Ab 25. Mai 2018 in 18 Monaten gilt die neue Datenschutz-Grundverordnung der EU. Sie bringt ein einheitliches Datenschutzrecht fr alle Mitgliedsstaaten der EU. Das neue Recht ist global anwendbar und gilt fr alle Unternehmen, die Personen in der EU Waren- oder Dienstleistungen anbieten oder das Verhalten von Personen in der EU analysieren, zum Beispiel auf ihrer Website oder App. Auch Schweizer Unternehmen sind deshalb davon betroffen.

Das neue Recht enthlt verschiedene Neuerungen und Verschrfungen und sieht hohe Geldbussen von bis zu EUR 20 Mio. oder, falls hher, 4% des weltweiten Umsatzes des Unter nehmens (nicht des Konzerns) vor. Die Umsetzung durch die betroffenen Unternehmen bedarf in vielen Fllen organisatorischer oder technischer Anpassungen. Auch Unternehmen in der Schweiz empfehlen wir deshalb, ihre Informationsverarbeitungsprozesse zu berprfen und die erforderlichen nderungen rechtzeitig vor dem 25. Mai 2018 zu implementieren.

Neuerungen

Im Vergleich zum heutigen Schweizer Recht bringt die DSGV verschiedene wichtige Neuerungen.

Information
Neu sind die betroffenen Personen grundstzlich ber die Datenbearbeitung zu informieren. Die Information muss "in prziser, transparenter, verstndlicher und leicht zugnglicher Form in einer klaren und einfachen Sprache" erfolgen. Der Umfang der Information wird vorgegeben, ist betrchtlich und umfasst u.a. den Zweck und die Rechtsgrundlage der Bearbeitung, berechtigte Interessen, auf welche sich der Verarbeiter sttzt, die Empfnger der Daten, die angemessenen

Garantien, auf welche sich ein internationaler Datentransfer sttzt (inkl. dem Verweis auf die Mglichkeit, eine Kopie davon zu erhalten), die Dauer der Speicherung sowie eine ausdrckliche Information ber die Rechte der betroffenen Personen.

Umfassende 'Privacy Notices' werden damit insknftig unumgnglich.

Einwilligung
Dieselben Anforderungen geltend fr die Form der Einwilligung, wenn die Bearbeitung auf einer Einwilligung beruht. Die Einwilligung hat "in verstndlicher und leicht zugnglicher Form in einer klaren und einfachen Sprache" zu erfolgen. Stillschweigen, bereits angekreuzte Kstchen oder Unttigkeit stellen keine Einwilligung dar. Besondere Vorsicht ist geboten, wenn eine Dienstleistung von der Einwilligung zur Verarbeitung von Personendaten abhngig gemacht wird, welche fr die Erbringung der Dienstleistung nicht erforderlich sind. Die Einwilligung ist zudem jederzeit widerrufbar.

Jugendliche ab dem Alter von 16 Jahren drfen die Einwilligung bei Online-Angeboten selbst erteilten, doch knnen Mitgliedsstaaten das Mindestalter bis auf 13 Jahre reduzieren. Bei Kindern unter dem Mindest alter ist die Zustimmung der Eltern erforderlich, was soweit mglich auch technisch sicherzustellen ist.

'Privacy by Design' und 'Privacy by Default'
Das in der Schweiz bereits geltende Verhltnismssigkeitsprinzip wird durch die DSGV in zweierlei Hinsicht konkretisiert. Generell gebietet die DSGV ausdrcklich, Datenverarbeitungssysteme von Beginn weg datenschutzfreundlich auszugestalten ('Privacy by Design'), z.B. durch Minimierung der bearbeiteten Daten und Pseudonymisierung. Voreinstellungen (z.B. vorangekreuzte Kstchen) mssen grundstzlich datenschutzfreundlich gewhlt werden ('Privacy by Default'), d.h. so, dass keine fr den Bearbeitungszweck nicht erforderlichen Daten bearbeitet werden.

Sinnvollerweise werden deshalb insknftig interne Datenschutzspezialisten von Beginn weg bei der Entwicklung und Ausgestaltung von IT-Produkten, Diensten und Anwendungen zugezogen und ins Projektteam integriert.

Privacy Breach
Bei Sicherheitslcken muss insknftig die zustndige Aufsichtsbehrde unverzglich und mglichst binnen 72 Stunden nach der Entdeckung der Sicherheits lcke benachrichtigt werden. Nur wenn kein Risiko fr die Rechte und Freiheiten der betroffenen Personen besteht, kann darauf verzichtet werden. Durch technische und organisatorische Massnahmen ist sicherzustellen, dass Sicherheitslcken sofort entdeckt werden.

Die betroffenen Personen selbst sind zu benachrichtigen, wenn voraussichtlich ein hohes Risiko fr deren Rechte und Freiheiten besteht. Die Benachrichtigung hat unverzglich und in einfacher und klarer Sprache zu erfolgen.

Recht auf Vergessenwerden und Portability
Den betroffenen Personen steht hnlich wie im Schweizer Recht grundstzlich das Recht zu, die Lschung ihrer Daten zu verlangen. Die Lschung hat unverzglich zu erfolgen. Zudem haben die betroffenen Personen neu das Recht, Daten, die sie dem Verarbeiter selbst zur Verfgung gestellt haben, in einem gngigen maschinenlesbaren Format herauszuverlangen oder auf einen Nachfolger ber tragen zu lassen (sog. data portability). Ob dieses auf Facebook und hnliche soziale Netzwerke gemnzte 'Recht auf Datenbertragbarkeit' auch auf andere Flle wie z.B. Banken, Versicherungen, Buchungsportale, Online-Shops oder hnliches Anwendung findet, muss sich weisen. Die fristgerechte Erfllung dieser Rechte bedarf in vielen Fllen technischer Anpassungen.

