Das heutige europäische Datenschutzrecht beruht zur Hauptsache auf der EU-Datenschutz-Richtlinie und dem Recht, das die Mitgliedstaaten zur Umsetzung der Richtlinie erlassen haben. Dieser Rechtsrahmen erschien im Lauf der Zeit als zu unklar und letztlich zu schwach. Zur Stärkung des Datenschutzes in einer Zeit rascher technologischer Fortschritte hat die EU mit der DSGVO deshalb ein neues Instrument geschaffen, das den Datenschutz europaweit einheitlich und vor allem schärfer regeln will.
Die DSGVO wird am 25. Mai 2018 wirksam. Die Schweiz – als Nicht-EU-Mitglied – hat ihr eigenes Datenschutzrecht und müsste die DSGVO nicht umsetzen. Zusammen mit der DSGVO wurden aber mehrere internationale Abkommen revidiert, die für die Schweiz verbindlich sind (die Stichworte dazu sind "Schengen" und "Europaratskonvention 108"). Das schweizerische Datenschutzrecht muss deshalb revidiert werden, und da die erwähnten Abkommen mit der DSGVO in vielen Punkten übereinstimmen und weil schweizerische Unternehmen nicht durch unterschiedliche Standards benachteiligt werden sollen, wird das revidierte schweizerische Datenschutzgesetz der DSGVO ähnlich sehen. Viele Unternehmen sind heute mit der Umsetzung der DSGVO beschäftigt und dürfen deshalb davon ausgehen, damit auch das DSG einhalten zu können.
Bin ich als KMU in der Schweiz betroffen?
Die DSGVO gilt zwar primär in Europa, das heisst für Unternehmen mit einem Sitz in einem EU-Staat. Aber "When in Rome, do as the Romans do" – die DSGVO regelt daher auch Fälle, in denen jemand die Arena betritt, ohne in Rom zu leben. Wer sein Angebot (auch) auf natürliche Personen in der EU ausrichtet, muss die DSGVO deshalb einhalten, selbst wenn er in der EU keine Niederlassung besitzt. Damit wird sichergestellt, dass natürliche Personen (um sie geht es beim Datenschutz) geschützt sind, wenn sie ausländische Angebote annehmen, und dass der Wettbewerb in der EU nach einheitlichen Regeln stattfindet. Die DSGVO wird auch dann anwendbar, wenn jemand ohne Niederlassung in der EU das Verhalten von Personen in der EU beobachtet. Auch dabei muss die DSGVO eingehalten werden.
Ist die DSGVO damit für schweizerische KMU relevant? Ja, spätestens, wenn einer dieser beiden Fälle vorliegt:
• Ein KMU bietet Leistungen bewusst auch an natürliche Personen (d.h. Menschen) in der EU an, zum Beispiel auf einer .de-Website oder durch die Möglichkeit, in EUR zu bezahlen. In diesem Fall untersteht es zwar nicht insgesamt, aber doch für diese Aktivitäten der DSGVO.
• Ein KMU beobachtet das Verhalten natürlicher Personen in der EU. Das betrifft in erster Linie Fälle, bei denen die Verwendung eines Online-Dienstes registriert wird, zum Beispiel im Rahmen eines SaaS-Angebots oder in einer App. Auch Analyse- und Tracking-Aktivitäten können die Anwendung der DSGVO auslösen. Auch hier gilt die DSGVO jeweils für die betreffenden Aktivitäten.
Was verlangt die DSGVO von mir als KMU?
Wenn ein KMU aufgrund einer dieser Fälle der DSGVO untersteht, so muss es die Anforderungen der DSGVO jeweils für diejenigen Datenbearbeitungen einhalten, die mit der betreffenden Tätigkeit einhergehen. Die Anforderungen der DSGVO lassen sich etwa wie folgt einteilen:
•
Anforderungen an die Transparenz: Wer die DSGVO einhalten muss, muss die betroffenen Personen über die Datenbearbeitung informieren. Das betrifft zum Beispiel Endkunden und Mitarbeiter, aber auch Bewerber und Kontaktpersonen bei Kunden und Lieferanten.
•
Anforderungen an die Organisation: Wie bereits erwähnt verlangt die DSGVO bestimmte organisatorische Vorkehrungen, etwa die Bestellung eines Vertreters in der EU (sofern das Unternehmen in der EU keine Niederlassung hat) und gegebenenfalls die Bestellung eines Datenschutzbeauftragten. Daneben verlangt die DSGVO teils ausdrücklich, teils der Sache nach weitere Vorkehrungen. Wichtig ist zum Beispiel eine Datenschutzweisung, mit der zumindest die wesentlichen Grundsätze im Unternehmen verankert werden. Das Unternehmen muss sicherstellen, dass die relevanten Personen die Weisung kennen und einhalten können, zum Beispiel durch Schulungen. Je nach Tätigkeit und Grösse des Unternehmens sind weitere Weisungen und Prozessdefinitionen erforderlich, zum Beispiel zur Sicherstellung des Auskunftsrechts oder des korrekten Umgangs mit Datenschutzpannen. Und von zentraler Bedeutung ist die Dokumentation: Die Beweislast für die Einhaltung der DSGVO liegt bei den Unternehmen, die in datenschutzrechtlichen Belangen deshalb einer umfassenden Dokumentationspflicht unterliegen.
