DSGVO – Nur keine Panik
Am 25. Mai 2018 lief die Frist zur Umsetzung der Europäischen Datenschutzgrundverordnung (DSGVO, engl. GDPR) ab, die am 24. Mai 2016 in Kraft trat. Die DSGVO ist unter gewissen Voraussetzungen auch direkt auf Schweizer Unternehmen anwendbar. Im Markt herrscht entsprechend Hektik, aber auch Ratlosigkeit zugleich. Expertin Claudia Keller beantwortet die wichtigsten Fragen.
Am 25. Mai 2018 lief die Frist zur Umsetzung der Europäischen Datenschutzgrundverordnung (DSGVO, engl. GDPR) ab, die am 24. Mai 2016 in Kraft trat und für den Europäischen Wirtschaftsraum (EU inkl. EWR-Länder) gilt. Die DSGVO ist unter gewissen Voraussetzungen auch direkt auf Schweizer Unternehmen anwendbar. Im Markt herrscht entsprechend Hektik, aber auch Ratlosigkeit zugleich.
Die Anforderungen der DSGVO sind strenger als die bisherigen Datenschutzbestimmungen. Gleichzeitig lassen viele Regelungen Raum für Interpretationen und vieles ist mangels entsprechender Gerichts- und Behördenpraxis noch unklar. Viele Unternehmen, insbesondere kleinere und mittlere Unternehmen mit beschränkten personellen und finanziellen Ressourcen, werden bis dato wohl nur einen Teil der notwendigen Massnahmen umgesetzt haben.
Ein kleiner Trost mag sein, dass die Umsetzungsfrist auch für die Mitgliedstaaten und deren Behörden selber galt und bis zum 25. Mai 2018 weniger als die Hälfte der Länder ihre “Hausaufgaben” erledigt haben. Den meisten Ländern fehlt gemäss einer neuen Umfrage von Reuters «the necessary funding or the proper powers in place to enforce the GDPR». Dies bedeutet natürlich nicht, dass betroffene Schweizer Unternehmen nicht versuchen sollten, möglichst viele Anforderungen möglichst rasch zu erfüllen. Schliesslich drohen bei gewissen Verstössen erhebliche Bussen (bis zu EUR 20 Mio. bzw. 4% des weltweiten Unternehmensumsatzes des Vorjahres, je nachdem welcher Betrag höher ist und beides abhängig von der Schwere des Verstosses).
Die verspätete Umsetzung auch auf Ebene der Länder und Behörden lässt aber vermuten, dass nicht gleich per 26. Mai 2018 mit der Einleitung von Bussenverfahren zu rechnen ist. Kleinere und mittlere Unternehmen, insbesondere solche in der Schweiz werden zudem kaum im Fokus stehen, sondern grosse, weltweit tätige Firmen wie Facebook, Google und Co. Max Schrems, bekannt durch die von ihm initiierten Gerichtsverfahren gegen Facebook, hat mit seinem Verein NOYB – Europäisches Zentrum für digitale Rechte (https://noyb.eu/) bereits Beschwerden gegen Facebook, Google, WhatsApp und Instagram eingereicht. Wichtige Weichen für die Umsetzung der Anforderungen der DSGVO werden jetzt laufend gestellt werden. Die untenstehenden Fragen und Antworten sollen eine erste Orientierungshilfe bieten.
1. Wieso ist die DSGVO auch für Schweizer Unternehmen relevant?
Schweizer Unternehmen fallen in den Anwendungsbereich der DSGVO, wenn sie eine Niederlassung in der EU haben (Art. 3 (1) DSGVO). Eine Niederlassung setzt gemäss Erläuterungen zur DSGVO die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus, ungeachtet der Rechtsform dieser Einrichtung.
Schweizer Unternehmen fallen auch ohne Niederlassung in der EU in den Anwendungsbereich der DSGVO, wenn sie Waren und Dienstleistungen an sich in der EU befindende natürliche Personen (die englische Version spricht von “data subjects”, was per Definition nur natürliche Personen sein können) im Sinne einer aktiven Marktbearbeitung anbieten oder das Verhalten von sich in der EU befindenden Personen überwachen (sog. «Marktortprinzip», Art. 3 (2) DSGVO).