Privacy Impact Assessment
Neu muss eine Abschtzung der Folgen von Datenverarbeitungsvorgngen durchgefhrt werden, wenn die Verarbeitung voraussichtlich ein hohes Risiko fr die Rechte und Freiheiten der betroffenen Personen mit sich bringt. Eine solche Datenschutz-Folgeabschtzung (Privacy Impact Assessment, PIA) umfasst unter anderem eine Bewertung der Risiken nach Eintretenswahrscheinlichkeit und Schwere der Verletzung und die Darstellung und Bewertung geplanter Schutzmassnahmen. Falls ein Risiko nicht mit Schutzmassnahmen beschrnkt werden kann, ist die Aufsichtsbehrde zu konsultieren. Unter Umstnden sind sogar die betroffenen Personen zu involvieren.

Accountability
Bearbeiter von Personendaten sind fr die Einhaltung der Datenbearbeitungsgrundstze verantwortlich und mssen auch nachweisen knnen, dass sie diese einhalten. Dies erhht den Compliance-Aufwand betrchtlich: Unternehmen werden in verstrktem Masse gezwungen, ihre Verarbeitungsvorgnge zu dokumentieren.

Hohe Geldbussen

Die DSGV sieht wie gesagt hohe Geldbussen bis zu EUR 20 Mio. oder, fr Unternehmen, von bis zu 4% des gesamten weltweit erzielten Jahresumsatz des vorangegangenen Geschftsjahres vor (des Unternehmens, nicht des Konzerns), falls dieser Betrag hher ist. Diese Geldbussen gelten zum Beispiel fr Verstsse gegen die (allgemeinen) Datenverarbeitungsgrundstze und die Accountability, gegen die Rechtmssigkeit der Datenbearbeitung, die Vorschriften zur Information und Einwilligung oder gegen die Rechte der betroffenen Personen (inkl. Recht auf Vergessenwerden und Recht auf Datenbertragbarkeit).

Bei gewissen anderen Verstssen, z.B. Verstssen gegen die Vorschriften zur Einwilligung bei Kindern, zu Privacy by Design und Privacy by Default, zum Privacy Impact Assessment oder Verstssen gegen die Benachrichtigungspflicht bei Sicherheitslcken, drohen Bussen bis EUR 10 Mio. oder 2 % des Umsatzes.

Auch die zivilrechtliche Haftung fr Schadenersatz drfte in Zukunft strenger werden, da die DSGV ausdrcklich eine Haftung auch fr "immateriellen Schaden" vorsieht.

Anwendung auf Unternehmen in der Schweiz

Die DSGV gilt wie gesagt nicht nur fr Unternehmen mit Niederlassung in der EU. Auch Unternehmen ohne Niederlassung in der EU sind davon betroffen, sofern sie Waren oder Dienstleistungen betroffenen Personen in der EU anbieten (mit oder ohne Bezahlung) oder das Verhalten von Personen in der EU beobachten, z.B. auf ihrer Website oder in einer App. Auch wer an der Datenverarbeitung fr solche Zwecke als Verantwortlicher oder Auftragsverarbeiter mitwirkt, untersteht der DSGV.

Empfehlungen

Wir empfehlen deshalb allen Unternehmen in der Schweiz, zu prfen, ob sie von der DSGV betroffen sind und gegebenenfalls welche Massnahmen zur Umsetzung der DSGV erforderlich sind.

Ein solches Projekt umfasst typischerweise die folgenden Schritte:

  • Projekt-Team: Einsetzen eines gemischten Projektteams (IT, HR, Legal, Compliance, Risk) mit einem professionellen Projektmanagement; Buyin des Topmanagements.
  • Projektplanung: Definition der Ziele und des Scopes des Projekts (z.B. Beschrnkung auf gewisse zentrale Informationsverarbeitungs prozesse des Unternehmens).
  • Informationssammlung (Mapping): Zusammenstellung (durch Dokumente, Interviews, Workshops) und Dokumentation der heute bereits bestehenden Informationsverarbeitungsprozesse, Datenflsse und Kontrollmechanismen.
  • Status- und GAP-Analyse: Vergleich der existierenden Prozesse mit den Anforderungen der DSGV.
  • Massnahmenplanung: Erstellung eines Massnahmenplans mit Zeitplan und Budget; Genehmigung durch Board/ Management.
  • Implementierung der Massnahmen und operationellen nderungen.

... und das Schweizer Recht?

In der Schweiz wird das Datenschutzgesetz zurzeit revidiert. Es wird erwartet, dass der Bundesrat noch dieses Jahr eine Vernehmlassung zu einem Vorentwurf zur Revision des Datenschutzgesetzes erffnet. Die Revision dient nicht nur der Umsetzung der revidierten Europarats-Konvention zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, sondern drfte auch verschiedene Neuerungen der DSGV aufgreifen. Dies ist richtig und wichtig, damit die Schweiz von der EU als Staat mit angemessenem Datenschutzniveau anerkannt bleibt. Bis die Revision in Kraft tritt, wird es aber wohl noch zwei bis drei Jahre dauern.