Reichlin Hess Rechtsanwälte, Steuerberater & Notare Zug

Datenschutz
Martialisches EU-Recht:
Schweizer Unternehmen unter Handlungszwang

Bestens bekannt: Am 25. Mai 2018 wird die Europäische Datenschutz-Grundverordnung direkt geltendes Recht in allen Mitgliedstaaten der EU. Womit Sie gegebenenfalls nicht rechnen: Diese Verordnung wird auch auf viele Schweizer Unternehmen Anwendung finden. Und Verstösse werden zum Teil mit horrenden Strafen sanktioniert.

1. Anwendungsbereich (Art. 3 DSGVO)
Gemäss Art. 3 der Europäischen Datenschutz-Grundverordnung (DSGVO) findet die Verordnung auf Schweizer Unternehmen insbesondere dann Anwendung, wenn diese personenbezogene Daten von natürlichen Personen verarbeiten, die sich in der EU befinden, falls das Schweizer Unternehmen (i) den betroffenen Personen in der EU (entgeltlich oder unentgeltlich) Waren oder Dienstleistungen anbietet (also zum Beispiel eine nationale Website, deren Preise nicht nur in Franken angegeben sind oder die Liefer- und Zahlungskonditionen für Personen in der EU erwähnt) oder (ii) durch die Datenverarbeitung das Verhalten betroffener Personen in der EU beobachten will (also zum Beispiel das Analysieren des Surfverhaltens von EU-Bürgern zu Marketingzwecken).Schweizer Unternehmen sollten dringend prüfen, ob sie diese neuen Regeln ebenfalls zu beachten haben. Hervorzuheben sind folgende Pflichten, die gegebenenfalls von Schweizer Unternehmen zu erfüllen sind:

2. Pflicht EU-Vertreter zu benennen (Art. 27 DSGVO)
Schweizer Unternehmen, die vom Anwendungsbereich der DSGVO erfasst werden, müssen grundsätzlich einen Vertreter in der EU bezeichnen. Diese Pflicht entfällt, wenn die Verarbeitung nur gelegentlich erfolgt, keine besonderen Datenkategorien verarbeitet werden und die Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

3. Dokumentationspflicht (Art. 30 DSGVO)
Grossen Aufwand verursachen wird insbesondere die Pflicht, ein Verzeichnis aller Daten-Verarbeitungstätigkeiten zu erstellen. Basis solcher Dokumentationen wird eine wohl oft mühselige Zusammenstellung der im Unternehmen überhaupt stattfindenden Datenbearbeitungen sein.

4. Einwilligung: Strenge Anforderungen (Art. 4 Ziff. 11 und 7 DSGVO)
Die Einwilligung muss durch eine unmissverständliche, aktive Handlung erfolgen und muss durch den Empfänger nachgewiesen werden können. Kästchen, die bereits ein vorbereitetes Kreuz betreffend Zustimmung enthalten, können keine Einwilligung darstellen. Einwilligungserklärungen in Dokumenten wie Datenschutzerklärungen müssen getrennt vom übrigen Text abgebildet werden. Es gilt ein beschränktes Koppelungsverbot: Der Abschluss eines Vertrags darf nicht von der Einwilligung zu einer Verarbeitung abhängig gemacht werden, die für die eigentliche Vertragsdurchführung gar nicht erforderlich ist.

Einwilligungen können jederzeit widerrufen werden. Der Widerruf muss genauso einfach möglich sein wie die Einwilligung selbst.

5. Umfassende Informationspflichten im Zeitpunkt der Datenbeschaffung (Art. 13 f. DSGVO)
Art. 13 und 14 DSGVO sehen bei Datenbeschaffungen umfassende aktive Informationspflichten vor, dies grundsätzlich selbst dann, wenn die Daten nicht bei der betroffenen Person erhoben werden. Beim Kauf von Daten von Adresshändlern werden die betroffenen Personen damit inskünftig informiert werden müssen.

Dieselbe Informationspflicht wird ausgelöst bei späterer Zweckänderung der Datenverarbeitung.

6. Rechte bei automatisierten Datenbearbeitungen (Art. 22 DSGVO)
Betroffene Personen haben das Recht, nicht Gegenstand von automatisierten Entscheidungsprozessen zu sein, die rechtliche Auswirkungen auf sie haben oder in ähnlicher Weise erheblich sind. Dies gilt nicht, wenn der automatisierte Entscheidungsprozess für den Abschluss oder die Durchführung von Verträgen notwendig ist, Rechtsvorschriften dies erlauben oder bei ausdrücklicher Einwilligung durch die betroffene Person.

Die betroffenen Personen sind über automatisierte Datenbearbeitungen zu informieren. Zudem bestehen Auskunftsrechte über solche Datenbearbeitungen.

7. Recht auf Datenportabilität (Art. 20 DSGVO)
Erfolgen Verarbeitungen gestützt auf eine Einwilligung oder einen Vertrag und mithilfe automatisierter Verfahren, so können betroffene Person verlangen, die sie betreffenden Personendaten, welche sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

8. Recht auf Löschung (Art. 17 DSGVO)
Die betroffene Person kann grundsätzlich jederzeit die Löschung von sie betreffenden Personendaten verlangen. Dieses Recht gilt nicht, wenn die Verarbeitung zur Geltendmachung von Rechtsansprüchen oder Erfüllung von EU-Recht erforderlich ist.

