Schweizer Firmen müssen handeln

* Carmen de la Cruz Böhringer, spezialisiert in IT-Recht, ist Rechtsanwältin und dipl. Wirtschaftsinformatikerin, de la cruz beranek Rechtsanwälte AG , www.delacruzberanek.com. Der Artikel wurde ursprünglich auf «weka.ch» publiziert. Sowohl in der Schweiz als auch in der Europäischen Union ändert sich in Kürze die Datenschutz-Gesetzgebung. Im folgenden Artikel wird aufgezeigt, was sich genau für Schweizer Firmen ändert und warum dringender Handlungsbedarf bei vielen Unternehmen besteht. Datenschutz in der Schweiz Der Vorentwurf zum schweizerischen Datenschutzgesetz Der Vorentwurf für das Gesetz über die Total revision des Datenschutzgesetzes vom 21. Dezember 2016 ( VE-DSG) hat zum Ziel, das schweizerische Datenschutzgesetz (DSG) dem europäischen Umfeld (Europarats-Konvention, EU-Datenschutzgrundverordnung, Richtlinie 2016/680) anzupassen. Ziel des schweizerischen Gesetzgebers ist es, das Datenschutzgesetz so anzupassen, dass es aus Sicht der EU als gleichwertig angesehen wird und damit der Datenaustausch zwischen der EU und der Schweiz ohne neue weitere Hürden für den Austausch von Personendaten möglich bleibt. Das überarbeitete DSG soll mit wenig Verzögerung zur EU-Regelung in Kraft treten – voraussichtlich 2019 (ohne Referendum). Die EU-DSGVO ist ab 25. Mai 2018 direkt durchsetzbar, sodass Schweizer Unternehmen mit EU-Bezug ab dann gerüstet sein müssen. Verstärkte Informationsrechte der Betroffenen Im Rahmen des VE-DSG werden die Informationsrechte von Personen, deren Daten verwendet werden, verstärkt. Dies heisst für Verantwortliche der verschiedenen Datenverarbeitungsprozesse, dass sie eine verschärfte Informationspflicht trifft, da die Informationspflicht auch bei vollständig automatisierten Einzelentscheidungen gilt. Der betroffene Kunde oder Mitarbeiter muss in Zukunft explizit darauf aufmerksam gemacht werden, wie seine Daten bearbeitet werden (Zweck, Mittel, beigezogene Dritte etc.). Informationen via AGB genügen nicht mehr. Umgekehrt erhält der Kunde oder Mitarbeiter (Betroffener) das Recht, seinen Standpunkt zu diesem Entscheid darzulegen, die Bearbeitung zu verbieten oder die Löschung von Daten zu verlangen. Der Eidgenössische Datenschutzbeauftragte (EDÖB) Grundsätzlich soll der EDÖB im Rahmen des Vorentwurfs eine gestärkte und unabhängigere Stellung erhalten und Empfehlungen der guten Praxis (Industry Practices) abgeben können, z.B. hinsichtlich Spezialfragen, Meldepflichten bei Datenschutzverletzungen etc. Die verstärkte Stellung des EDÖB zeigt sich auch im Recht zum Erlass von Verfügungen. Sanktionen bei Verletzungen des DSG Neu sollen die Sanktionen gegenüber Privaten oder Unternehmen im VE-DSG ausgebaut werden. Die im VE-DSG vorgesehenen strafrechtlichen Bussen von bis zu 500'000 Franken für Personen, die das DSG verletzen, sind jedoch in der Wirtschaft stark umstritten, da sich das strafrechtliche Regime ausschliesslich gegen einzelne Personen richtet. Das Sanktionsregime wird wohl deutlich strenger werden, sich aber hauptsächlich gegen Unternehmen (verwaltungsrechtliche Bussen und Sanktionen) und nicht gegen Einzelpersonen richten (laufende Diskussion). ! KASTEN ! Privatpersonen können wie bisher ihre Ansprüche gegen Unternehmen mittels Zivilklage durchsetzen. Informationspflichten der Verantwortlichen Den Verantwortlichen trifft gemäss VE-DSG bei der Beschaffung von Personendaten eine umfangreiche Informationspflicht zugunsten der betroffenen Person. In diesem Rahmen hat er betroffene