Eine aktive Marktbearbeitung durch ein Schweizer Unternehmen in der EU findet gemäss DSGVO dann statt, wenn offensichtlich beabsichtigt ist, betroffenen Personen in einem oder mehreren Mitgliedstaaten der Union Waren oder Dienstleistungen anzubieten. Die blosse Zugänglichkeit einer Website in der Union, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Land des Anbieters allgemein gebräuchlich ist, ist kein ausreichender Anhaltspunkt für «offensichtliches Anbieten». Andere Faktoren hingegen, wie die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der Union befinden, deuten auf eine solche Absicht hin. In regulierten Bereichen wie bspw. im Bereich Stellenvermittlung oder Vermögensverwaltung wo für die grenzüberschreitende Tätigkeit eine Zulassung notwendig ist, dürfte das Vorhandensein einer solchen Zulassung für den EU-Raum Absicht manifestieren.
Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen Personen gilt, ist daran festzumachen, ob deren Internetaktivitäten nachvollzogen werden und so von der betreffenden Person ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen (d.h. Einsatz von Tracking-Tools, Profiling).
Sodann besteht die Möglichkeit, dass Schweizer Unternehmen vertraglich zur Einhaltung der DSGVO verpflichtet werden, beispielsweise wenn das Schweizer Unternehmen im Auftrag eines im EWR-Raum ansässigen Unternehmens eine Datenverarbeitung vornimmt (vgl. Art. 28 DSGVO, Datenverarbeitungsvertrag).
2. Welche Daten sind denn überhaupt betroffen?
Gemäss DSGVO sind alle Informationen als personenbezogene Daten zu qualifizieren, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies beinhaltet nebst den offensichtlich personenbezogenen Daten wie Name, E-Mail-Adresse und Telefonnummer explizit auch Daten wie IP-Adressen, GPS-Daten, MAC-Adressen, eindeutige Mobilgerätekennungen, User-IDs und dergleichen.
Die DSGVO verpflichtet Unternehmen, ein entsprechendes Verarbeitungsverzeichnis über die konkret bearbeiteten Daten zu führen .
3. Wenn mein Unternehmen unter die DSGVO fällt, was für Konsequenzen hat das für die Bearbeitung dieser Daten?
Die DSGVO statuiert umfangreiche Informations- und Rechenschaftspflichten. Betroffene Personen müssen einerseits umfangreicher als bisher über die Datenbearbeitung informiert werden und andererseits spricht die DSGVO diesen Personen umfangreiche Rechte hinsichtlich Auskunft, Anspruch auf Löschung und Übergabe von Daten zu. Unternehmen müssen folglich intern ein Datenmanagement implementieren, das diesen Pflichten entspricht und garantiert, dass betroffene Personen ihre Ansprüche in dem von der DSGVO festgelegten Umfang und Zeitrahmen geltend machen können.
Die Datenbearbeitung hat sich an den Prinzipien «Privacy by Design» und «Privacy by Default» zu halten. «Privacy by Design» bedeutet, dass der für die Verarbeitung Verantwortliche sowohl zum Zeitpunkt der Festlegung der Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung selbst, geeignete technische und organisatorische Massnahmen implementieren muss, um die Grundsätze der DSGVO wirksam umzusetzen. «Privacy by Default» bedeutet, dass der für die Verarbeitung Verantwortliche geeignete technische und organisatorische Massnahmen treffen muss, um sicherzustellen, dass standardmässig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Zweck der Verarbeitung erforderlich sind. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, die Dauer ihrer Speicherung und deren Zugänglichkeit.
Die GDPR verpflichtet Unternehmen sodann, technische und organisatorische Massnahmen zu implementieren, die ein angemessenes Mass an Datensicherheit gewährleisten. Gemäss DSGVO sind beispielsweise folgende Massnahmen zu treffen:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der eingesetzten Verarbeitungssysteme
- Gewährleistung, dass personenbezogene Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederhergestellt werden können
Der Einsatz der konkreten technischen und organisatorischen Massnahmen muss dokumentiert und die Wirksamkeit der Massnahmen regelmässig überprüft werden. Aufgrund der Rechenschaftspflicht ist auch die Überprüfung entsprechend zu dokumentieren.
