Noch bis am 25. Mai 2018 – also noch knapp drei Monate – haben Schweizer Unternehmen Zeit, die Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) umzusetzen. Diese gilt nicht nur für Unternehmen mit Sitz in der EU, sondern auch für Unternehmen ausserhalb der EU. Die DSGVO gilt auch für Schweizer Unternehmen, die in der EU eine Niederlassung haben (Niederlassungsprinzip). Die Rechtsform der Niederlassung ist nicht relevant, es kann sich um eine Tochtergesellschaft, eine Zweigniederlassung oder auch bloss um eine Agentur handeln. Die Niederlassung untersteht für die Verarbeitung von Personendaten im Zusammenhang mit ihren Tätigkeiten der DSGVO und zwar selbst dann, wenn die Datenverarbeitung nicht in der EU durchgeführt wird, sondern am Hauptsitz in der Schweiz, z. B. wenn die Niederlassung ein ERP- oder CRM-System nutzt, das zentral am Hauptsitz betrieben wird.

Auch sind Schweizer Unternehmen der DSGVO unterstellt, die zwar keine Niederlassung in der EU haben, aber Per­sonen, die sich in der EU befinden, Angebote für Waren oder Dienstleistungen machen (Marktortprinzip) – selbst wenn diese unentgeltlicher Natur sind. Eine Website gilt als solche jedoch noch nicht als Angebot. Erst wenn deren Ausgestaltung (z. B. bei Zahlungsmöglichkeit in Euro, bei Angaben von Lieferfristen für Besteller in der EU, Verwendung von EU-Sprachen, die keine schweizerische Landessprache sind, beispielsweise Spanisch oder Polnisch) den Eindruck erweckt, dass der Betreiber offensichtlich beabsichtigt, Personen in der EU Waren oder Dienstleistungen anzubieten, gilt die DSGVO für das Schweizer Unternehmen.

Als Drittes knüpft die DSGVO an die «Verhaltensbeobachtung» von Internetnutzern aus der Europäischen Union an. Darunter fällt unter anderem auch das Webtracking, sofern sich dieses nicht ausschliesslich auf Daten stützt, die keinen Personenbezug erlauben.

Schweizer Unternehmen, die der DSGVO unterstellt sind, müssen einen Vertreter bestellen, der in einem EU-Land niedergelassen ist, in dem sich durch die Datenverarbeitung des Unternehmens betroffene Personen befinden. Dieser dient als Anlaufstelle für die Aufsichtsbehörde bei Fragen bezüglich der Einhaltung des Datenschutzrechts.

Keine Anwendung findet die DSGVO, wenn ein Schweizer Unternehmen Stellenangebote an Personen in der EU macht, beispielsweise über eine Internetbewerbungsplattform, oder, wenn ein Schweizer Unternehmen aus der EU stammende Personen (Grenzgänger) beschäftigt. Die Beauftragung eines in der EU ansässigen Unternehmens mit der Bearbeitung von Personendaten (sogenannte Auftragsverarbeitung), etwa im Rahmen der Nutzung von Cloud-Service-Angeboten von Providern in der EU, ist ebenfalls kein Anknüpfungskriterium. In dieser Situation untersteht nur der Auftragsverarbeiter in der EU der DSGVO, nicht aber das auftraggebende Schweizer Unternehmen.

Im umgekehrten Fall – wenn ein Auftraggeber in der EU einen Auftragsverarbeiter in der Schweiz hat – gilt für Schweizer Unternehmen das europäische Datenschutzrecht nicht. Der Auftraggeber, welcher selbst der DSGVO untersteht, hat jedoch mit dem Auftragsverarbeiter in der Schweiz einen Vertrag abzuschliessen und darin die erforderlichen Regelungen zu vereinbaren, die es dem Auftrag­geber erlauben, mit Bezug auf die ausgelagerte Daten­verarbeitung, das EU-Datenschutzrecht einzuhalten. Die DSGVO wird somit für Auftragsverarbeiter in der Schweiz, die EU-Kunden haben, indirekt relevant.

