Das Europaparlament hat die neue EU Datenschutz-Grundverordnung (DS-GVO) am 14. April 2016 verabschiedet. Dabei handelt es sich um die umfangreichste Revision der letzten Jahrzehnte im Datenschutzrecht. Für Unternehmen bedeutet das neue Datenschutzrecht eine enorme und – mitunter – einschneidende regulatorische Herausforderung. Die DS-GVO gilt ab dem 25. Mai 2018. Dies bedeutet, dass Unternehmen ab diesem Zeitpunkt die Regeln und die darin enthaltenen neuen Anforderungen vollumfänglich erfüllen müssen. Einige der neuen Bestimmungen erfordern substanzielle Veränderungen von den Unternehmen, die dem Anwendungsbereich der DS-GVO unterliegen.
Effektiver Datenschutz in der deutsch-schweizerischen Unternehmenspraxis
Bis vor kurzem kam dem Thema Datenschutz in der EU nur geringe Aufmerksamkeit zu. Die möglichen Bussen für Regelverstösse waren beschränkt und Massnahmen zur Durchsetzung kamen nur sporadisch zur Anwendung. Dies ändert sich mit der neuen DS-GVO nun jedoch grundlegend, insbesondere aus folgenden drei Gründen:
Hohe Bussgelder und Sanktionen
Verstösse gegen die neuen Datenschutzbestimmungen können zukünftig mit hohen Bussgeldern geahndet werden. Die DS-GVO sieht Strafen von bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes vor, je nachdem welcher Betrag höher ist. Dies stellt im Vergleich mit den eingeschränkten Sanktionsmöglichkeiten des bisherigen Rechtsrahmens eine weitreichende Änderung dar. Es ist deshalb wichtiger denn je zuvor, dass die Datenschutzbestimmungen in Unternehmen adäquat umgesetzt werden.
Hohe Reputationsrisiken
Die Möglichkeiten der Datenschutzbehörden zur Durchsetzung der datenschutzrechtlichen Bestimmungen wurden deutlich erhöht. Dies hat zur Folge, dass Datenschutzverletzungen schneller an die Öffentlichkeit gelangen. Das Risiko eines Reputationsschadens zulasten des betroffenen Unternehmens steigt dadurch und wird wahrscheinlicher.
Weitreichender Anwendungsbereich
Mit dem Inkrafttreten der DS-GVO erweitert sich der geographische Anwendungsbereich auch auf Unternehmen ausserhalb der EU, wenn diese Unternehmen «in der EU ansässigen Personen Güter oder Dienstleistungen anbieten» und/oder «das (Online-)Verhalten von Personen [die sich in der EU befinden] überwachen», vgl. Art. 3 Abs. 2 DSGVO. Dies hat für Unternehmen, die im schweizerisch-deutschen Bereich tätig sind, zur Folge, dass sie nunmehr dem neuen europäischen Datenschutzrecht unterliegen können, selbst wenn sie ihren Unternehmenssitz ausschliesslich in der Schweiz haben.
Data Breach Notification
- Nach dem neuen Datenschutzrecht besteht eine Verpflichtung des Unternehmens, im Falle einer Verletzung des Schutzes personenbezogener Daten (Data Breach), eine diesbezügliche Meldung bei der zuständigen Aufsichtsbehörde vorzunehmen.
- Eine solche Meldung ist nur dann nicht erforderlich, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten des Betroffenen führt.
- Die Meldung der Datenschutzverletzung (Data Breach Notification) an die zuständige Datenschutzbehörde muss durch das Unternehmen innerhalb von 72 Stunden erfolgen.
- Im Falle einer Datenschutzverletzung mit hohen Risiken für die Privatsphäre müssen zusätzlich zur Meldung an die Aufsichtsbehörde auch die betroffenen Personen informiert werden.
Privacy by design/Privacy by default
- Unternehmen sind nach der DS-GVO – wie auch nach bisherigem Recht – zukünftig verpflichtet «angemessene technische und organisatorische Massnahmen» zum Schutz persönlicher Daten zu treffen. Die Datenschutz-Grundverordnung gibt Unternehmen dazuhin künftig neu auf, den Nachweis zu erbringen, dass die getroffenen Massnahmen konstant überprüft und aktualisiert werden.
- Zusätzlich müssen Unternehmen sicherstellen, dass die Bearbeitung von Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist.
Datenschutz-Folgenabschätzung (DPIA)
- Das neue Recht sieht vor, dass Unternehmen zukünftig zur Durchführung einer Datenschutz- Folgenabschätzung hinsichtlich geplanter Verarbeitungsvorgänge verpflichtet sind, falls es wahrscheinlich erscheint, dass die Verarbeitung personenbezogener Daten hohe Risiken für die Privatsphäre der betroffenen Person zur Folge hat. Konkret ausgedrückt: Es wird nach dem neuen Recht eine Risikobeurteilung von den Unternehmen eingefordert, in welcher die Auswirkungen eines Datenbearbeitungsvorgangs auf die Privatsphäre des betroffenen Datensubjekts geprüft werden müssen.
- Falls das Resultat der Datenschutz-Folgenabschätzung ein hohes Risiko für das Datensubjekt ergibt, muss vor Beginn der Verarbeitung die zuständige Datenschutzbehörde konsultiert werden.
Datenschutzbeauftragter (DPO)
- Übt das Unternehmen eine Tätigkeit aus, welche aus datenschutzrechtlicher Sicht einer besonderen Kontrolle bedarf, ist die Bestellung eines Datenschutzbeauftragten obligatorisch. Zudem regelt die DS-GVO, dass jedes Unternehmen einen Datenschutzbeauftragten auch freiwillig bestellen kann.
- Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt.
- Die Rolle des Datenschutzbeauftragten kann auch einem externen Dienstleister übertragen werden.
Vertreter für Unternehmen aus Drittstaaten
Art. 27 DS-GVO legt fest, dass in den Fällen des Art. 3 Abs. 2 DSG-VO (Anwendbarkeit der DS-GVO auf Unternehmen in Drittstaaten, wie der Schweiz) durch das nicht in der EU niedergelassene Unternehmen ein Vertreter in der Union benannt werden muss. Die Funktion des Vertreters geht dabei über die einer reinen Kontaktstelle hinaus. Nach Art. 4 Nr. 17 DS-GVO erfolgt vielmehr eine Vertretung in den Pflichten, die dem jeweiligen Unternehmen obliegen. Dabei kann der Vertreter nach Erwägungsgrund 80 S. 6 sogar Adressat aufsichtsrechtlicher Durchsetzungsverfahren sein. Damit geht indes keine Abwälzung der Haftung auf den Vertreter einher, vgl. Erwägungsgrund 80 S. 4.
Ergänzend zu den vorgenannten neuen Regelungen finden zahlreiche, bereits im derzeitigen Regelsystem vorhandene, Datenschutzbestimmungen auch in die DS-GVO Eingang (z.B. Einschränkungen des grenzüberschreitenden Datenverkehrs, Zustimmungserfordernisse, Bestimmungen über die Zugangsrechte betroffener Personen etc.). Die Datenschutz-Grundverordnung verpflichtet Unternehmen zur Implementierung angemessener und massgeschneiderter Datenschutz- Frameworks um eine Sicherstellung der neuen Datenschutzstandards zu gewährleisten. In diesem Zusammenhang erlangt insbesondere der Faktor eines effektiven und zielorientierten Risikomanagements eine besondere Bedeutung.
Im Rahmen der Umsetzung der neuen Anforderungen der DS-GVO reicht es infolge der deutlich erhöhten Anforderungen des neuen Rechts an die unternehmerische Praxis nicht aus, lediglich die bestehenden Datenschutzvorschriften zu aktualisieren. Vielmehr ist es unbedingt erforderlich, die neuen regulatorischen Anforderungen in entsprechenden Prozessen (bspw. Data- Breach-Prozess, DPIA, usw.) und Kontrollmassnahmen umzusetzen. Die besondere Herausforderung in diesem Zusammenhang besteht darin, einerseits die regulatorischen Anforderungen zu erfüllen und andererseits eine in der Unternehmenspraxis effiziente sowie umsetzbare Praxislösung zu finden.
Besondere Beachtung gilt zudem auch dem Schweizer Datenschutzgesetz, welches sich derzeit in der Totalrevision befindet. Seitens des Bundesrates wurde am 15. September der Entwurf zum neuen Schweizer Datenschutzgesetz (VE-DSG) veröffentlicht. Eine Analyse des Gesetzesentwurfs hat ergeben, dass das zukünftige Schweizer Datenschutzrecht in zentralen Regelungsfeldern der EU-Datenschutzgrundverordnung angeglichen wird. Mithin ist also davon auszugehen, dass auch nach dem neuen Schweizer Recht zukünftig vergleichbar hohe Datenschutzstandards von Unternehmen eingefordert werden (allerdings mit einigen Ausnahmen, bspw. sieht der VE-DSG keinen Anspruch auf die Datenportabilität vor, anders die DS-GVO in Art. 20).
Der derzeitige Entwurf zum neuen Schweizer Datenschutzgesetz wird demnächst im Parlament beraten. Von Seiten der Regierung wurde die (optimistische) Hoffnung geäussert, dass das neue DSGCH bis August 2018 in Kraft treten kann. Jedenfalls ist aber bis 2019 mit dem Inkrafttreten zu rechnen.
Um die konkreten Auswirkungen der DS- GVO auf Ihr Unternehmen bestimmen zu können, empfehlen wir aus unserer Praxiserfahrung heraus, ein Assessment zur Ermittlung des aktuellen Datenschutzstandards vorzunehmen. Im Rahmen eines solchen Assessments wird geprüft, an welchen Stellen zusätzliche Massnahmen zu treffen sind, um die neuen regulatorischen Vorgaben zu erfüllen. Gleichzeitig werden Empfehlungen ausgesprochen, welche Massnahmen zu erfolgen haben, um entdeckte Lücken oder Schwachstellen zu beheben. Schliesslich wird anhand der getroffenen Feststellung und Empfehlungen eine sog. Roadmap entworfen. Darin wird dem Unternehmen aufgezeigt, wie die erforderlichen Massnahmen zur Erreichung einer Compliance nach der DS-GVO umgesetzt werden können. Dies erstreckt sich einerseits auf die unterschiedlichen inhaltlichen Workstreams und andererseits wird – gerade auch angesichts der drängenden Zeit (Geltung der DS-GVO ab 25. Mai 2018) – eine Empfehlung zur zeitlichen Umsetzung gegeben. Last but not least bedarf es einer Umsetzung der Empfehlungen in Form einer Implementierung geeigneter Massnahmen. Dies kann durch das Unternehmen selbst oder in Abstimmung mit praxiserfahrenen Beratern aus dem Bereich Datenschutz, Compliance und Governance erfolgen.