Personen über die Beschaffung von Personendaten zu informieren, selbst wenn die Daten bei Dritten beschafft werden. Die Informationspflicht umfasst unter anderem die Identität und Kontaktdaten des Verantwortlichen, die bearbeiteten Personendaten und den Zweck der Bearbeitung. Diese Informationen müssen ausdrücklich erfolgen und können nicht via AGB generell mitgeteilt und akzeptiert werden. Werden die Personendaten Dritten bekannt gegeben, so hat der Verantwortliche den betroffenen Personen den Empfänger mitzuteilen, ebenso die Bearbeitung von Personendaten durch einen Auftragsbearbeiter inklusive dessen Identität und Kontaktdaten. Die betroffenen Personen haben ein kostenloses Auskunftsrecht über die Bearbeitung ihrer Daten. Recht auf Gehör Beruht eine Entscheidung, die Personendaten betrifft, wie beispielsweise die Vergabe einer Hypothek oder der Abschluss einer Versicherungspolice, ausschliesslich auf einer automatisierten Datenbearbeitung, die erhebliche Auswirkungen auf die betroffene Person entfaltet, so muss der Verantwortliche der betroffenen Person die Möglichkeit geben, sich zu diesem Entscheid zu äussern. Automatisierte Entscheide dürften durch diese Vorgabe jedenfalls mit erheblichem Zusatzaufwand verbunden sein. Fakt ist, dass dies schon heute zum Teil implementiert ist (vgl. beispielsweise gewisse Bank- oder Versicherungsgeschäfte) und damit dort wohl in erster Linie Informationsbedarf gegeben ist. Datenschutz-Folgenabschätzungen Schweizer Unternehmen müssen im Voraus abschätzen, ob eine geplante Datenbearbeitung voraussichtlich ein erhöhtes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen, deren Daten verarbeitet werden sollen, mit sich bringt. Ergibt die Folgenabschätzung, dass ein solch erhöhtes Risiko besteht, ist eine Datenschutz- Folgenabschätzung, d.h. ein Risk Assessment aus Datenschutzsicht (mögliche Verletzung von Persönlichkeits- oder Grundrechten), durchzuführen. Hierbei werden die geplante Bearbeitung, die Risiken für die Rechte der betroffenen Personen sowie die geplanten Massnahmen analysiert und eingeschätzt. Das Ergebnis der Datenschutz-Folgenabschätzung ist dem EDÖB mitzuteilen, der innerhalb von drei Monaten Einwände erheben kann. Dieser geplante Prozess kann zu erheblichen Projektverzögerungen führen (Änderungswünsche des EDÖB, Abklärungen). Bei grösseren Projekten müssen deshalb die Datenschutzüberlegungen gleich zu Beginn in die Beurteilungen miteinfliessen, und der EDÖB muss rechtzeitig informiert werden. Datenschutzverletzungen Unbefugte Datenbearbeitungen oder Datenverluste hat der Verantwortliche (Data Owner) grundsätzlich unverzüglich (in der EU innert 72 Stunden seit Bekanntwerden der Datenschutzverletzung) dem EDÖB zu melden. Gleichermassen hat der Auftragsbearbeiter (Data Processor) den Verantwortlichen unverzüglich über eine unbefugte Datenbearbeitung zu informieren. Überdies hat eine Information der betroffenen Personen (Kunden, Mitarbeiter, Dritte soweit zugänglich/Data Subject) zu erfolgen, wenn es zu deren Schutz notwendig ist oder vom EDÖB verlangt wird. Dieser Prozess ist rechtzeitig intern zu implementieren. «Privacy by Design» und «Privacy by Default» Der VE-DSG führt die Grundsätze von «Privacy by Design» und «Privacy by Default» ein. Diese verpflichten den Verantwortlichen, angemessene Massnahmen zu treffen, um dem Risiko von Verletzungen der Persönlichkeit vorzubeugen. Zudem sollen standardmässig nur diejenigen Personendaten bearbeitet werden, die für den Verwendungszweck wirklich