Neue europäische Datenschutzverordnung – Bedeutung für Schweizer Unternehmen
Das Datum 25. Mai 2018 ist von der juristischen Agenda nicht mehr wegzudenken. Die Europäische Union hat eine neue Datenschutzgrundverordnung erlassen, welche bis zu diesem Datum umgesetzt werden muss. Obwohl es sich bei der Verordnung um einen rechtlichen Erlass der Europäischen Union handelt, fallen auch Schweizer Unternehmen in ihren Anwendungsbereich und müssen somit für die Einhaltung der sich ergebenden Verpflichtungen sorgen. Was die Schweizer Unternehmen über die neue Verordnung wissen müssen, lesen Sie im folgenden Beitrag von Martin Frey und Simon Gerber.
Neue europäische Datenschutzverordnung – Bedeutung für Schweizer Unternehmen
Einleitung
Am 25. Mai 2016 ist die neue Datenschutzgrundverordnung der Europäischen Union (EUDSGVO) in Kraft getreten. Am 25. Mai 2018 läuft die Frist zur Umsetzung derselben ab. Die datenverarbeitenden Unternehmen sehen sich damit ab Mitte 2018 mit einer Vielzahl von datenschutzrechtlichen Neuerungen konfrontiert, bei deren Nichtbeachtung drakonische Strafen drohen. Obwohl die Schweiz nicht Mitglied der Europäischen Union ist, kann die neue Datenschutzgrundverordnung auf Schweizer Unternehmen Anwendung finden.
Auch das Schweizer Datenschutzgesetz wird zurzeit revidiert, um den Datenschutz zu stärken und die veränderten technologischen und gesellschaftlichen Verhältnisse nachzuvollziehen. Das revidierte Datenschutzgesetz wird mit Bestimmtheit auch verschiedene Neuerungen der EU-DSGVO aufgreifen.
Räumlicher Geltungsbereich
Die EU-DSGVO gilt für alle Unternehmen in der EU und im Ausland (z.B. in der Schweiz), die Personendaten für ein EU-Unternehmen bearbeiten, Daten von Personen in der EU von einem anderen Unternehmen bearbeiten lassen oder selbsterhobene Daten von Personen in der EU selber bearbeiten, sofern sie diesen Personen Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten. Die Annahme, die EU-DSGVO sei als europäischer Erlass nur in den EU-Mitgliedsstaaten anwendbar und betreffe Schweizer Unternehmen deshalb nicht, ist nach dem Gesagten verfehlt. Für die Anwendbarkeit der EU-DSGVO reicht also schon ein marginaler Bezugspunkt zur Europäischen Union aus.
Massgebliche Neuerungen
Für Schweizer Unternehmen sind insbesondere folgende Neuerungen und Verschärfungen von
Interesse:
Information
Die betroffenen Personen müssen umfassend über die Datenbearbeitung informiert werden.
Der Mindestinhalt der Information ist vorgegeben (z.B. Zweck und Rechtsgrundlage der Bearbeitung,
Empfänger der Daten, Dauer der Speicherung, Rechte der betroffenen Person).
Einwilligung
Beruht die Datenbearbeitung auf einer Einwilligung der betroffenen Person, werden hohe Anforderungen an deren Form und Inhalt gestellt. Stillschweigen, vorangekreuzte Formularkästchen oder Untätigkeit erfüllen diese Anforderungen nicht. Eine allfällig erteilte Einwilligung ist jederzeit widerrufbar.
Privacy by Design
Datenverarbeitungssysteme sind von Beginn weg datenschutzfreundlich und technisch sicher auszugestalten. Im Sinne dieses Gebots sollen etwa die bearbeiteten Daten in ihrer Menge minimiert und soweit möglich anonymisiert werden.
Privacy by Default
Voreinstellungen (z.B. Formularkästchen) müssen datenschutzfreundlich festgelegt werden. In
diesem Sinne sollen etwa Formularkästchen nicht vorangekreuzt sein, mit denen die betroffene Person Daten freigibt, die für den Bearbeitungszweck nicht erforderlich sind.
Sicherheit
Die datenerhebenden und –verarbeitenden Unternehmen trifft die Pflicht, durch technische
und organisatorische Massnahmen sicherzustellen, dass Daten angemessen geschützt sind
und Sicherheitslücken sofort entdeckt werden.
Recht auf Vergessen
Den betroffenen Personen steht – ähnlich wie im Schweizer Recht – das Recht zu, die Löschung ihrer Daten zu verlangen. Die Löschung hat im Falle der berechtigten Geltendmachung unverzüglich zu erfolgen.
Übertragbarkeit
Betroffene Personen können verlangen, dass ihnen die Daten, die sie dem Verarbeiter zur Verfügung gestellt haben, in einem gängigen maschinenlesbaren Format herausgegeben werden. Sie können auch fordern, dass diese Daten auf einen Nachfolger übertragen werden.
Datenschutz-Folgenabschätzung
Birgt die angestrebte Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen, muss eine vorgängige Abschätzung der Folgen der Datenbearbeitungsvorgänge vorgenommen werden.
Umfassende Dokumentationspflichten
Die Bearbeiter von Personendaten sind für die Einhaltung der Datenbearbeitungsgrundsätze
verantwortlich. Sie müssen deren Einhaltung auch nachweisen können. Eine detaillierte Dokumentation der Datenverarbeitungsvorgänge wird damit inskünftig unumgänglich.
Sanktionen und Handlungsbedarf für Schweizer Unternehmen
Die EU-DSGVO sieht für die Sanktionierung von Datenschutzverstössen Geldbussen vor, welche bei gewissen Verstössen bis zu 4 % des weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres betragen können.
Schweizer Unternehmen sollten daher – falls nicht bereits geschehen – umgehend prüfen, ob sie aufgrund ihrer Geschäftstätigkeit in den Anwendungsbereich der EU-DSGVO fallen. Ist diese Frage zu bejahen, sollten die erforderlichen Massnahmen zur Umsetzung der EU-DSGVO definiert und ergriffen werden. Angesichts der Vielschichtigkeit der umzusetzenden Regelungen empfiehlt sich hierzu die Einsetzung eines gemischten Projektteams (IT, HR, Legal, Compliance und Risk).
Wir unterstützen Sie gerne
Sollten Sie im Hinblick auf die Umsetzung der neuen EU-Datenschutzgrundverordnung Beratung benötigen, stehen Ihnen unsere Spezialisten gerne unterstützend zur Verfügung.
SwissLegal – schweizweit für Sie da.
images
