DSGVO in a nutshell
Am 25. Mai 2018 ist die neue Datenschutz-Grundverordnung der EU (DSGVO)¹ in Kraft getreten, welche die bisherige Datenschutz-Richtlinie 95/46/EG ersetzt und weltweit Unternehmen betrifft, welche auf dem europäischen Markt tätig sind. Die DSGVO regelt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie den freien Datenverkehr. Sie gewährt den Bürgern ein höheres Schutzniveau ihrer personenbezogenen Daten, Unternehmen werden stärker in die Pflicht genommen und die Rolle der Aufsichtsbehörde wird gestärkt.
Ursprünglich war geplant, das Schweizer Bundesgesetzes über den Datenschutz (DSG) per Sommer 2018 zu revidieren um den Betroffenen ein mit der EU vergleichbares Schutzniveau zu gewähren. Am 12. Juni 2018 hat der Nationalrat indes entschieden, bei der Revision des DSG zweistufig vorzugehen. Die Revision des DSG verschiebt sich damit voraussichtlich auf Ende 2019. Somit können Schweizer Unternehmen nicht bis zur Revision des DSG zuwarten, sondern müssen unter Umständen bereits heute die Standards der DSGVO der EU einhalten. Dieser Beitrag gibt - in a nutshell - eine Übersicht, wann die DSGVO auf Schweizer Unternehmung Anwendung findet, welche Pflichten insbesondere zu beachten sind und welche Konsequenzen mögliche Pflichtverletzungen haben können.
I. Anwendbarkeit der DSGVO auf Schweizer Unternehmen
Schweizer Unternehmen, welche eine Niederlassung in der EU haben, unterstehen bei der Verarbeitung personenbezogener Daten der DSGVO. Die Verordnung kann aber auch auf nicht in der EU niedergelassene Unternehmen, die personenbezogene Daten verarbeiten, Anwendung finden. Die Erweiterung des territorialen Anwendungsbereichs der DSGVO stellt eine der wichtigsten Neuerungen zur vorher geltenden Datenschutz-Richtlinie 95/46/EG dar. Die DSVGO findet auf nicht in der EU niedergelassene Unternehmen Anwendung:
sofern ein Unternehmen seine Waren und Dienstleistungen in der EU anbietet (Marktortprinzip). Ob ein Anbieten gemäss der DSGVO vorliegt, ist einzelfallweise zu beurteilen. Nicht relevant für die Beurteilung ist, ob die angebotene Leistung in der Schweiz oder im Ausland erbracht wird.
sofern ein Unternehmen das Verhalten von Personen in der EU beobachtet.
sofern ein Unternehmen personenbezogene Daten im Auftrag eines Dritten mit Niederlassung in der EU bearbeitet.
Personenbezogene Daten gemäss DSGVO sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nicht geschützt werden die Daten von juristischen Personen.
II. Umsetzung der DSGVO
1. Rechtmässigkeit der Datenverarbeitung
Nach der Konzeption der DSGVO ist das Verarbeiten von Personendaten grundsätzlich verboten, ausser es gibt einen Rechtfertigungsgrund. Mindestens einer der folgenden Rechtfertigungsgründe muss für eine rechtmässige Datenverarbeitung gegeben sein:
- Gültige Einwilligung der betroffenen Person. An die gültige Einwilligung werden folgende Bedingungen gestellt: Die betroffene Person muss ihre Zustimmung freiwillig, informiert und unmissverständlich für einen bestimmten Zweck/bestimmbare Zwecke, eindeutig bestätigend und nachweisbar abgeben. Die Einwilligung kann jederzeit widerrufen werden. Eine stillschweigende Einwilligung oder pauschale Einwilligungsklauseln genügen nicht mehr.
- Erfüllung eines Vertrags oder Durchführung vorvertraglicher Massnahmen.
- Wahrung von überwiegenden berechtigten Interessen.
- Erforderlichkeit für die Erfüllung einer rechtlichen Verpflichtung, wobei nur das Recht der EU oder der EU-Mitgliedstaaten massgeblich ist.
Das Unternehmen trägt im Übrigen die Beweislast für den Rechtfertigungsgrund (Prinzip der Beweislastumkehr).
2. Neue Pflichten für Unternehmen
Die DSGVO führt neue Pflichten für Unternehmen ein. Nachfolgend (nicht abschliessend) die aus unserer Sicht zentralsten Pflichten für Unternehmen:
- Umfassende Dokumentationspflicht, aus welcher hervorgeht, welche personenbezogene Daten zu welchem Zweck bearbeitet werden, wer für die Bearbeitung der Daten verantwortlich ist, welche technischen und organisatorischen Sicherheitsmassnahmen zum Schutze der Daten bestehen und an wen diese Daten allenfalls weitergegeben werden.
- Umfassende Information-/ Auskunftspflichten gegenüber betroffenen Personen, welche Daten erhoben und bearbeitet werden, zu welchen Zwecken dies geschieht und für welche Dauer die Daten gespeichert werden.