erforderlich sind, was durch entsprechende Voreinstellungen – sogenannte Defaults – sicher zustellen ist. Konkret muss im Rahmen von Produktentwicklungen und Produktdesign dem Datenschutz ein hoher Stellenwert zukommen. Der Verantwortliche sollte wissen, in welchen Systemen und Prozessen welche Personendaten verarbeitet werden und wie diese erfasst, geändert und gelöscht werden können. Prozessdokumentationspflicht Der Verantwortliche hat die Pflicht, Prozesse der Bearbeitung von Personendaten zu dokumentieren, was einen Grossteil der Prozesse betrifft. Die Prozesse müssen Behörden und Dritten herausgegeben werden können, sprich, sie sind aktuell zu halten. Nächste Seite: Besteht in Ihrem Unternehmen Handlungsbedarf? Besteht in Ihrem Unternehmen Handlungsbedarf? Mit Hilfe der folgenden Checkliste können Sie gleich eine erste Einschätzung vornehmen.Bei Handlungsbedarf sind folgende Weka-Seminare empfehlenswert: Update Datenschutz und Workshop Datenschutz in der Praxis. ! KASTEN ! Wenn Personendaten bearbeitet werden (Fragen 2 und 3 -> ja), muss man sich mit Datenschutz beschäftigen. Wenn die Fragen 4 bis 8 negativ beantwortet werden, besteht in jedem Fall Handlungsbedarf. Nächste Seite: Datenschutz in der EU Datenschutz in der EU Die neue europäische Datenschutzgrundverordnung (EU-DSGVO) Der Datenschutz in der Europäischen Union ist bisher in einer EU-Richtlinie geregelt worden. Im Gegensatz zur Richtlinie wird die neue Datenschutzgrundverordnung (EU-DSGVO) ab dem Zeitpunkt, zu welchem sie direkte Wirkung für den Bürger entfaltet und er sich darauf berufen kann – ab 25. Mai 2018 –, in den EU-Mitgliedstaaten unmittelbar anwendbar sein. Die neue EU-DSGVO stärkt – ebenso wie der VE-DSG – die Rechte der Betroffenen. So werden die Informationsrechte stark ausgebaut: Nebst den bereits bestehenden Auskunftsrechten sieht die Grundverordnung auch eine proaktive Informationspflicht des Datenbearbeiters vor. Informationen, welche sich auf eine Datenbearbeitung beziehen, sind ausserdem in einer leicht verständlichen Sprache den Betroffenen zu übermitteln. Dies heisst, dass AGB und Vertragsdokumente kundenfreundlich abgefasst sein müssen. Zudem sieht die EU-DSGVO vor, dass Betroffene ein «Recht auf Vergessen» haben, indem ihnen ein Recht auf Löschung zugestanden wird. All dies führt dazu, dass die Datenschutz-Compliance für die Datenbearbeiter ausgebaut werden muss. In diesem Zusammenhang werden spezielle Datenschutzbeauftragte eingesetzt. Wenn Unternehmen vornehmlich Personendaten verarbeiten, sind sie verpflichtet, einen betriebsinternen Datenschutzbeauftragten zu ernennen. Nachfolgend wichtige Punkte in Kürze: Welche Bearbeitungen von Personendaten fallen unter die EU-DSGVO? Im Gegensatz zur bisherigen Richtlinie ist der Anwendungsbereich der EUDSGVO massiv ausgedehnt worden: Die EU-DSGVO entfaltet nicht nur für EU-Bürger und EU-Bürgerinnen Wirkung und ist von Unternehmen innerhalb der EU einzuhalten. Neu gilt die EU-DSGV auch dann und für solche Unternehmen, die Personendaten im Rahmen der Tätigkeit einer EU-Niederlassung eines Unternehmens bearbeiten, unabhängig davon, wo die Bearbeitung effektiv erfolgt;Personendaten von Personen bearbeiten, die sich in der EU befinden, wenn diesen Personen Waren oder Dienstleistungen angeboten werden;Personendaten von betroffenen Personen beobachten, soweit ihr Verhalten in der EU erfolgt.! KASTEN ! Schweizer Unternehmen mit Niederlassungen in der EU, die Personendaten bearbeiten, unterliegen ebenfalls der EU-DSGVO, unabhängig