22. Juni 2016

EU Datenschutz - einschneidende Konsequenzen für CH-Unternehmen

  • Artikel
  • Compliance
  • Legal
  • Daten / Technologie / IP

Die EU Datenschutzgrund-Verordnung wirft ihren Schatten voraus. Auch schweizerische Unternehmen müssen sich vorbereiten.

  • Dr. Martin Eckert

    Legal Partner

Ausgangslage

Am 14.04.2016 hat das EU Parlament die neue EU Datenschutzverordnung in zweiter Lesung verabschiedet. Die neue Datenschutzgrundverordnung („DSGVO“) gilt einheitlich für alle EU-Länder und verschärft das Schutzniveau der bisherigen der in der EU geltenden nationalen Datenschutzgesetze. Nach einer Übergangsfrist von zwei Jahren wird die neue Verordnung im Mai 2018 für alle Mitgliedsstaaten verbindlich. Die neue DSGVO hat extraterritorialen Charakter und wird auch schweizerische Unternehmen treffen. Es ist zudem zu erwarten, dass auch der schweizerische Gesetzgeber nachziehen wird. Eine Arbeitsgruppe wird dem Bundesrat bis Ende August 2016 einen Bericht vorlegen.

Was ist neu?

Die DSGVO führt zahlreiche neue Pflichten für Unternehmen ein:

  • Meldepflichten bei Datenschutzverletzungen (möglichst binnen 72 Stunden) an die zuständige Aufsichtsbehörde (Art. 33 DSGVO); damit wird das Risiko von Reputationsschäden signifikant erhöht; Benachrichtigung der betroffenen Personen bei hohem Risiko von Persönlichkeitsverletzungen.
  • Benennung eines internen oder externen Datenschutzbeauftragter (Art. 37 DSGVO) mit Dokumentations- und Nachweispflichten.
  • Datenschutz durch Technikgestaltung (Privacy by Design; Art. 25 Abs. 1DSGVO) und datenschutzfreundliche Voreinstellungen (Privacy by Default; Art. 25 Abs. 2 DSGVO).
  • Big Data: Pflicht zur vorgängigen Durchführung einer Datenschutz-Folgenabschätzung (Data Protection Impact Assessment; Art. 35 DSGVO).
  • Koppelungsverbot bei Einwilligung (Art. 7 Abs. 4 DSGVO).
  • Ausbau der Rechte der betroffenen Personen (Kunden).
  • Auslagerung von der Datenverarbeitung (Auftragsverarbeitung) nur auf der Grundlage eines Vertrages (Standardvertragsklauseln) bei hinreichenden Garantien des Auftragsdatenverarbeiters (z.B. Datenschutzsiegel; Art. 28 Abs. 1 DSGVO).
  • Keine Unter-Auftragsverarbeitung (Sub-Sub-Akkordanten) ohne schriftliche Genehmigung des Verantwortlichen (Art. 28 Abs. 2 DSGVO).
  • CH-Unternehmen muss einen Vertreter in der EU benennen (Art. 27 Abs. 1 DSGVO).
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO).

Die EU meint es ernst: Die zivilrechtliche Haftung wird verschärft, insbesondere für Auftragsdatenverarbeiter. Es werden harte Strafen eingeführt. Unternehmen müssen mit Bussgeldern bis zu 4% ihres globalen Jahresumsatzes rechnen, natürliche Personen mit Geldbussen von bis zu 20 Mio. Euros.

Es gibt auch positive Neuerungen:

  • Erleichterter Datenschutz im Konzern mit einem gemeinsamen Datenschutzbeauftragen für die Unternehmensgruppe (Art. 37 Abs. 2 DSGVO) und „Verbindlichen internen Datenschutzvorschriften“ (Binding corporate rules: Art. 47 DSGVO)
  • Private Datenschutzzertifizierung (Datenschutzsiegel und Datenschutzprüfzeichen (Art. 42 DSGVO).
  • Einheitlichkeit des Datenschutzes in der EU: Vorrang der DSGVO vor Rechtsvorschriften der Mitgliedsstaaten; Sicherstellung der einheitlichen Anwendung der DSGVO durch den Europäischen Datenschutzausschuss.
  • Recht auf Vergessenwerden (Art. 17 DSGVO).

Was gilt für CH-Unternehmen?

Die neue Datenschutzgrundverordnung gilt nicht nur in der EU, sondern hat extraterritoriale Wirkung (Niederlassungsprinzip und Marktortprinzip.

