilligung jederzeit problemlos widerrufen können und vorab über dieses Recht informiert werden. Für die Zustimmung von Kindern gelten sodann besondere Anforderungen.

6. Welche Rechte kann eine betroffene Person geltend machen?

Betroffene Personen haben einerseits ein Auskunftsrecht. Dieses verpflichtet das Unternehmen dazu, den Betroffenen unentgeltlich bestimmte Informationen über die Verarbeitung ihrer personenbezogenen Daten zu erteilen. Diese Informationen müssen in einer prägnanten, transparenten, verständlichen und leicht zugänglichen Form in klarer und verständlicher Sprache zur Verfügung gestellt werden. Die DSGVO sieht vor, dass Anfragen innert 30 Tagen zu erledigen sind. Es empfiehlt sich daher, ein entsprechendes Konzept für die Entgegennahme und Behandlung von Anfragen zu implementieren.

Sodann statuiert die DSGVO das sogenannte "Recht auf Vergessen", sprich die Betroffenen haben das Recht, in gewissen Fällen die Löschung ihrer Daten zu verlangen. Ein Recht auf Löschung besteht insbesondere, wenn die Informationen für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind oder wenn die Person ihre Einwilligung widerruft und es keine anderen rechtlichen Gründe für die Verarbeitung ihrer Daten gibt.

Sodann haben Betroffene eine Recht auf Datenportabilität hinsichtlich gewisser Daten, nämlich das Recht, personenbezogene Daten, die sie dem für die Verarbeitung Verantwortlichen zur Verfügung gestellt haben, in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zu erhalten und diese Daten ungehindert an einen anderen Verantwortlichen zu übermitteln. Dieses Recht gilt jedoch nur für personenbezogene Daten, die eine Person dem für die Verarbeitung Verantwortlichen zur Verfügung gestellt hat und die Verarbeitung auf dem Rechtfertigungsgrund der Einwilligung oder Erfüllung eines Vertrages beruht und die Verarbeitung automatisiert erfolgt (Paradebeispiel: Daten, die Nutzer auf Facebook hochladen).

7. Unser Unternehmen bearbeitet Daten im Auftrag eines Dritten. Was ist hinsichtlich DSGVO zu beachten?

Die DSGVO unterscheidet zwischen Controller (in der deutschen Übersetzung "Verantwortlicher") und Processor (in der deutschen Übersetzung "Auftragsverarbeiter"). Controller ist gemäss DSGVO die Partei, welche alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Processor ist jene Partei, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Der Processor ist wie der Controller verpflichtet, die Vorgaben der DSGVO einzuhalten. Als Controller darf ich nur Processors beiziehen, die hinreichende Garantien dafür bieten, dass sie Daten DSGVO-konform verarbeiten. Zwischen Controller und Processor muss ein Vertrag geschlossen werden (Ausnahme bei Vorliegen einer anderen Rechtsgrundlage wie Binding Corporate Rules oder Gesetz). Die DSGVO legt einen zwingend anzuwendenden Mindestinhalt für diesen Vertrag fest. So ist beispielsweise festzuhalten, dass der Processor Daten nur nach den ausdrücklichen Anweisungen des Controllers verarbeiten und er ohne Zustimmung des Controllers keinen anderen Processor mit der Datenbearbeitung beauftragen kann (Muster der BITKOM abrufbar unter: https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/EU-DSG/170515-Auftragsverarbeitung-Anlage-Mustervertrag-online.pdf).

8. Muss unter der DSGVO ein Datenschutzbeauftragter bestellt werden?

Die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht nach DSGVO nur dann, wenn:

  • die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmässige und systematische Überwachung von betroffenen Personen darstellen; oder
  • die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonders sensibler Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht. Besonders sensible Daten sind Daten betreffend rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Die nationalen Datenschutzgesetze der EU-Länder können hiervon abweichen und auch eine generelle Pflicht zur Bestellung eines Datenschutzbeauftragten vorsehen.

9. Wie geht eine Aufsichtsbehörde der EU gegenüber einem Schweizer Unternehmen vor?

Das ist im Moment noch unklar. Gemäss DSGVO sind Unternehmen, die aufgrund des Marktortprinzips (vgl. oben Frage 1) unter den Anwendungsbereich der DSGVO fallen und keine Niederlassung in der EU haben, grundsätzlich verpflichtet, einen Vertreter in der Union zu benennen, an den sich betroffene Personen und Aufsichtsbehörden wenden können.

Diese Pflicht zur Vertreterbestellung besteht nicht, wenn die Datenverarbeitung nur gelegentlich erfolgt, keine umfangreiche Verarbeitung sensibler Daten (vgl. Frage 8) und keine umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten erfolgt sowie unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Was eine nur "gelegentliche" Bearbeitung ist, ist nicht eindeutig definiert. Es wird aber davon ausgegangen, dass die Ausnahme streng auszulegen ist und nur für Ausnahmefälle gelten soll.

Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen sich die von der Datenverarbeitung betroffenen Personen befinden.