davon, wo die Bearbeitung der Personendaten wirklich erfolgt. Kann man sich als Nicht-EU-Unternehmen auf den Standpunkt stellen, dass man ausserhalb der EU wohl nicht belangt werden kann, wenn man Personen daten von EU-Personen bearbeitet, in der EU aber keine Niederlassung hat? Dem ist nicht so: Die Durchsetzung von Bussen ist möglich, wenn auch nicht ohne Weiteres durchsetzbar. Es bleibt also keine Option, die EU-DSGVO zu vernachlässigen – die Einhaltung und Umsetzung der EU-DSGVO ist ein MUST für die meisten Schweizer Unternehmen. So kann ein Schweizer Unternehmen der EU-DSGVO unterstellt sein, wenn Datenverarbeitungen in der EU, für einen EU-Kunden in der Schweiz oder bei einem beauftragten Dritten in der EU vorgenommen werden. In jedem Fall wird ein Grossteil der Schweizer Unternehmen von der neuen Regelung betroffen und hat diese umzusetzen. Datenschutz-Folgeabschätzung Die Datenschutz-Folgeabschätzung gemäss Art. 35 EU DSGVO soll in der EU als Instrument dienen, um bei Projekten und Produkten mögliche Implikationen auf Personendaten und damit die Endkunden bereits zu Beginn zu prüfen. Ziel der Datenschutz-Folgeabschätzung ist es, das Risiko für Datenschutzverletzungen zu reduzieren und entsprechende Massnahmen schon im Vorherein zu integrieren. ! KASTEN ! Data Breach Notification – Meldepflichten bei Datenschutzverletzungen Datenschutzverletzungen sind leider heute an der Tagesordnung: Es gibt kaum ein Unternehmen, das nicht schon Datenschutzverletzungen zu beklagen hatte: Rechnungen werden an die falschen Kundenadressen geschickt, Passwörter werden veröffentlicht, Kundendaten analysiert und versehentlich veröffentlicht usw. – Verletzungen gehören heute zum Alltag. Solche Verletzungen können für Unternehmen zukünftig zu grösseren Problemen führen: Wird der Schutz von Personendaten verletzt, so muss diese Verletzung zukünftig der zuständigen nationalen Datenschutzbehörde gemeldet werden (Art. 33 EU-DSGVO). Die Meldefrist beträgt 72 Stunden seit Bekanntwerden der Datenschutzverletzung. Die Meldung selbst hat nebst einer detaillierten Beschreibung der Verletzung (soweit vorhanden) auch Kontaktdaten des meldenden Unternehmens zu enthalten, eine Beschreibung der betroffenen Personendaten etc. Bei einer «Datenpanne», die die Rechte der betroffenen Personen nicht direkt beeinträchtigt, kann eine Meldung auch unterbleiben. Damit soll «die Spreu vom Weizen» getrennt werden, um zu verhindern, dass sich die Datenschutzbehörden mit geringfügigen Verletzungen beschäftigen müssen. Die nationale Datenschutzbehörde muss sich aufgrund der Meldung relativ rasch ein Bild von der Tragweite der Verletzung machen können. Mögliche Sanktionen oder weitere Schritte müssen gestützt auf die Meldung ergriffen werden können. Bussenkatalog gemäss EU-DSGVO Die massiven Bussen, die in der EU-DSGVO vorgesehen sind, haben spürbare Auswirkungen auf die Unternehmen: Datenschutzverletzungen können zu hohen Bussen führen. Damit steigt der Druck, sich gesetzeskonform zu verhalten. Für einfachere Verletzungen, wie der Verstoss gegen Pflichten des Verarbeiters, gelten Bussen bis zu EUR 10 Mio. oder 2% des weltweiten Umsatzes des vorangegangenen Jahres (Art. 83 EU DSGVO). Bei schwerwiegenden Verletzungen (Art. 83 EU-DSGVO) drohen Bussen bis zu EUR 20 Mio. oder 4% des weltweiten Jahresumsatzes des vorangegangenen Jahres. Solche Verletzungen sind in etwa Verletzungen gegen die Einwilligungsvorschriften oder der Grundsätze der Datenbearbeitung gemäss EU-DSGVO generell.