Sodann statuiert die DSGVO eine Meldepflicht für Datenschutzverletzungen an die zuständige Datenschutzbehörde. Die Mitteilung ist unverzüglich und soweit möglich spätestens 72 Stunden nach Kenntnisnahme des Vorfalls zu machen. Im Falle von Schweizer Unternehmen hat die Meldung an die Aufsichtsbehörden in allen EU-Ländern zu erfolgen, in denen sich betroffene Personen befinden. In gewissen Fällen (den Betroffenen drohen schwere Nachteile durch den Vorfall) müssen nebst den Aufsichtsbehörden auch die betroffenen Personen selber informiert werden. Unternehmen sollten für diese Fälle ein entsprechendes Notfallkonzept erarbeiten, implementieren und regelmässig prüfen.
4. Gemäss DSGVO ist eine Bearbeitung von Personendaten grundsätzlich verboten und nur erlaubt, wenn ein Rechtfertigungsgrund vorliegt. Was sind mögliche Rechtfertigungsgründe?
Laut DSGVO ist eine Verarbeitung personenbezogener Daten nur dann rechtmässig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
- Die betroffene Person hat ihre Einwilligung zur Verarbeitung erteilt
- Die Verarbeitung ist notwendig für die Erfüllung eines Vertrages, an dem die betroffene Person beteiligt ist, oder um auf Verlangen der betroffenen Person vor Vertragsabschluss bestimmte Massnahmen zu ergreifen
- Die Verarbeitung erfolgt aufgrund einer gesetzlichen Verpflichtung
- Die Verarbeitung ist notwendig, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen
- Die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse ausgeführten Aufgabe erforderlich ist
- Die Verarbeitung ist durch ein berechtigtes Interesse des verarbeitenden Unternehmens oder eines Dritten erforderlich, es sei denn, die Interessen der betroffenen Person überwiegen
5. Welche Anforderungen gelten, wenn ich mich auf die Einwilligung der betroffenen Person als Rechtsfertigungsgrund stütze?
Die Einwilligung muss freiwillig erteilt werden und die betroffene Person ist detailliert über die erhobenen Daten und den Bearbeitungszweck hinzuweisen, sodass die Einwilligung informiert erfolgen kann. Eine Einwilligung ist sodann nur gültig, wenn sie durch eine eindeutige Willenskundgebung der betroffenen Person erfolgt (d.h. eine Erklärung oder eine eindeutige positive Handlung).
Die Einwilligung wird häufig über eine Datenschutzerklärung (Privacy Notice ) eingeholt. Diese ist in verständlicher und leicht zugänglicher Form und in klarer und verständlicher Sprache vorzulegen. Die betroffene Person muss ihre Einwilligung jederzeit problemlos widerrufen können und vorab über dieses Recht informiert werden. Für die Zustimmung von Kindern gelten sodann besondere Anforderungen.
6. Welche Rechte kann eine betroffene Person geltend machen?
Betroffene Personen haben einerseits ein Auskunftsrecht. Dieses verpflichtet das Unternehmen dazu, den Betroffenen unentgeltlich bestimmte Informationen über die Verarbeitung ihrer personenbezogenen Daten zu erteilen. Diese Informationen müssen in einer prägnanten, transparenten, verständlichen und leicht zugänglichen Form in klarer und verständlicher Sprache zur Verfügung gestellt werden. Die DSGVO sieht vor, dass Anfragen innert 30 Tagen zu erledigen sind. Es empfiehlt sich daher, ein entsprechendes Konzept für die Entgegennahme und Behandlung von Anfragen zu implementieren.
Sodann statuiert die DSGVO das sogenannte «Recht auf Vergessen», sprich die Betroffenen haben das Recht, in gewissen Fällen die Löschung ihrer Daten zu verlangen. Ein Recht auf Löschung besteht insbesondere, wenn die Informationen für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind oder wenn die Person ihre Einwilligung widerruft und es keine anderen rechtlichen Gründe für die Verarbeitung ihrer Daten gibt.