Ist ein Schweizer Unternehmen der DSGVO unterstellt, so ist dem Datenschutz hohe Priorität einzuräumen. Mit Rücksicht auf die massiven Sanktionen, die bei einer Verletzung der DSGVO gegen ein Unternehmen verhängt werden können (Bussen bis 20 Millionen Euro oder, falls höher, bis zu 4 % des im vorangegangenen Geschäftsjahr weltweit erzielten Umsatzes), ist der Datenschutz in Geschäftsleitungen und Verwaltungsräten zwingend zu thematisieren.

Umfangreiche Vorbereitungen sind erforderlich, denn die DSGVO verlangt nicht nur die Einhaltung bestimmter Bearbeitungsgrundsätze und die Wahrung der Rechte der betroffenen Personen, sondern sieht auch detaillierte Dokumentations-, Informations- und Meldepflichten vor. Sie verlangt Massnahmen zur Gewährleistung der Datensicherheit, die Durchführung von Datenschutz-Folgenabschätzungen bei der Einführung neuer IT-Applikationen sowie die Beachtung des Grundsatzes des «Privacy by Design», das heisst, die Umsetzung technischer und organisatorischer Massnahmen, die geeignet sind, bei Auswahl und Einsatz von für die Datenverarbeitung eingesetzter Mittel die Einhaltung der Datenschutzgrundsätze sicherzustellen. Weitere Pflichten betreffen die Ernennung eines Datenschutzbeauftragten, wenn bestimmte Voraussetzungen erfüllt sind (z. B. bei umfangreicher Bearbeitung besonders schützenswerter Personendaten) oder die Pflicht, mit Auftragsverarbeitern Verträge abzuschliessen, welche die Mindestanforderungen erfüllen.

Um die erwähnten Anforderungen einzuhalten, sind organisatorische Massnahmen erforderlich, welche die im Unternehmen für den Datenschutz zuständigen Stellen sowie deren Aufgaben und Verantwortlichkeiten festlegen. Es sind Prozesse zu definieren, die sicherstellen, dass die von der DSGVO verlangten Massnahmen umgesetzt werden, etwa dass Gesuche betroffener Personen um Auskunft betreffend die über sie bearbeiteten Daten oder die Geltend­machung von Ansprüchen Betroffener auf Berichtigung, Sperrung oder Löschung von Daten ordnungsgemäss behandelt werden. Speziell anspruchsvoll ist die Anforderung, dass bei festgestellten Datenschutzverstössen binnen 72 Stunden eine Meldung an die Aufsichtsbehörden zu erfolgen hat und eine allfällige Überschreitung dieser Frist zu begründen ist. Nur wenn die Zuständigkeiten und Abläufe für solche Fälle im Voraus geregelt sind, kann die geforderte Frist eingehalten beziehungsweise eine nachvollziehbare Begründung bei einer allfälligen Fristüberschreitung geliefert werden. Auch rechtliche Massnahmen haben zu erfolgen: inhaltlich korrekte Formulierungen von Standard­texten für die Information der betroffenen Personen bei der Erhebung von Daten oder für Einwilligungserklärungen betroffener Personen zur Bearbeitung ihrer Daten (bei Vertragsabschlüssen, auf Webseiten, bei Wettbewerben etc.).

Von zentraler Bedeutung bei der Vorbereitung auf die Compliance mit der Datenschutz-Grundverordnung ist ausserdem auch die Erstellung eines Verfahrensverzeichnisses. Im Verfahrensverzeichnis sind alle Verarbeitungstätigkeiten im Unternehmen, zusammen mit den relevanten Angaben betreffend des Zwecks der Verarbeitung sowie der Kategorien betroffener Personen, verarbeiteter Daten und Datenempfänger etc., zu erfassen. Erst auf der Basis dieses Inventars der Datenverarbeitungen eines Unternehmens kann überhaupt festgestellt werden, welche weiteren Massnahmen (Datensicherheit etc.) im Hinblick auf die Datenschutz-Compliance erforderlich sind.

