Die Auswirkungen der EU-Datenschutzgrundverordnung auf die Schweiz

I. Einleitung

Am 25. Mai 2018 tritt in der Europäischen Union die Datenschutzgrundverordnung (DSGVO) in Kraft. Diese Verordnung ist in der gesamten EU unmittelbar anwendbar. Dabei ist zu berücksichtigen, dass diese Verordnung auch Auswirkungen auf natürliche und juristische Personen (nachstehend Unternehmen) in der Schweiz haben kann. Sobald ein Schweizer Unternehmen eine Niederlassung in der EU hat, die Personendaten in der EU bearbeitet, findet die Verordnung Anwendung. Die gleiche Regelung gilt, wenn Unternehmen von der Schweiz aus Produkte und Dienstleistungen an Personen in der EU anbieten – z.B. über einen Webshop – oder aber das Verhalten von Personen in der EU über ihre Website beobachten („Profiling“ oder „Tracking“). Es gilt das sog. „Marktortprinzip“.

Unter Tracking versteht man das Beobachten, Sammeln und Auswerten des Surfverhaltens betroffener Personen im Internet. Das Profiling ist das Erstellung von Profilen von Kunden, Mitarbeitern oder anderen, um bestimmte persönliche Aspekte wie Leistung, Gesundheit, Aufenthaltsort etc. zu bewerten oder Vorhersagungen zu treffen. Dies erfolgt mittels Analyse-Tools – z.B. Cookies –, die individuelle Rückverfolgbarkeit der Nutzer ermöglichen. Darunter fällt aber auch der «Like-Button» von Facebook, der die von betroffenen Personen aufgesuchten Internetseiten registriert.

II. Pflichten der Unternehmen, Rechte der Betroffenen

Die Unternehmen werden durch eine Vielzahl von Normen verstärkt in die Verantwortung gezogen. Gleichzeitig werden die Rechte betroffener Personen, über die Daten erhoben werden, gestärkt. Stichwortartig seien diese aufgeführt:

1. Unternehmen

Rechenschaftspflicht (Art. 5);
Beweislastumkehr (Art. 24 / 25 / 30 / 35);
Sicherheit der Bearbeitungsvorgänge (Art. 32);
Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten (Art. 33 und 34);
Benennung von Datenschutzbeauftragten in drei Fällen (Art. 37);
Erstellen von Verhaltensregeln zur ordnungsgemässen Umsetzung (Art. 40 / 41 und 55).

2. Betroffene

Recht auf Information (Art. 13 / 14);
Auskunftsrecht (Art. 15);
Recht auf Berichtigung (Art. 16);
Recht auf Löschung resp. Recht auf „Vergessenwerden“ (Art. 17);
Recht auf Einschränkung der Bearbeitung (Art. 18):
Recht auf Mitteilung (Art. 19);
Recht auf Datenübertragbarkeit (Art. 20);
Widerspruchsrecht (Art. 21);
Recht auf Verzicht auf eine automatisierte Entscheidung im Einzelfall (Art. 22);
Recht auf Benachrichtigung über Datenschutzverletzungen (Art. 34).

III. Erforderliche Massnahmen der Unternehmen

Ungeachtet, ob ein Schweizer Unternehmen unter die DSGVO fällt oder nicht: auch das schweizerische Datenschutzgesetz ist in Revision und die Wahrscheinlichkeit, dass es sich dem EU-Recht annähert, ist sehr hoch. Zwar wird es wohl ein paar „Swiss-Finishs“ geben, aber KMU’s sind – soweit nicht schon erfolgt – gut beraten, bereits heute eine Risikoanalyse bezüglich des Datenschutzes im eigenen Unternehmen durchzuführen und die ersten Massnahmen gemäss DSGVO nicht nur in Erwägung zu ziehen, sondern diese auch rechtzeitig umzusetzen. Bestehen Bezüge zur EU, dann ist zwingend Handlungsbedarf gegeben. Nachstehend die Umsetzungserfordernisse:

1. Datenklassifizierung

Bei der Datenklassifizierung geht es primär darum, die im Unternehmen vorhandenen Daten zu erfassen, diese zu analysieren und in 3 – 4 Kategorien einzuteilen. So empfiehlt sich beispielsweise, die Daten einzuteilen in Daten mit geringem, mittlerem, hohem und sehr hohem Risiko. Daten mit geringem Risiko sind z.B. Name, Vorname, Adresse, Geburtsdatum. Daten mit hohem Risiko sind z.B. Daten zur Gesundheit oder Persönlichkeitsprofile.

2. Datenschutzrechtliche Rollen

Hier stellt sich die Frage, wer Zugriff auf sensible Daten erhalten soll. Dabei gibt es verschiedene Personenkategorien, nämlich

den Betroffenen, also derjenige, über den Daten erhoben werden;
den Verantwortlichen, der über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;
Auftragsbearbeiter, also Dritte, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten und
die gemeinsam Verantwortlichen, wenn mehr als eine Person Zweck und Mittel der Verarbeitung festlegen.

3. Dokumentation

Die Dokumentation der getroffenen Massnahmen ist von substantieller Bedeutung. Je umfassender die Dokumentation, desto geringer ist die Wahrscheinlichkeit, Sanktionen zu gewärtigen, die bei der DSGVO finanziell sehr einschneidend sein können.

Die Befolgung der Datenschutzgesetzgebung ist Teil der Compliance, also der Einhaltung von Gesetzen und Richtlinien innerhalb eines Unternehmens. Klar ist, dass Compliance das Zusammenspiel von Unternehmensverantwortlichen, Juristen und Technikern (IT-Spezialisten) erfordert. Die gesetzlichen Anforderungen müssen in die Sprache des Unternehmens übersetzt werden, um daraus auch für Nichtjuristen verständliche Unternehmensrichtlinien ableiten zu können. Dies ist eine Aufgabe, die bei der Unternehmensführung anzusiedeln ist. Und dies gilt nicht nur für Unternehmen in der EU, sondern auch in der Schweiz. Aus Gründen der Verantwortlichkeit gilt der Grundsatz, dass Vorsorge zweifellos besser ist als Nachsorge.

Rechtsanwalt Patrik A. Häberlin, LL.M., LL.M.