  • Niederlassungsprinzip: Die DSGVO gilt zunächst nach Art. 3 Abs. 1 (DSGVO) für jegliche Datenverarbeitung im Rahmen von Aktivitäten einer Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union. Entscheidend ist hier der Ort der Niederlassung, nicht der Ort der Datenverarbeitung.
  • Marktortprinzip: (Art. 3 Abs. 2 DSGVO). Hierdurch ist die Verordnung nicht nur auf Unternehmen oder Auftragsverarbeiter mit Niederlassung in der EU anwendbar, sondern auch auf Unternehmen oder Auftragsverarbeiter mit Niederlassung ausserhalb der EU, also auch Unternehmen in der Schweiz.

Diese extraterritoriale Anwendung gilt zum einen für Datenverarbeitung, um z.B. Kunden in der EU Waren oder Dienstleistungen anzubieten (eine Zahlung ist hierbei unerheblich), aber auch auf Datenverarbeitungen und Anwendungen, die bloss der Beobachtung von betroffenen Personen in der EU dienen.

Was gilt es vorzukehren (Massnahmen auf der Zeitachse)?

Massnahme 1 (sofort):

  • Der Datenschutz gehört auf die Agenda des Verwaltungsrates. Datenschutz ist ein Compliance-Thema das im Unternehmen angemessen adressiert und dokumentiert werden muss (risikobasierter Ansatz).

Massnahme 2 (2016):

  • Wir empfehlen bereits heute die Bezeichnung eines externen oder internen Datenschutzbeauftragten. Dieser Datenschutzbeauftragte sollte eine Prüfung der möglichen Relevanz der neuen EU DSGVO für das eigene Unternehmen durchführen (Risikoprüfung). Notwendig ist insbesondere eine Analyse, ob und in welchem Umfang personenbezogene Daten gesammelt und verarbeitet werden, um EU Bürgern Waren oder Dienstleistungen anzubieten oder um deren Verhalten zu beobachten.

Massnahme 3 (2017):

  • Nicht im Sinne des vorauseilenden Gehorsams, sondern im Sinn von vorausschauendem Handeln sollten sich CH-Unternehmen schon heute darauf einstellen, dass der neue Datenschutzstandard der EU auch in der Schweiz in die Gesetzgebung einfliessen wird. Durch die extraterritoriale Anwendung der EU DSGVO wird dies bei globalen Unternehmen eine Implementierung von Massnahmen in vielen Drittstaaten erfordern.

Datenschutz als Wettbewerbsvorteil: Audit und Zertifizierung

Wenn ein Unternehmen in den Datenschutz investiert (bzw. investieren muss), dann sollte dies auf dem Markt für Dritte auch sichtbar gemacht werden. Wenn schon, denn schon!

Der Artikel 42 der neue EU SDGVO fördert drum die Möglichkeit einer Datenschutzzertifizierung. Schweizerische Unternehmen haben jedoch bisher nur die Möglichkeit ihre Organisation und Systeme als Ganzes staatlich (staatliches Datenschutz-Qualitätszeichen (Art. 11 DSG) oder nach EN 27001 (bzw. neu nach 27018) zertifizieren zu lassen. Eine Datenschutz Zertifizierung eines spezifischen Produktes, also einer App, Webanwendung oder eines Cloud-Services war nur beschränkt möglich.

MME schliesst diese Lücke mit dem ePrivacySeal in Kooperation mit der deutschen ePrivacy GmbH sowie Infoguard AG. Das ePrivacySeal bestätigt die Einhaltung des Kriterienkataloges der ePrivacySeal, welcher die Vorgaben des EU sowie des Schweizer Datenschutzrechts umfasst.

Eine Zertifizierung erfolgt nach einem standardisierten Prozess. Nach einem initialen Workshop, bei dem der Umfang der Zertifizierung definiert wird, erfolgt ein technisches Gutachten der InfoGuard AG. Im zweiten Schritte erstellt MME ein rechtliches Gutachten mit Fokus auf die Einhaltung von Datenschutzregeln und ein Abgleich mit internationalen "Best Practices". Wenn alle rechtlichen und technischen Anforderungen eingehalten werden, wird das ePrivacySeal vergeben. Eine vereinfachte Re-Zertifizierung ist alle zwei Jahre vorgesehen. Das ePrivacySeal wird in Deutschland bereits von vielen namenhaften Unternehmen eingesetzt um die Einhaltung von Datenschutzrichtlinien für Produkte gegen aussen und intern zu dokumentieren: Datenschutz als Wettbewerbsvorteil! Auch in der Schweiz wird eine solche Zertifizierung ein Qualitätsmerkmal von Online- und Mobilanwendungen und hilft Unternehmen schon heute den Datenschutzrichtlinien von morgen zu genügen.

Ihr Team