Werden beschaffte Personendaten an Dritte weitergegeben, so sind auch diese Empfänger über ein Löschungsgesuch zu informieren – sofern dies mit verhältnismässigem Aufwand möglich ist.

9. Data Privacy by Design und Data Privacy by Default (Art. 25 DSGVO)
Schlagwörter der DSGVO sind insbesondre “Privacy by Design” und “Privacy by Default”: “Privacy by Design” (Datenschutz durch Technikgestaltung) bedeutet, dass Verantwortliche bereits bei
der Konzipierung datenschutzrechtliche Gesichtspunkte berücksichtigen müssen.

Der Grundsatz “Privacy by Default” (Datenschutz durch datenschutzfreundliche Voreinstellung) verlangt, dass mittels geeigneter Voreinstellungen sichergestellt wird, dass standardmässig nur diejenigen Personendaten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind.

10. Datenschutz-Folgeabschätzung (Art. 35 f. DSGVO)
Art. 35 DSGVO verpflichtet zur Durchführung einer Datenschutz-Folgeabschätzung (sog. „Data Protection Impact Assessment“). Eine solche Prüfung ist durchzuführen, wenn Datenbearbeitungen mit Blick auf Art, Umfang, Kontext und Zwecke der Datenbearbeitung hohe Risiken bergen – insbesondere bei Nutzung neuer Technologien oder umfassender Verarbeitung besonderer Kategorien. Die Prüfung enthält mindestens eine systematische Beschreibung der Datenbearbeitungsvorgänge, eine Beurteilung der Notwendigkeit und Verhältnismässigkeit der Datenbearbeitung, einer Beurteilung der Risiken für betroffene Personen und einer Zusammenstellung der Massnahmen, die zur Reduktion der Risiken getroffen werden.

Ergibt die Prüfung, dass eine Datenverarbeitung ohne Massnahmen ein hohes Risiko bedeutet, so ist die Aufsichtsbehörde zu konsultieren.

11. Meldepflicht bei Datenschutzpannen (Art. 33 f. DSGVO)
Verletzungen des Schutzes personenbezogener Daten sind neu zu dokumentieren und der Aufsichtsbehörde unverzüglich und möglichst innert 72 Stunden zu melden. Führt die Verletzung voraussichtlich zu keinem Risiko für Rechte und Freiheiten betroffener Personen, so besteht keine Meldepflicht. Häufig müssen auch die betroffenen Personen benachrichtigt werden.

12. Interner Datenschutzverantwortlicher (Art. 37 ff. DSGVO)
Neu müssen gewisse Datenverarbeiter einen internen Datenschutzverantwortlichen benennen. Zwingend ist die Ernennung eines solchen, wenn die Haupttätigkeit des betreffenden Datenverarbeiters umfangreiche, regelmässige und systematische Überwachung von Personen umfasst oder wenn in hohem Umfang besonders schützenswerte Daten bearbeitet werden.

13. Verstösse mit horrenden Strafen sanktioniert (Art. 83 DSGVO)
Bei Verstössen gegen die DSGVO sind horrende und schmerzhafte administrative Sanktionen vorgesehen. Die Verordnung sieht für gewisse Verstösse eine Busse von bis zu 20 Millionen Euro oder bei Unternehmen von bis zu 4% des weltweiten Jahresumsatzes vor.

14. Umsetzung / Handlungsbedarf
Die Umsetzung gibt viel tun: Zunächst muss man sich einen verlässlichen Überblick über alle Datenbearbeitungen schaffen und auf dieser Grundlage eine Gap-Analyse vornehmen. Anschliessend sind Umsetzungsstrategien Verantwortlichkeiten zu definieren, allenfalls interne Prozesse anzupassen, internes Audit zu implementieren, Richtlinien zu erstellen, Datenschutzerklärungen und Verträge mit Kunden, Lieferanten etc. anzupassen, Meldeformulare und weitere Vorlagen auszuarbeiten, Einwilligungen einzuholen, allenfalls interne Schulungen durchzuführen.

Wir sind jedoch überzeugt, dass wir in Zusammenarbeit mit Ihnen den hierfür anfallenden Handlungsbedarf betreffend Erstellung wie auch der vorzunehmenden Massnahmen aus juristischer Optik eingrenzen können. Gerne unterstützen wir Sie in der Prüfung, was aus rechtlicher Sicht erforderlich ist. Bei Interesse oder Fragen stehen wir Ihnen gerne zur Verfügung.

 

Zusammenarbeit mit soXes GmbH

Die Umsetzung datenschutzrechtlicher Vorgaben setzt voraus, dass man die IT jederzeit im Griff hat. Die Reichlin Hess AG  hat in der soXes GmbH einen Partner gefunden, der über ausgewiesene Erfahrung im Bereich IT verfügt (über 200 erfolgreiche Entwicklungsprojekte und über 100 aktive Kunden). Zusammen mit der soXes GmbH können wir Ihnen eine umfassende Beratung im Bereich Datenschutz anbieten.

https://soxes.ch/dienstleistungen/datenschutzverordnung-dsgvo

 

Der Inhalt dieses Artikels stellt keine Rechts- oder Steuerauskunft dar und darf nicht als solche verwendet werden. Sollten Sie eine auf Ihre persönlichen Umstände bezogene Beratung wünschen, wenden Sie sich bitte an IhreKontaktperson bei Reichlin Hess oder an die Autoren dieses Newsletters.