Update

DSGVO: EU-Datenschutzgrundverordnung – das zeigt die Praxis


Seit dem 25. Mai 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) verbindlich. Lange geisterte sie nur in juristischen Fachzeitschriften herum – nun erschleicht sie die Schweizer Unternehmenslandschaft. Die DSGVO fördert die Transparenz der Datenverarbeitung, stärkt die Individualrechte und nimmt Datenverarbeiter stärker in die Pflicht. Dazu gehören auch Schweizer Unternehmen, sofern sie einen relevanten Bezug zur EU aufweisen. Darum sollten sie die Anwendbarkeit der DSGVO prüfen und falls nötig reagieren. Denn bei Nichteinhaltung drohen saftige Bussen von bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.



Susanne Hofmann-Hafner

Susanne Hofmann-Hafner

Director, Leiterin Legal Compliance und Datenschutzexpertin, PwC Legal Switzerland

Unternehmen gefordert

Die von der DSGVO betroffenen Unternehmen müssen diverse Vorgaben in ihrem bestehenden oder neuen Datenschutzkonzept implementieren. Sie müssen die Grundsätze für die Verarbeitung personenbezogener Daten einhalten, so etwa Rechtmässigkeit und Transparenz, Zweckbindung, Datenminimierung, Richtigkeit sowie Integrität und Vertraulichkeit. Wer für Personendaten verantwortlich ist, muss zudem aktiv nachweisen (Rechenschaftspflicht), dass er die Datenverarbeitungsgrundsätze einhält.

Die Pflichten eines Verantwortlichen für Personendaten sind unter anderem:

  • Erfüllung der Rechte der betroffenen Personen, Art. 12 ff. DSGVO
  • Ausgestaltung des Datenschutzes im Sinne der Prinzipien «Privacy by Design» und «Privacy by Default», Art. 25 DSGVO
  • Führen eines Registers von Verarbeitungstätigkeiten, Art. 30 DSGVO
  • Implementierung angemessener technischer und organisatorischer Massnahmen, Art. 32 DSGVO
  • Meldesystem bei Verletzung des Schutzes personenbezogener Daten, Art. 33 und 34 DSGVO
  • Pflichten im Rahmen einer Datenschutzfolgeabschätzung, falls notwendig, Art. 35 DSGVO
  • Benennung eines Datenschutzbeauftragten, falls notwendig, Art. 37 DSGVO

Um die Umsetzung dieser Anforderungen zu erleichtern, sollte ein Unternehmen zuerst den Istzustand der datenschutzrechtlichen Vorgaben erfassen. Danach erfolgt eine sogenannte Gap-Analyse, wobei Ist- und Sollzustand verglichen und allfällige Datenschutzlücken aufgedeckt werden. Auf dieser Basis kann das Unternehmen seine konkreten Implementierungsbedürfnisse risikobasiert eruieren und angemessen umsetzen.

Eine zentrale und in der Praxis anspruchsvolle Aufgabe besteht in der Einführung eines Verzeichnis von Verarbeitungstätigkeiten gemäss Art. 30 DSGVO. Oft haben die Unternehmen keinen (vollständigen) Überblick darüber, wo sie welche Daten zu welchem Zweck verarbeiten. Vor allem die grossen Unternehmen müssen sich teils durch dichte Datendschungel kämpfen. Diese Verarbeitungstätigkeiten zu ordnen, in Prozesse zu bündeln und schliesslich in einer übersichtlichen Aufstellung aufzulisten, kann sehr aufwendig sein. Wer auf einsatzfertige Standardlösungen hofft, tut dies vergeblich: Der Datenschutz kennt keine konkreten Vorgaben oder einheitliche Regelkonzepte. Das heisst, jedes Unternehmen muss die Anforderungen individuell und angemessen umsetzen. Hilfreich ist es, den rechtlichen Ermessensspielraum zu kennen. So lassen sich auch die (teils vermeintlichen) Risiken richtig einschätzen. Für die Implementierung der Vorgaben bestehen jeweils zahlreiche Möglichkeiten. Allen gemeinsam ist das Ziel, die Grundprinzipien der Datenverarbeitung im Einzelfall einzuhalten.

Eine weitere Herausforderung für den Geschäftsalltag sind die Datenschutzerklärungen, die aus der Informationspflicht gemäss Art. 12 bis 14 DSGVO hervorgehen. Bei der Erhebung von personenbezogenen Daten muss die betroffene Person über vielerlei informiert werden, zum Beispiel über den Namen und die Kontaktdaten des Verantwortlichen für die Datenverarbeitung, gegebenenfalls über die Kontaktdaten des Datenschutzbeauftragten, Zwecke und Rechtsgrundlagen der Verarbeitung oder über mögliche Datenübermittlungen an Drittländer. In der praktischen Ausgestaltung dieser Informationspflicht räumt die DSGVO einen erheblichen Interpretationsspielraum ein. Festgehalten wird nur, dass die Information mit «geeigneten Massnahmen» sowie «in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache» an die betroffene Person übermittelt werden soll. Wie das genau aussieht, muss das Unternehmen selber entscheiden. Auch hier erfolgt die jeweilige Umsetzung im Hinblick auf den Einzelfall.

