Datenschutz: Schweizer Firmen müssen handeln

Hohe Datenschutzanforderungen in Europa und der Schweiz: Erhöhte Informations- und Meldepflichten bei Datenschutzverletzungen erfordern ein rasches Handeln: Bei Verletzungen drohen hohe Bussen und Reputationsrisiken. Handlungsbedarf besteht deshalb in juristischer, IT- und Prozesssicht für alle Unternehmen.

» Von Carmen de la Cruz Böhringer, 31.10.2017 14:35.

weitere Artikel

Bildergalerie

Bildergalerie

* Carmen de la Cruz Böhringer, spezialisiert in IT-Recht, ist Rechtsanwältin und dipl. Wirtschaftsinformatikerin, de la cruz beranek Rechtsanwälte AG , www.delacruzberanek.com. Der Artikel wurde ursprünglich auf «weka.ch» publiziert.

Sowohl in der Schweiz als auch in der Europäischen Union ändert sich in Kürze die Datenschutz-Gesetzgebung. Im folgenden Artikel wird aufgezeigt, was sich genau für Schweizer Firmen ändert und warum dringender Handlungsbedarf bei vielen Unternehmen besteht.

Datenschutz in der Schweiz

Der Vorentwurf zum schweizerischen Datenschutzgesetz

Der Vorentwurf für das Gesetz über die Total revision des Datenschutzgesetzes vom 21. Dezember 2016 ( VE-DSG) hat zum Ziel, das schweizerische Datenschutzgesetz (DSG) dem europäischen Umfeld (Europarats-Konvention, EU-Datenschutzgrundverordnung, Richtlinie 2016/680) anzupassen.

Ziel des schweizerischen Gesetzgebers ist es, das Datenschutzgesetz so anzupassen, dass es aus Sicht der EU als gleichwertig angesehen wird und damit der Datenaustausch zwischen der EU und der Schweiz ohne neue weitere Hürden für den Austausch von Personendaten möglich bleibt. Das überarbeitete DSG soll mit wenig Verzögerung zur EU-Regelung in Kraft treten – voraussichtlich 2019 (ohne Referendum). Die EU-DSGVO ist ab 25. Mai 2018 direkt durchsetzbar, sodass Schweizer Unternehmen mit EU-Bezug ab dann gerüstet sein müssen.

Verstärkte Informationsrechte der Betroffenen

Im Rahmen des VE-DSG werden die Informationsrechte von Personen, deren Daten verwendet werden, verstärkt. Dies heisst für Verantwortliche der verschiedenen Datenverarbeitungsprozesse, dass sie eine verschärfte Informationspflicht trifft, da die Informationspflicht auch bei vollständig automatisierten Einzelentscheidungen gilt. Der betroffene Kunde oder Mitarbeiter muss in Zukunft explizit darauf aufmerksam gemacht werden, wie seine Daten bearbeitet werden (Zweck, Mittel, beigezogene Dritte etc.). Informationen via AGB genügen nicht mehr. Umgekehrt erhält der Kunde oder Mitarbeiter (Betroffener) das Recht, seinen Standpunkt zu diesem Entscheid darzulegen, die Bearbeitung zu verbieten oder die Löschung von Daten zu verlangen.

Der Eidgenössische Datenschutzbeauftragte (EDÖB)

Grundsätzlich soll der EDÖB im Rahmen des Vorentwurfs eine gestärkte und unabhängigere Stellung erhalten und Empfehlungen der guten Praxis (Industry Practices) abgeben können, z.B. hinsichtlich Spezialfragen, Meldepflichten bei Datenschutzverletzungen etc. Die verstärkte Stellung des EDÖB zeigt sich auch im Recht zum Erlass von Verfügungen.

Sanktionen bei Verletzungen des DSG

Neu sollen die Sanktionen gegenüber Privaten oder Unternehmen im VE-DSG ausgebaut werden. Die im VE-DSG vorgesehenen strafrechtlichen Bussen von bis zu 500'000 Franken für Personen, die das DSG verletzen, sind jedoch in der Wirtschaft stark umstritten, da sich das strafrechtliche Regime ausschliesslich gegen einzelne Personen richtet. Das Sanktionsregime wird wohl deutlich strenger werden, sich aber hauptsächlich gegen Unternehmen (verwaltungsrechtliche Bussen und Sanktionen) und nicht gegen Einzelpersonen richten (laufende Diskussion).

Wichtiger Hinweis: Für einen Grossteil der Schweizer Unternehmen wird die EU-DSGV jedoch aufgrund des weiten Anwendungsbereichs sowieso gelten, sodass in jedem Fall ein happiges Sanktionssystem greifen wird.

Privatpersonen können wie bisher ihre Ansprüche gegen Unternehmen mittels Zivilklage durchsetzen.