- Meldepflichten bei Datenschutzverletzungen (möglichst innert 72 Stunden) an die zuständige Aufsichtsbehörde. Bei hohem Risiko von Persönlichkeitsverletzungen muss zudem die betroffene Person benachrichtigt werden.
- Benennung eines unternehmensinternen oder externen Datenschutzbeauftragten mit Dokumentations- und Nachweispflichten, wenn die Kerntätigkeit des Unternehmens in der regelmässigen oder systematischen Beobachtung von betroffenen Personen oder der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht.
- Datenschutz durch technische Massnahmen und interne Abläufe (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default): Gesammelt werden sollen nur noch die diejenigen Daten, die zur Erfüllung des Zwecks erforderlich sind.
- Pflicht zur vorgängigen Durchführung einer Datenschutz-Folgenabschätzung (Data Protection Impact Assessment), wenn die Verarbeitung personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen haben könnte. Bei der Datenschutz-Folgenabschätzung muss eine Beschreibung der geplantenDatenverarbeitung, eine Bewertung der damit verbundenen Risiken und Folgen für die betroffenen Personen abgeschätzt und eine Auflistung der Abhilfemassnahmen getroffen werden.
- Schweizer Unternehmen müssen einen Vertreter in der EU benennen, wenn die DSGVO auf sie anwendbar ist (für die Anwendbarkeit der DSGVO auf Schweizer Unternehmen, siehe oben unter I). Der Vertreter muss schriftlich bestellt werden und seine Niederlassung in einem EU-Mitgliedstaat haben, in welchem die natürlichen Personen, deren Daten bearbeitet werden, ihren Wohnsitz haben. Er vertritt das (Schweizer) Unternehmen in der EU gegenüber den Datenschutzbehörden.
III. Sanktionen
Datenschutzverstösse können nach der DSGVO schärfer und erleichtert sanktioniert werden. Unternehmen und anderen datenverarbeitenden Stellen drohen nicht nur erleichtert durchsetzbare Schadensersatzansprüche Betroffener, sondern darüber hinaus die Verhängung höherer Bussgelder durch die Aufsichtsbehörden. Neben der Ahndung einzelner Datenschutzverletzungen sollen Sanktionen auch abschreckend für andere Unternehmen wirken.
Bei Verstössen gegen die DSGVO haben die Aufsichtsbehörden die Kompetenz zum Erlass von Massnahmen und zur Verhängung von Bussen bis zu EUR 20’000’000.00 oder 4% des gesamten weltweiten Jahresumsatzes des zu büssenden Unternehmens (zur Verhängung von Bussen genügt Fahrlässigkeit, Vorsatz ist nicht erforderlich).
Führt ein Verstoss gegen die DSGVO bei einer Person zu einem materiellen oder immateriellen Schaden, hat sie gegen den Verantwortlichen oder Auftragsverarbeiter Anspruch auf Schadenersatz. Der Begriff des Schadens ist dabei weit und unionsrechtlich-autonom auszulegen. Die Beweislast für die fehlende Verantwortlichkeit liegt im Übrigen beim Anspruchsgegner. Im Zusammenhang mit allfälligen Schadenersatzansprüchen räumt die DSGVO den Betroffenen zudem die Möglichkeit ein, Verbände mit der Durchsetzung ihrer Ansprüche zu beauftragen.
IV. Ausblick / Schweizer DSG
Auch in der Schweiz ist eine Totalrevision des Bundesgesetzes über den Datenschutz (DSG) geplant, welches dieselben Ziele wie die DSGVO verfolgt. Der Bundesrat will das DSG den veränderten technologischen und gesellschaftlichen Verhältnissen anpassen und dabei insbesondere die Transparenz von Datenverarbeitungen verbessern und die Selbstbestimmung der betroffenen Personen über ihre Daten stärken.
Die Totalrevision des DSG soll der Schweiz erlauben, das revidierte Daten-schutzübereinkommen SEV 108 des Europarats zu ratifizieren sowie die Richtlinie (EU) 680/2016 über den Datenschutz im Bereich der Strafverfolgung zu übernehmen, wozu sie aufgrund des Schengen-Abkommens verpflichtet ist. Mit der Revision soll sich die schweizerische Datenschutzgesetzgebung insgesamt den Anforderungen der DSGVO annähern. Diese Annäherung und die Ratifizierung des revidierten Übereinkommens SEV 108 sind zentral, damit die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt und die grenzüberschreitende Datenübermittlung auch künftig möglich bleibt.
Die Revision des DSG ist derzeit noch in der parlamentarischen Behandlung und wird voraussichtlich bis Ende 2019 dauern.
¹Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119 vom 4. Mai 2016, 1 ff. Auf Englisch wird die Verordnung als General Data Protection Regulation (GDPR) bezeichnet.