06.11.2017

Datenschutz: Handlungsbedarf für Schweizer Unternehmen in allen Bereichen

Hohe Datenschutzanforderungen in Europa und der Schweiz: Erhöhte Informations- und Meldepflichten bei Datenschutzverletzungen erfordern ein rasches Handeln: Bei Verletzungen drohen hohe Bussen und Reputationsrisiken. Handlungsbedarf besteht deshalb in juristischer, IT- und Prozesssicht für alle Unternehmen.

Von: Carmen de la Cruz Böhringer   Drucken Teilen   Kommentieren  

Carmen de la Cruz Böhringer

spezialisiert in IT-Recht, ist Rechtsanwältin und dipl. Wirtschaftsinformatikerin, de la cruz beranek Rechtsanwälte AG , www.delacruzberanek.com.

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
Datenschutz

Datenschutz in der Schweiz

Der Vorentwurf zum schweizerischen Datenschutzgesetz

Der Vorentwurf für das Gesetz über die Total revision des Datenschutzgesetzes vom 21. Dezember 2016 ( VE-DSG) hat zum Ziel, das schweizerische Datenschutzgesetz (DSG) dem europäischen Umfeld (Europarats-Konvention, EU-Datenschutzgrundverordnung, Richtlinie 2016/680) anzupassen.

Ziel des schweizerischen Gesetzgebers ist es, das Datenschutzgesetz so anzupassen, dass es aus Sicht der EU als gleichwertig angesehen wird und damit der Datenaustausch zwischen der EU und der Schweiz ohne neue weitere Hürden für den Austausch von Personendaten möglich bleibt. Das überarbeitete DSG soll mit wenig Verzögerung zur EU-Regelung in Kraft treten – voraussichtlich 2019 (ohne Referendum). Die EU-DSGVO ist ab 25. Mai 2018 direkt durchsetzbar, sodass Schweizer Unternehmen mit EU-Bezug ab dann gerüstet sein müssen.

Verstärkte Informationsrechte der Betroffenen

Im Rahmen des VE-DSG werden die Informationsrechte von Personen, deren Daten verwendet werden, verstärkt. Dies heisst für Verantwortliche der verschiedenen Datenverarbeitungsprozesse, dass sie eine verschärfte Informationspflicht trifft, da die Informationspflicht auch bei vollständig automatisierten Einzelentscheidungen gilt. Der betroffene Kunde oder Mitarbeiter muss in Zukunft explizit darauf aufmerksam gemacht werden, wie seine Daten bearbeitet werden (Zweck, Mittel, beigezogene Dritte etc.). Informationen via AGB genügen nicht mehr. Umgekehrt erhält der Kunde oder Mitarbeiter (Betroffener) das Recht, seinen Standpunkt zu diesem Entscheid darzulegen, die Bearbeitung zu verbieten oder die Löschung von Daten zu verlangen.

Der Eidgenössische Datenschutzbeauftragte (EDÖB)

Grundsätzlich soll der EDÖB im Rahmen des Vorentwurfs eine gestärkte und unabhängigere Stellung erhalten und Empfehlungen der guten Praxis (Industry Practices) abgeben können, z.B. hinsichtlich Spezialfragen, Meldepflichten bei Datenschutzverletzungen etc. Die verstärkte Stellung des EDÖB zeigt sich auch im Recht zum Erlass von Verfügungen.

Sanktionen bei Verletzungen des DSG

Neu sollen die Sanktionen gegenüber Privaten oder Unternehmen im VE-DSG ausgebaut werden. Die im VE-DSG vorgesehenen strafrechtlichen Bussen von bis zu CHF 500 000.– für Personen, die das DSG verletzen, sind jedoch in der Wirtschaft stark umstritten, da sich das strafrechtliche Regime ausschliesslich gegen einzelne Personen richtet. Das Sanktionsregime wird wohl deutlich strenger werden, sich aber hauptsächlich gegen Unternehmen (verwaltungsrechtliche Bussen und Sanktionen) und nicht gegen Einzelpersonen richten (laufende Diskussion).