Drastische Sanktionierung aus dem Ausland

Die DSGVO droht dem Verantwortlichen bei Nichteinhaltung mit drastischen Sanktionen von bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Sie gesteht den Aufsichtsbehörden der einzelnen EU-Mitgliedsstaaten zu, beim Vorliegen diverser Voraussetzungen Geldbussen zu verhängen. Jede Aufsichtsbehörde stellt sicher, dass die Sanktionen für Verstösse gegen die DSGVO wirksam, verhältnismässig und abschreckend sind.

Interessant wird sein, wie Schweizer Unternehmen ohne Niederlassung in der EU, die laut DSGVO in deren Geltungsbereich fallen, durch Aufsichtsbehörden in der EU sanktioniert werden. Denn die Sanktionsbefugnis eines Staates bleibt auf sein eigenes territoriales Hoheitsgebiet beschränkt. Diese Unvereinbarkeit versucht die DSGVO zu lösen, indem sie Anbieter von Dienstleistungen und Güter in die EU zur Ernennung eines EU-Vertreters verpflichtet. Dieser gilt als Anlaufstelle für Aufsichtsbehörden und betroffene Personen bei sämtlichen Anliegen im Zusammenhang mit der Einhaltung der DSGVO. Noch ist offen, wie mögliche Sanktionen in der Schweiz in Zukunft durchgesetzt werden.

Revidiertes Datenschutzgesetz (DSG) in der Schweiz

In der Schweizer Datenschutzgesetzgebung herrscht ebenfalls Aufbruchsstimmung. Mit der Totalrevision des DSG wird die Schweiz das revidierte Datenschutzübereinkommen des Europarats ratifizieren. Zudem wird sie die EU-Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts übernehmen.

Der Entwurf des revidierten Datenschutzgesetzes (E-DSG) wurde im September 2017 publiziert. Die Revisionsvorlage gleicht den Datenschutz der Schweiz an das Niveau der DSGVO an. Sie soll sowohl die Individualrechte der Betroffenen und Transparenz stärken als auch harmonisieren und liberalisieren. Diese Anpassungen sind wichtig, damit die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt und der grenzüberschreitende Datentransfer mühelos möglich bleibt.

Im Januar 2018 hat die Staatspolitische Kommission des Nationalrats eine Aufteilung der Vorlage beantragt: In einer ersten Etappe sollen die Änderungen erfolgen, die im Rahmen des Schengen-Abkommens nötig sind. Die Totalrevision des DSG soll anschliessend «ganz ohne Zeitdruck ablaufen». Damit will man vor allem der Komplexität der Thematik gerecht werden.

Das revidierte DSG soll voraussichtlich im Januar 2019 in Kraft treten. Zurzeit wird allerdings mit Verzögerungen gerechnet. Vom sogenannten «Swiss Finish» hat man sich inzwischen wieder distanziert. Ebenfalls aufgegeben wurde der Schutz von Daten juristischer Personen, der im geltenden DSG noch verankert ist. Im Hinblick auf die Rechenschaftspflichten eines Verantwortlichen kommt das E-DSG wesentlich schlanker daher als die DSGVO. Die Sanktionen liegen mit einer maximalen Geldstrafe von 250'000 CHF ebenfalls tiefer. Nicht zu unterschätzen ist jedoch der Umstand, dass sich die Sanktionierung des Verantwortlichen nach E-DSG direkt gegen eine natürliche Person richtet; also nicht wie in der DSGVO gegen ein Unternehmen.

Ausblick

Seit die DSGVO am 25. Mai 2018 in Kraft getreten ist, bleibt die Entwicklung spannend. In den kommenden Monaten wird sich zeigen, ob die Unternehmen die Risiken korrekt interpretiert und die Vorgaben aus der DSGVO ausreichend umgesetzt haben. Jene, die noch nicht so weit sind, dürfen aufatmen: Die Implementierung der DSGVO ist keine Herkulesaufgabe. Ist sie erst einmal umgesetzt, kann sie einem Unternehmen sogar die Chance bieten, Vertrauen und Engagement zu zeigen und wesentlich zur Wahrung des Rechts auf Persönlichkeit beizutragen. Spätestens mit dem Inkrafttreten des revidierten DSG in der Schweiz muss jedes Unternehmen sein Datenschutzkonzept überdenken. Denn eine Verletzung von Datenschutzbestimmungen macht sich nicht nur in Franken und Rappen bemerkbar, sondern führt auch zu Vertrauensverlust und Reputationsschäden.

Wir sind für Sie da!

Susanne Hofmann-Hafner

Susanne Hofmann-Hafner

Director, Leiterin Legal Compliance und Datenschutzexpertin, PwC Legal Switzerland

+41 58 792 17 12

Weitere Autoren

Rebecca Isenegger

Rebecca Isenegger

Gerne möchten wir diese Lektüre noch gezielter auf Ihre Wünsche ausrichten. Darum bitten wir Sie um fünf Minuten Ihrer wertvollen Zeit für die Beantwortung von Fragen zum «Disclose».
Hier geht es zur Umfrage!