Das der DSGVO angepasste deutsche Datenschutzgesetz BDSG hält in Bezug auf die Schweiz fest, dass diese hinsichtlich Datenverarbeitung nach DSGVO den Mitgliedstaaten der Europäischen Union gleichgestellt ist und nicht als Drittstaat gilt. Es wird daher die Meinung vertreten, dass Deutschland damit keine Vertreterbestellung gegenüber unter die DSGVO fallende Schweizer Unternehmen verlangt. Frankreich soll ebenfalls eine entsprechende Bestimmung im nationalen Datenschutzgesetz vorsehen. Allerdings ist strittig, ob die einzelnen Länder in ihrer nationalen Gesetzgebung überhaupt eine solche Erleichterung vorsehen können. Die betreffende DSGVO-Bestimmung (Art. 27) selber sieht nämlich hinsichtlich der Vertreterbestellung keine solche Öffnung vor. Die Nichtbestellung eines Vertreters kann mit Busse sanktioniert werden.

10. Welche Konsequenzen drohen bei Nichteinhaltung der Vorgaben der DSGVO?

Die DSGVO sieht einerseits vor, dass betroffene Person(en) und Verbände Klage erheben und Schadenersatz fordern können.

Sodann befugt die DSGVO die Datenschutzbehörden, je nach Verstoss, Geldbussen in Höhe von bis zu 10 Millionen bzw. 20 Millionen Euro oder 2% bzw. 4% des weltweiten Jahresumsatzes zu verhängen.

Hierbei handelt es sich um Maximalbussen, und im Rahmen der Einzelfallbeurteilung werden verschiedene Faktoren für die Bestimmung der Bussenhöhe berücksichtigt, beispielsweise (nicht abschliessend):

  • Art, Schwere und Dauer des Verstosses;
  • Anzahl der von der Verarbeitung betroffenen Personen und das Ausmass des erlittenen Schadens;
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstosses;
  • Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Massnahmen.

Besteht „nur“ eine vertragliche Pflicht, Daten DSGVO-konform zu verarbeiten, richtet sich das Haftungsrisiko nach dem entsprechenden Vertrag.

11. Wir haben noch keinerlei Vorkehrungen im Hinblick auf die DSGVO getroffen. Was sollen wir tun?

Prüfen Sie als Erstes, ob Ihr Unternehmen überhaupt in den Anwendungsbereich der DSGVO fällt (siehe Abschnitt 1 oben). Wenn nein, dann besteht für Sie derzeit kein Handlungsbedarf. Zwar soll das Schweizer Datenschutzgesetz in Anlehnung an die DSGVO ebenfalls revidiert werden, jedoch ist derzeit unklar, in welchem Ausmass und in welchem Zeitrahmen eine solche Anlehnung tatsächlich stattfinden wird. Um rechtzeitig Umsetzungsmassnahmen ergreifen zu können, sollte das Thema Datenschutz jedoch in jedem Fall unter systematischer Beobachtung bleiben.

Ist die DSGVO anwendbar, erstellen Sie ein Data Mapping / Data Inventory und dokumentieren Sie, welche personenbezogenen Daten in den Anwendungsbereich der DSGVO fallen (siehe Abschnitt 2), auf Basis welches Rechtfertigungsgrundes Sie die Daten bearbeiten (siehe Abschnitt 4) und welche Datenflüsse intern und an externe Datenverarbeiter stattfinden. Klassifizieren Sie, wer Zugriff auf verschiedene Datentypen hat, wer die Daten gemeinsam nutzt und welche Anwendungen diese Daten verarbeiten.

Prüfen Sie anhand dieser Dokumentation, ob die Daten unter eine DSGVO-Sonderkategorie fallen (besonders sensible Daten; Daten für Profiling, etc.).

Bewerten Sie die Risiken für die betroffenen Daten und überprüfen Sie interne Richtlinien und Verfahren, Ihre Datenschutzerklärung(en) und Verträge mit Vertragspartnern, an welche Daten übermittelt werden auf Konformität mit den Anforderungen der DSGVO. Bei fehlender Konformität, passen Sie die Unterlagen entsprechend an.

Prüfen Sie, ob und wo Sie einen Vertreter in der EU bestellen müssen (siehe Abschnitt 9).

Als Hilfestellung können die im Text verlinkten Mustertexte und ein von einem Team von  Schweizer Datenschutzexperten entwickeltes und unter www.dsat.ch abrufbares Self-Assessment Tool dienen.

Kontakt

Claudia Keller, Rechtsanwältin, LL.M., CIP/E, CIP/M

Dr. Michael Tschudin, Rechtsanwalt

 

Standort Zürich

Wenger & Vieli AG
Dufourstrasse 56
Postfach
CH-8034 Zürich
Karte

Standort Zug

Wenger & Vieli AG
Metallstrasse 9
CH-6300 Zug
Karte

Kontakt

Telefon +41 58 958 58 58
Telefax +41 58 958 59 59
mail [SECURE E-MAIL - REWRITE MANUALLY] *at* wengervieli.ch

Social-Media