Wichtiger Hinweis: Für einen Grossteil der Schweizer Unternehmen wird die EU-DSGV jedoch aufgrund des weiten Anwendungsbereichs sowieso gelten, sodass in jedem Fall ein happiges Sanktionssystem greifen wird.

Privatpersonen können wie bisher ihre Ansprüche gegen Unternehmen mittels Zivilklage durchsetzen.

Informationspflichten der Verantwortlichen

Den Verantwortlichen trifft gemäss VE-DSG bei der Beschaffung von Personendaten eine umfangreiche Informationspflicht zugunsten der betroffenen Person. In diesem Rahmen hat er betroffene Personen über die Beschaffung von Personendaten zu informieren, selbst wenn die Daten bei Dritten beschafft werden. Die Informationspflicht umfasst unter anderem die Identität und Kontaktdaten des Verantwortlichen, die bearbeiteten Personendaten und den Zweck der Bearbeitung. Diese Informationen müssen ausdrücklich erfolgen und können nicht via AGB generell mitgeteilt und akzeptiert werden.

Werden die Personendaten Dritten bekannt gegeben, so hat der Verantwortliche den betroffenen Personen den Empfänger mitzuteilen, ebenso die Bearbeitung von Personendaten durch einen Auftragsbearbeiter inklusive dessen Identität und Kontaktdaten. Die betroffenen Personen haben ein kostenloses Auskunftsrecht über die Bearbeitung ihrer Daten.

Recht auf Gehör

Beruht eine Entscheidung, die Personendaten betrifft, wie beispielsweise die Vergabe einer Hypothek oder der Abschluss einer Versicherungspolice, ausschliesslich auf einer automatisierten Datenbearbeitung, die erhebliche Auswirkungen auf die betroffene Person entfaltet, so muss der Verantwortliche der betroffenen Person die Möglichkeit geben, sich zu diesem Entscheid zu äussern. Automatisierte Entscheide dürften durch diese Vorgabe jedenfalls mit erheblichem Zusatzaufwand verbunden sein. Fakt ist, dass dies schon heute zum Teil implementiert ist (vgl. beispielsweise gewisse Bank- oder Versicherungsgeschäfte) und damit dort wohl in erster Linie Informationsbedarf gegeben ist.

Datenschutz- Folgenabschätzungen

Schweizer Unternehmen müssen im Voraus abschätzen, ob eine geplante Datenbearbeitung voraussichtlich ein erhöhtes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen, deren Daten verarbeitet werden sollen, mit sich bringt. Ergibt die Folgenabschätzung, dass ein solch erhöhtes Risiko besteht, ist eine Datenschutz- Folgenabschätzung, d.h. ein Risk Assessment aus Datenschutzsicht (mögliche Verletzung von Persönlichkeits- oder Grundrechten), durchzuführen. Hierbei werden die geplante Bearbeitung, die Risiken für die Rechte der betroffenen Personen sowie die geplanten Massnahmen analysiert und eingeschätzt. Das Ergebnis der Datenschutz-Folgenabschätzung ist dem EDÖB mitzuteilen, der innerhalb von drei Monaten Einwände erheben kann.

Dieser geplante Prozess kann zu erheblichen Projektverzögerungen führen (Änderungswünsche des EDÖB, Abklärungen). Bei grösseren Projekten müssen deshalb die Datenschutzüberlegungen gleich zu Beginn in die Beurteilungen miteinfliessen, und der EDÖB muss rechtzeitig informiert werden.

Datenschutzverletzungen

Unbefugte Datenbearbeitungen oder Datenverluste hat der Verantwortliche (Data Owner) grundsätzlich unverzüglich (in der EU innert 72 Stunden seit Bekanntwerden der Datenschutzverletzung) dem EDÖB zu melden. Gleichermassen hat der Auftragsbearbeiter (Data Processor) den Verantwortlichen unverzüglich über eine unbefugte Datenbearbeitung zu informieren. Überdies hat eine Information der betroffenen Personen (Kunden, Mitarbeiter, Dritte soweit zugänglich/Data Subject) zu erfolgen, wenn es zu deren Schutz notwendig ist oder vom EDÖB verlangt wird. Dieser Prozess ist rechtzeitig intern zu implementieren.