Für Unternehmen, deren Geschäftstätigkeit auch die Verarbeitung von Personendaten umfasst, für die sie dem EU-Datenschutzrecht unterstellt sind, wird die Zeit zur termingerechten Sicherstellung der Konformität ihrer Datenverarbeitung mit der DSGVO per Ende Mai 2018 bald eng. Ein weiteres Zuwarten ist nicht mehr zu rechtfertigen und wer nicht selbst über das erforderliche fachliche und rechtliche Know-how verfügt, sollte sich nicht scheuen, die Unterstützung externer Experten anzufordern.

Am 25. Mai 2018 geht die zweijährige Übergangsfrist zum Inkraft­treten der EU-DSGVO zu Ende. Das sind die 10 wichtigsten neuen Anforderungen, die damit an betroffene Unternehmen gestellt werden.

Wenn Firmen regelmässig oder systematisch betroffene Personen be­obachten oder sensitive Daten ver­arbeiten, sind sie dazu verpflichtet, einen betrieblichen Datenschutzbeauftragten zu ernennen. Dabei kann es sich um einen Mitarbeiter oder einen externen Dienstleister handeln. Für eine Unternehmensgruppe kann ein gemeinsamer Datenschutzbeauftragter bestimmt werden.

Datenschutzverletzungen – etwa durch Diebstahl, Verlust oder Offenbarung personenbezogener Daten an Unbefugte – sind innert 72 Stunden an die zuständige Behörde zu melden. Werden dadurch die persönlichen Freiheiten und Rechte Betroffener gefährdet, müssen auch sie benachrichtigt werden. Setzen Datenschutzverstösse betroffene Personen voraussichtlich keinem Risiko aus, ist hingegen keine Meldung nötig.

Nutzern wird die Durchsetzung des Rechts erleichtert, Informationen wieder löschen zu lassen.

Unternehmen müssen ihre Datenverarbeitungsaktivitäten dokumentieren. Unter anderem Kontaktdaten der für die Verarbeitung verantwortlichen Personen; Zwecke der Datenbearbeitung; Kategorien der verarbeiteten Daten und der Empfänger, an die Daten weitergegeben werden; Datenübermittlungen in EU-Drittländer; Fristen für die Löschung der Daten; technische und organisatorische Schutzmassnahmen. Wer Daten im Auftrag verarbeitet, muss dies ähnlich aufzeichnen. Firmen mit weniger als 250 Mitarbeitern sind von dieser Pflicht befreit, solange ihre Tätigkeit kein Risiko für die Betroffenen darstellt und keine besonders schützenswerten Daten involviert sind.

Produkte und Services sind so zu erstellen, dass diese standardmässig nur diejenigen personenbezogenen Daten verarbeiten, die für den jeweiligen Zweck erforderlich sind.

Datenverarbeitungsprozesse, die hohe Risiken für die Rechte und Freiheiten der Betroffenen beinhalten, bedürfen einer vorgängigen firmeninternen Prüfung, insbesondere bei der Verwendung neuer Technologien.

Firmen müssen Nutzern die Möglichkeit bieten, Daten von einem Anbieter zum nächsten mitzunehmen.

Kinder unter 16 Jahren dürfen Online-Dienste nur mit Zustimmung der Eltern nutzen. Den EU-Staaten steht es jedoch frei, tiefere Grenzen fest­zulegen. Das absolute Mindest­alter liegt allerdings bei 13 Jahren.

Betroffene sollen sich künftig in ihrer Sprache an die Behörde in ihrem Heimatstaat wenden können, auch wenn es um Datenschutzprobleme in einem anderen Mitgliedsstaat geht.

Je nach Unternehmensgrösse droht bei einem Verstoss gegen die Datenschutzregeln nach neuem Gesetz eine Geldstrafe von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes.