Am 25. Mai 2018 tritt in der Europäischen Union die Datenschutzgrundverordnung (DSGVO) in Kraft. Diese Verordnung ist in der gesamten EU unmittelbar anwendbar. Dabei ist zu berücksichtigen, dass diese Verordnung auch Auswirkungen auf natürliche und juristische Personen (nachstehend Unternehmen) in der Schweiz haben kann. Sobald ein Schweizer Unternehmen eine Niederlassung in der EU hat, die Personendaten in der EU bearbeitet, findet die Verordnung Anwendung. Die gleiche Regelung gilt, wenn Unternehmen von der Schweiz aus Produkte und Dienstleistungen an Personen in der EU anbieten – z.B. über einen Webshop – oder aber das Verhalten von Personen in der EU über ihre Website beobachten („Profiling“ oder „Tracking“). Es gilt das sog. „Marktortprinzip“.
Unter Tracking versteht man das Beobachten, Sammeln und Auswerten des Surfverhaltens betroffener Personen im Internet. Das Profiling ist das Erstellung von Profilen von Kunden, Mitarbeitern oder anderen, um bestimmte persönliche Aspekte wie Leistung, Gesundheit, Aufenthaltsort etc. zu bewerten oder Vorhersagungen zu treffen. Dies erfolgt mittels Analyse-Tools – z.B. Cookies –, die individuelle Rückverfolgbarkeit der Nutzer ermöglichen. Darunter fällt aber auch der «Like-Button» von Facebook, der die von betroffenen Personen aufgesuchten Internetseiten registriert.
Die Unternehmen werden durch eine Vielzahl von Normen verstärkt in die Verantwortung gezogen. Gleichzeitig werden die Rechte betroffener Personen, über die Daten erhoben werden, gestärkt. Stichwortartig seien diese aufgeführt:
Ungeachtet, ob ein Schweizer Unternehmen unter die DSGVO fällt oder nicht: auch das schweizerische Datenschutzgesetz ist in Revision und die Wahrscheinlichkeit, dass es sich dem EU-Recht annähert, ist sehr hoch. Zwar wird es wohl ein paar „Swiss-Finishs“ geben, aber KMU’s sind – soweit nicht schon erfolgt – gut beraten, bereits heute eine Risikoanalyse bezüglich des Datenschutzes im eigenen Unternehmen durchzuführen und die ersten Massnahmen gemäss DSGVO nicht nur in Erwägung zu ziehen, sondern diese auch rechtzeitig umzusetzen. Bestehen Bezüge zur EU, dann ist zwingend Handlungsbedarf gegeben. Nachstehend die Umsetzungserfordernisse:
Bei der Datenklassifizierung geht es primär darum, die im Unternehmen vorhandenen Daten zu erfassen, diese zu analysieren und in 3 – 4 Kategorien einzuteilen. So empfiehlt sich beispielsweise, die Daten einzuteilen in Daten mit geringem, mittlerem, hohem und sehr hohem Risiko. Daten mit geringem Risiko sind z.B. Name, Vorname, Adresse, Geburtsdatum. Daten mit hohem Risiko sind z.B. Daten zur Gesundheit oder Persönlichkeitsprofile.
Hier stellt sich die Frage, wer Zugriff auf sensible Daten erhalten soll. Dabei gibt es verschiedene Personenkategorien, nämlich
Die Dokumentation der getroffenen Massnahmen ist von substantieller Bedeutung. Je umfassender die Dokumentation, desto geringer ist die Wahrscheinlichkeit, Sanktionen zu gewärtigen, die bei der DSGVO finanziell sehr einschneidend sein können.
Die Befolgung der Datenschutzgesetzgebung ist Teil der Compliance, also der Einhaltung von Gesetzen und Richtlinien innerhalb eines Unternehmens. Klar ist, dass Compliance das Zusammenspiel von Unternehmensverantwortlichen, Juristen und Technikern (IT-Spezialisten) erfordert. Die gesetzlichen Anforderungen müssen in die Sprache des Unternehmens übersetzt werden, um daraus auch für Nichtjuristen verständliche Unternehmensrichtlinien ableiten zu können. Dies ist eine Aufgabe, die bei der Unternehmensführung anzusiedeln ist. Und dies gilt nicht nur für Unternehmen in der EU, sondern auch in der Schweiz. Aus Gründen der Verantwortlichkeit gilt der Grundsatz, dass Vorsorge zweifellos besser ist als Nachsorge.
Rechtsanwalt Patrik A. Häberlin, LL.M., LL.M.