«Privacy by Design» und «Privacy by Default»

Der VE-DSG führt die Grundsätze von «Privacy by Design» und «Privacy by Default» ein. Diese verpflichten den Verantwortlichen, angemessene Massnahmen zu treffen, um dem Risiko von Verletzungen der Persönlichkeit vorzubeugen. Zudem sollen standardmässig nur diejenigen Personendaten bearbeitet werden, die für den Verwendungszweck wirklich erforderlich sind, was durch entsprechende Voreinstellungen – sogenannte Defaults – sicher zustellen ist. Konkret muss im Rahmen von Produktentwicklungen und Produktdesign dem Datenschutz ein hoher Stellenwert zukommen. Der Verantwortliche sollte wissen, in welchen Systemen und Prozessen welche Personendaten verarbeitet werden und wie diese erfasst, geändert und gelöscht werden können.

Prozessdokumentationspflicht

Der Verantwortliche hat die Pflicht, Prozesse der Bearbeitung von Personendaten zu dokumentieren, was einen Grossteil der Prozesse betrifft. Die Prozesse müssen Behörden und Dritten herausgegeben werden können, sprich, sie sind aktuell zu halten.

Besteht in Ihrem Unternehmen Handlungsbedarf?

Mit Hilfe der folgenden Checkliste können Sie gleich eine erste Einschätzung vornehmen.

Bei Handlungsbedarf empfehlen wir Ihnen folgende Seminare: Update Datenschutz & Workshop Datenschutz in der Praxis

 

Fragestellungen für Unternehmen Handlungsbedarf
1. Werden in Ihrem Unternehmen Personendaten bearbeitet?
Wenn ja, sind folgende Fragen zu bearbeiten:
2. Verfügt Ihr Unternehmen über eine IT-Systemsicht, wo welche Personendaten bearbeitet werden?
3. Kann Ihr Unternehmen Personendaten über die Systeme hinweg suchen, bearbeiten oder löschen?
4. Bestehen dokumentierte Prozesse bezüglich der Bearbeitung von Personendaten, die jederzeit an Behörden herausgegeben werden können?
5. Ist ein Datenschutzverantwortlicher bestimmt (Geschäftsleitungsebene)?
6. Ist die Organisationsstruktur hinsichtlich Datenschutz intern aufgesetzt?
7. Besteht im Rahmen des Produktezyklus ein Prozess für Datenschutz-Folgeabschätzungen?
8. Besteht ein Prozess für den Fall einer Datenschutzverletzung?
9. Besteht Versicherungsschutz im Fall einer Datenschutzverletzung?
10. Sind Bedingungen seitens der Versicherungen einzuhalten, um Versicherungsschutz zu haben?

Wenn Personendaten bearbeitet werden (Fragen 2 und 3 -> ja), muss man sich mit Datenschutz beschäftigen. Wenn die Fragen 4 bis 8 negativ beantwortet werden, besteht in jedem Fall Handlungsbedarf.

Datenschutz in der EU

Die neue europäische Datenschutzgrundverordnung (EU-DSGVO)

Der Datenschutz in der Europäischen Union ist bisher in einer EU-Richtlinie geregelt worden. Im Gegensatz zur Richtlinie wird die neue Datenschutzgrundverordnung (EU-DSGVO) ab dem Zeitpunkt, zu welchem sie direkte Wirkung für den Bürger entfaltet und er sich darauf berufen kann – ab 25. Mai 2018 –, in den EU-Mitgliedstaaten unmittelbar anwendbar sein. Die neue EU-DSGVO stärkt – ebenso wie der VE-DSG – die Rechte der Betroffenen. So werden die Informationsrechte stark ausgebaut: Nebst den bereits bestehenden Auskunftsrechten sieht die Grundverordnung auch eine proaktive Informationspflicht des Datenbearbeiters vor. Informationen, welche sich auf eine Datenbearbeitung beziehen, sind ausserdem in einer leicht verständlichen Sprache den Betroffenen zu übermitteln.