Informationspflichten der Verantwortlichen

Den Verantwortlichen trifft gemäss VE-DSG bei der Beschaffung von Personendaten eine umfangreiche Informationspflicht zugunsten der betroffenen Person. In diesem Rahmen hat er betroffene Personen über die Beschaffung von Personendaten zu informieren, selbst wenn die Daten bei Dritten beschafft werden. Die Informationspflicht umfasst unter anderem die Identität und Kontaktdaten des Verantwortlichen, die bearbeiteten Personendaten und den Zweck der Bearbeitung. Diese Informationen müssen ausdrücklich erfolgen und können nicht via AGB generell mitgeteilt und akzeptiert werden.

Werden die Personendaten Dritten bekannt gegeben, so hat der Verantwortliche den betroffenen Personen den Empfänger mitzuteilen, ebenso die Bearbeitung von Personendaten durch einen Auftragsbearbeiter inklusive dessen Identität und Kontaktdaten. Die betroffenen Personen haben ein kostenloses Auskunftsrecht über die Bearbeitung ihrer Daten.

Recht auf Gehör

Beruht eine Entscheidung, die Personendaten betrifft, wie beispielsweise die Vergabe einer Hypothek oder der Abschluss einer Versicherungspolice, ausschliesslich auf einer automatisierten Datenbearbeitung, die erhebliche Auswirkungen auf die betroffene Person entfaltet, so muss der Verantwortliche der betroffenen Person die Möglichkeit geben, sich zu diesem Entscheid zu äussern. Automatisierte Entscheide dürften durch diese Vorgabe jedenfalls mit erheblichem Zusatzaufwand verbunden sein. Fakt ist, dass dies schon heute zum Teil implementiert ist (vgl. beispielsweise gewisse Bank- oder Versicherungsgeschäfte) und damit dort wohl in erster Linie Informationsbedarf gegeben ist.

Datenschutz-Folgenabschätzungen

Schweizer Unternehmen müssen im Voraus abschätzen, ob eine geplante Datenbearbeitung voraussichtlich ein erhöhtes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen, deren Daten verarbeitet werden sollen, mit sich bringt. Ergibt die Folgenabschätzung, dass ein solch erhöhtes Risiko besteht, ist eine Datenschutz- Folgenabschätzung, d.h. ein Risk Assessment aus Datenschutzsicht (mögliche Verletzung von Persönlichkeits- oder Grundrechten), durchzuführen. Hierbei werden die geplante Bearbeitung, die Risiken für die Rechte der betroffenen Personen sowie die geplanten Massnahmen analysiert und eingeschätzt. Das Ergebnis der Datenschutz-Folgenabschätzung ist dem EDÖB mitzuteilen, der innerhalb von drei Monaten Einwände erheben kann.

Dieser geplante Prozess kann zu erheblichen Projektverzögerungen führen (Änderungswünsche des EDÖB, Abklärungen). Bei grösseren Projekten müssen deshalb die Datenschutzüberlegungen gleich zu Beginn in die Beurteilungen miteinfliessen, und der EDÖB muss rechtzeitig informiert werden.

Datenschutzverletzungen

Unbefugte Datenbearbeitungen oder Datenverluste hat der Verantwortliche (Data Owner) grundsätzlich unverzüglich (in der EU innert 72 Stunden seit Bekanntwerden der Datenschutzverletzung) dem EDÖB zu melden. Gleichermassen hat der Auftragsbearbeiter (Data Processor) den Verantwortlichen unverzüglich über eine unbefugte Datenbearbeitung zu informieren. Überdies hat eine Information der betroffenen Personen (Kunden, Mitarbeiter, Dritte soweit zugänglich/Data Subject) zu erfolgen, wenn es zu deren Schutz notwendig ist oder vom EDÖB verlangt wird. Dieser Prozess ist rechtzeitig intern zu implementieren.

«Privacy by Design» und «Privacy by Default»

Der VE-DSG führt die Grundsätze von «Privacy by Design» und «Privacy by Default» ein. Diese verpflichten den Verantwortlichen, angemessene Massnahmen zu treffen, um dem Risiko von Verletzungen der Persönlichkeit vorzubeugen. Zudem sollen standardmässig nur diejenigen Personendaten bearbeitet werden, die für den Verwendungszweck wirklich erforderlich sind, was durch entsprechende Voreinstellungen – sogenannte Defaults – sicher zustellen ist. Konkret muss im Rahmen von Produktentwicklungen und Produktdesign dem Datenschutz ein hoher Stellenwert zukommen. Der Verantwortliche sollte wissen, in welchen Systemen und Prozessen welche Personendaten verarbeitet werden und wie diese erfasst, geändert und gelöscht werden können.

Prozessdokumentationspflicht

Der Verantwortliche hat die Pflicht, Prozesse der Bearbeitung von Personendaten zu dokumentieren, was einen Grossteil der Prozesse betrifft. Die Prozesse müssen Behörden und Dritten herausgegeben werden können, sprich, sie sind aktuell zu halten.

Nächste Seite: Besteht in Ihrem Unternehmen Handlungsbedarf?

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.