Sodann haben Betroffene eine Recht auf Datenportabilität hinsichtlich gewisser Daten, nämlich das Recht personenbezogene Daten, die sie dem für die Verarbeitung Verantwortlichen zur Verfügung gestellt haben, in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zu erhalten und diese Daten ungehindert an einen anderen Verantwortlichen zu übermitteln. Dieses Recht gilt jedoch nur für personenbezogene Daten, die eine Person dem für die Verarbeitung Verantwortlichen zur Verfügung gestellt hat und die Verarbeitung auf dem Rechtfertigungsgrund der Einwilligung oder Erfüllung eines Vertrages beruht und die Verarbeitung automatisiert erfolgt (Paradebeispiel: Daten, die Nutzer auf Facebook hochladen).
7. Unser Unternehmen bearbeitet Daten im Auftrag eines Dritten. Was ist hinsichtlich DSGVO zu beachten?
Die DSGVO unterscheidet zwischen Controller (in der deutschen Übersetzung «Verantwortlicher») und Processor (in der deutschen Übersetzung «Auftragsverarbeiter»). Controller ist gemäss DSGVO die Partei, welche alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Processor ist jene Partei, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Der Processor ist wie der Controller verpflichtet, die Vorgaben der DSGVO einzuhalten. Als Controller darf ich nur Processors beiziehen, die hinreichend Garantien dafür bieten, dass sie Daten DSGVO-konform verarbeiten. Zwischen Controller und Processor muss ein Vertrag geschlossen werden (Ausnahme bei Vorliegen einer anderen Rechtsgrundlage wie Binding Corporate Rules oder Gesetz). Die DSGVO legt einen zwingend anzuwendenden Mindestinhalt für diesen Vertrag fest. So ist beispielsweise festzuhalten, dass der Processor Daten nur nach den ausdrücklichen Anweisungen des Controllers verarbeiten und er ohne Zustimmung des Controllers keinen anderen Processor mit der Datenbearbeitung beauftragen kann .
8. Muss unter der DSGVO ein Datenschutzbeauftragter bestellt werden?
Die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht nach DSGVO nur in folgenden Fällen:
- Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmässige und systematische Überwachung von betroffenen Personen darstellen oder
- Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung besonders sensibler Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten. Besonders sensible Daten sind Daten betreffend rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung
Die nationalen Datenschutzgesetze der EU-Länder können hiervon abweichen und auch eine generelle Pflicht zur Bestellung eines Datenschutzbeauftragten vorsehen.
9. Wie geht eine Aufsichtsbehörde der EU gegenüber einem Schweizer Unternehmen vor?
Das ist im Moment noch unklar. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat in einem Interview verlauten lassen, seine Behörde werde in der Schweiz nicht für eine EU-Aufsichtsbehörde tätig werden.
Gemäss DSGVO sind Unternehmen, die aufgrund des Marktortprinzips (vgl. oben Frage 1) unter den Anwendungsbereich der DSGVO fallen und keine Niederlassung in der EU haben grundsätzlich verpflichtet, einen Vertreter in der Union zu benennen, an den sich betroffene Personen und Aufsichtsbehörden wenden können.
Diese Pflicht zur Vertreterbestellung besteht nicht, wenn die Datenverarbeitung nur gelegentlich erfolgt, keine umfangreiche Verarbeitung sensibler Daten und keine umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten erfolgt sowie unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Was eine nur «gelegentliche» Bearbeitung ist, ist nicht eindeutig definiert. Es wird aber davon ausgegangen, dass die Ausnahmen streng auszulegen sind und wirklich nur für Ausnahmefälle gelten sollen.
Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen sich die von der Datenverarbeitung betroffenen Personen befinden. Im Moment ist allerdings unklar, ob Schweizer Unternehmen wirklich einen Vertreter bestellen müssen. Das deutsche Datenschutzgesetz BDSG hält nämlich in Bezug auf die Schweiz beispielsweise fest, dass die Schweiz hinsichtlich Datenverarbeitung nach DSGVO den Mitgliedstaaten der Europäischen Union gleichgestellt ist und nicht als Drittstaat gilt. Es wird die Meinung vertreten, dass Deutschland damit keine Vertreterbestellung gegenüber unter die DSGVO fallende Schweizer Unternehmen verlangt. Frankreich soll ebenfalls planen eine entsprechende Bestimmung im nationalen Datenschutzgesetz vorsehen. Allerdings ist strittig, ob die einzelnen Länder in ihrer nationalen Gesetzgebung überhaupt eine solche Erleichterung vorsehen können. Da die Nichtbestellung eines Vertreters mit Busse sanktioniert ist, ist im Zweifel wohl von einem Vertreterzwang auszugehen.
10. Welche Konsequenzen drohen bei Nichteinhaltung der Vorgaben der DSGVO?
Die DSGVO sieht einerseits vor, dass betroffene Person(en) und Verbänden Klage erheben und Schadenersatz fordern können. Sodann befugt die DSGVO die Datenschutzbehörden, je nach Verstoss Geldbussen in Höhe von bis zu 10 Millionen bzw. 20 Millionen Euro oder 2% bzw. 4% des weltweiten Jahresumsatzes zu verhängen.
Hierbei handelt es sich um Maximalbussen und im Rahmen der Einzelfallbeurteilung werden verschiedene Faktoren für die Bestimmung der Bussenhöhe berücksichtigt, beispielsweise (nicht abschliessend):
- Art, Schwere und Dauer des Verstosses
- Anzahl der von der Verarbeitung betroffenen Personen und das Ausmass des erlittenen Schadens
- Vorsätzlichkeit oder Fahrlässigkeit des Verstosses
- Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Massnahmen
Besteht «nur» eine vertragliche Pflicht, Daten DSGVO-konform zu verarbeiten richtet sich das Haftungsrisiko nach dem entsprechenden Vertrag.
11. Wir haben noch keinerlei Vorkehrungen im Hinblick auf die DSGVO getroffen. Was sollen wir tun?
Prüfen Sie als Erstes, ob Ihr Unternehmen überhaupt in den Anwendungsbereich der DSGVO fällt. Wenn nein, dann besteht für Sie derzeit kein dringender Handlungsbedarf. Zwar bestehen Absichten, das Schweizer Datenschutzgesetz in Anlehnung an die DSGVO zu revidieren, jedoch ist derzeit unklar, in welchem Ausmasse eine solche Anlehnung tatsächlich stattfinden wird. Um rechtzeitig Umsetzungsmassnahmen ergreifen zu können, sollte das Thema Datenschutz jedoch in jedem Fall unter systematischer Beobachtung bleiben.
Ist die DSGVO anwendbar, erstellen Sie ein Data Mapping / Data Inventory und dokumentieren Sie welche personenbezogenen Daten in den Anwendungsbereich der DSGVO fallen, auf Basis welches Rechtfertigungsgrundes Sie die Daten bearbeiten und welche Datenflüsse intern und an externe Datenverarbeiter stattfinden. Klassifizieren Sie, wer Zugriff auf verschiedene Datentypen hat, wer die Daten gemeinsam nutzt und welche Anwendungen diese Daten verarbeiten.
Prüfen Sie anhand dieser Dokumentation, ob die Daten unter eine DSGVO-Sonderkategorie fallen (besonders sensible Daten; Daten für Profiling, etc.) Bewerten Sie die Risiken für die betroffenen Daten und überprüfen Sie interne Richtlinien und Verfahren, Ihre Datenschutzerklärung(en) und Verträge mit Vertragspartnern, an welche Daten übermittelt werden auf Konformität mit den Anforderungen der DSGVO. Bei fehlender Konformität, passen Sie die Unterlagen entsprechend an.
Prüfen Sie, ob und wo Sie einen Vertreter in der EU bestellen müssen.
Fazit
Das Thema DSGVO wird auch Schweizer Unternehmen noch länger beschäftigen. Spannend wird in diesem Zusammenhang sein, wie sehr sich das Schweizer Datenschutzgesetz, das sich derzeit in Revision befindet, an der DSGVO orientieren wird. Es gilt in jedem Fall, am Thema Datenschutz dranzubleiben und sich laufend zu informieren.