Dies heisst, dass AGB und Vertragsdokumente kundenfreundlich abgefasst sein müssen. Zudem sieht die EU-DSGVO vor, dass Betroffene ein «Recht auf Vergessen» haben, indem ihnen ein Recht auf Löschung zugestanden wird. All dies führt dazu, dass die Datenschutz-Compliance für die Datenbearbeiter ausgebaut werden muss. In diesem Zusammenhang werden spezielle Datenschutzbeauftragte eingesetzt. Wenn Unternehmen vornehmlich Personendaten verarbeiten, sind sie verpflichtet, einen betriebsinternen Datenschutzbeauftragten zu ernennen.

Nachfolgend wichtige Punkte in Kürze:

Welche Bearbeitungen von Personendaten fallen unter die EU-DSGVO?

Im Gegensatz zur bisherigen Richtlinie ist der Anwendungsbereich der EUDSGVO massiv ausgedehnt worden: Die EU-DSGVO entfaltet nicht nur für EU-Bürger und EU-Bürgerinnen Wirkung und ist von Unternehmen innerhalb der EU einzuhalten. Neu gilt die EU-DSGV auch dann und für solche Unternehmen, die

  • Personendaten im Rahmen der Tätigkeit einer EU-Niederlassung eines Unternehmens bearbeiten, unabhängig davon, wo die Bearbeitung effektiv erfolgt;
  • Personendaten von Personen bearbeiten, die sich in der EU befinden, wenn diesen Personen Waren oder Dienstleistungen angeboten werden;
  • Personendaten von betroffenen Personen beobachten, soweit ihr Verhalten in der EU erfolgt.

Wichtiger HinweisSchweizer Unternehmen, die Dienstleistungen oder Waren in der EU anbieten und dafür Personendaten bearbeiten, müssen die EU-DSGVO einhalten. Die Bearbeitung der Personendaten muss nicht in der EU erfolgen, sondern kann auch in der Schweiz oder sonst wo ausserhalb der EU vorgenommen werden. Damit fällt ein Grossteil der Schweizer Unternehmen unter den Anwendungsbereich der EU-DSGVO.

Schweizer Unternehmen mit Niederlassungen in der EU, die Personendaten bearbeiten, unterliegen ebenfalls der EU-DSGVO, unabhängig davon, wo die Bearbeitung der Personendaten wirklich erfolgt.

Kann man sich als Nicht-EU-Unternehmen auf den Standpunkt stellen, dass man ausserhalb der EU wohl nicht belangt werden kann, wenn man Personen daten von EU-Personen bearbeitet, in der EU aber keine Niederlassung hat?

Dem ist nicht so: Die Durchsetzung von Bussen ist möglich, wenn auch nicht ohne Weiteres durchsetzbar. Es bleibt also keine Option, die EU-DSGVO zu vernachlässigen – die Einhaltung und Umsetzung der EU-DSGVO ist ein MUST für die meisten Schweizer Unternehmen.

So kann ein Schweizer Unternehmen der EU-DSGVO unterstellt sein, wenn Datenverarbeitungen in der EU, für einen EU-Kunden in der Schweiz oder bei einem beauftragten Dritten in der EU vorgenommen werden. In jedem Fall wird ein Grossteil der Schweizer Unternehmen von der neuen Regelung betroffen und hat diese umzusetzen.

Datenschutz-Folgeabschätzung

Die Datenschutz-Folgeabschätzung gemäss Art. 35 EU DSGVO soll in der EU als Instrument dienen, um bei Projekten und Produkten mögliche Implikationen auf Personendaten und damit die Endkunden bereits zu Beginn zu prüfen. Ziel der Datenschutz-Folgeabschätzung ist es, das Risiko für Datenschutzverletzungen zu reduzieren und entsprechende Massnahmen schon im Vorherein zu integrieren.

Rechtstipp: Unternehmen müssen sich deshalb bewusst sein, dass bereits im Rahmen des Aufsetzens von Produkten oder Projekten der Datenschutz berücksichtigt werden muss.

Data Breach Notification – Meldepflichten bei Datenschutzverletzungen

Datenschutzverletzungen sind leider heute an der Tagesordnung: Es gibt kaum ein Unternehmen, das nicht schon Datenschutzverletzungen zu beklagen hatte: Rechnungen werden an die falschen Kundenadressen geschickt, Passwörter werden veröffentlicht, Kundendaten analysiert und versehentlich veröffentlicht usw. – Verletzungen gehören heute zum Alltag.

Solche Verletzungen können für Unternehmen zukünftig zu grösseren Problemen führen: Wird der Schutz von Personendaten verletzt, so muss diese Verletzung zukünftig der zuständigen nationalen Datenschutzbehörde gemeldet werden (Art. 33 EU-DSGVO).

Die Meldefrist beträgt 72 Stunden seit Bekanntwerden der Datenschutzverletzung. Die Meldung selbst hat nebst einer detaillierten Beschreibung der Verletzung (soweit vorhanden) auch Kontaktdaten des meldenden Unternehmens zu enthalten, eine Beschreibung der betroffenen Personendaten etc.

Bei einer «Datenpanne», die die Rechte der betroffenen Personen nicht direkt beeinträchtigt, kann eine Meldung auch unterbleiben. Damit soll «die Spreu vom Weizen» getrennt werden, um zu verhindern, dass sich die Datenschutzbehörden mit geringfügigen Verletzungen beschäftigen müssen.

Die nationale Datenschutzbehörde muss sich aufgrund der Meldung relativ rasch ein Bild von der Tragweite der Verletzung machen können. Mögliche Sanktionen oder weitere Schritte müssen gestützt auf die Meldung ergriffen werden können.

Bussenkatalog gemäss EU-DSGVO

Die massiven Bussen, die in der EU-DSGVO vorgesehen sind, haben spürbare Auswirkungen auf die Unternehmen: Datenschutzverletzungen können zu hohen Bussen führen. Damit steigt der Druck, sich gesetzeskonform zu verhalten.

Für einfachere Verletzungen, wie der Verstoss gegen Pflichten des Verarbeiters, gelten Bussen bis zu EUR 10 Mio. oder 2% des weltweiten Umsatzes des vorangegangenen Jahres (Art. 83 EU DSGVO).

Bei schwerwiegenden Verletzungen (Art. 83 EU-DSGVO) drohen Bussen bis zu EUR 20 Mio. oder 4% des weltweiten Jahresumsatzes des vorangegangenen Jahres. Solche Verletzungen sind in etwa Verletzungen gegen die Einwilligungsvorschriften oder der Grundsätze der Datenbearbeitung gemäss EU-DSGVO generell.

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

Workshop Datenschutz in der Praxis

Die neue DSGVO und deren Folgen für Schweizer Unternehmen

Nächster Termin: 30. November 2017

mehr Infos

Produkt-Empfehlungen

  • WEKA Musterverträge

    WEKA Musterverträge

    Die in der Praxis am häufigsten eingesetzten Musterverträge.

    ab CHF 248.00

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    Mehr Infos

  • Rechtssicher

    Rechtssicher

    Sicherheit bei Rechtsfragen im Geschäftsalltag

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Workshop Datenschutz in der Praxis

    Die neue DSGVO und deren Folgen für Schweizer Unternehmen

    Nächster Termin: 30. November 2017

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 19. Juni 2018

    mehr Infos

  • Praxis-Seminar, ½ Tag, ZWB, Zürich

    Update Datenschutz

    Neuerungen in der EU und der Schweiz

    Nächster Termin: 27. Februar 2018

    mehr Infos