•
Anforderungen an die Planung der Datenbearbeitung: Die DSGVO verlangt, dass dem Datenschutzrecht von Anfang an Rechnung getragen wird, also schon in der Planungsphase. Wer eine Software entwickelt, mit der Personendaten bearbeitet werden sollen (z.B. eine Mobile App, mit der Gesundheitsdaten gesammelt und ausgewertet werden), muss daher bereits in der Entwicklungsphase darauf achten, die Bearbeitung soweit wie möglich einzuschränken, um den Schutz der Personendaten sicherzustellen. Generell ist die Einhaltung des Datenschutzrechts nur möglich, wenn der Datenschutz in den Prozessen der Unternehmen verankert wird.
•
Anforderungen an die Datenbearbeitung selbst: Personendaten dürfen nach der DSGVO nur im Einklang mit bestimmten Grundsätzen bearbeitet werden. Ausgangspunkt ist der Grundsatz der Rechtmässigkeit: Personendaten dürfen nur bearbeitet werden, wenn dafür eine rechtliche Grundlage besteht (zum Beispiel ein gesetzliches Erfordernis; Erforderlichkeit für einen Vertrag; überwiegendes Interesse; Einwilligung). Besonders wichtig ist auch der Grundsatz der Zweckbindung: Personendaten dürfen nur für diejenigen Zwecke bearbeitet werden, die den betroffenen Personen mitgeteilt wurden (z.B. in einer Datenschutzerklärung). Der Grundsatz der Verhältnismässigkeit verlangt schliesslich, dass Personendaten nur so verarbeitet werden, wie es für den Zweck der Bearbeitung notwendig ist; das verlangt unter anderem, den Umfang der Personendaten zu minimieren, die Dauer der Speicherung zu begrenzen und den Zugang zu Personendaten auf das notwendige einzuschränken.
•
Rechte der betroffenen Personen: Bearbeitet ein Unternehmen Daten einer bestimmten Person, so stehen dieser Person einige Rechte zu, die man Betroffenenrechte nennt. Dazu gehören das Auskunftsrecht, das Recht auf Berichtigung beziehungsweise Vervollständigung, gegebenenfalls das Recht auf Löschung und gegebenenfalls das Recht auf Datenportabilität.
•
Anforderungen an die IT: Datenschutzrecht ist nicht primär ein IT-Thema. Die Umsetzung der DSGVO verlangt aber in organisatorischer und in technischer Hinsicht einiges von der IT. Es muss beispielsweise möglich sein, sämtliche Personendaten einer bestimmten Person in allen Systemen innerhalb einer Frist von ein bis zwei Wochen aufzufinden und zusammenzutragen; anders können die Betroffenenrechte nicht gewahrt werden. Ein Unternehmen muss zudem sicherstellen, dass Datenschutzpannen rechtzeitig bemerkt und richtig eskaliert werden. Wichtig ist auch das Thema Löschung: Die DSGVO verlangt, dass Personendaten gelöscht werden, wenn diese Daten für die Zwecke der Bearbeitung nicht mehr notwendig sind und auch keine Aufbewahrungspflicht besteht. Unternehmen werden deshalb über ein Löschkonzept verfügen müssen, das die anwendbaren gesetzlichen Aufbewahrungsfristen festlegt und unter anderem regelt, wann, wo und wie Daten zu löschen sind (wobei sich die Löschpflicht grundsätzlich auch auf Backups und Archivierungskopien bezieht). Wichtig ist schliesslich auch die Gestaltung von Applikationen, die beispielsweise in der Lage sein müssen, den betroffenen Personen die erforderlichen Informationen zu übermitteln und Einwilligungen zu dokumentieren.
Bei all diesen Anforderungen darf das Augenmass nicht verloren gehen. Die DSGVO verlangt effektiven Datenschutz, kein Strebertum. Unternehmen müssen den Datenschutz daher ernst nehmen und ihre Bemühungen dokumentieren, Perfektionismus ist aber nicht verlangt.
Was soll ich als KMU konkret unternehmen?
Bevor mit der Umsetzung der DSGVO begonnen wird, muss sich ein KMU überlegen, ob es die DSGVO überhaupt einhalten muss. Dazu gehört die Abklärung, ob die DSGVO (nach den vorne genannten Grundsätzen) auf das Unternehmen anwendbar ist. Doch selbst wenn sie es nicht ist, können Gründe dafür sprechen, die DSGVO umzusetzen: Zunächst befindet sich, wie eingangs erwähnt, auch das schweizerische Datenschutzgesetz (DSG) in Revision, und es ist davon auszugehen, dass die Regelungen inhaltlich nahe bei der DSGVO liegen werden. Wer die DSGVO umsetzt, wird daher auch das DSG einhalten können. Sodann werden schweizerische KMU besonders im IT-Bereich von Kunden angehalten werden, bestimmte Verträge zu schliessen, die sich deshalb auf DSGVO-Niveau befinden, weil diese Kunden ihrerseits die DSGVO umsetzen. Und schliesslich kann ein Unternehmen aus Reputationsgründen beschliessen, grundsätzlich die DSGVO anzuwenden.
Will ein Unternehmen die DSGVO umsetzen, hat sich etwa das folgende Vorgehen bewährt:
• Projektplanung: Auch bei kleineren Projekten ist eine gute Planung sinnvoll – nicht nur, weil eine erfolgreiche Umsetzung der DSGVO ohne Planung nicht möglich ist, sondern auch mit Blick auf die Dokumentationspflichten.
• Erhebung des Ist-Zustands: Aus zwei Gründen empfiehlt es sich, in einer frühen Phase des Projektes die bestehende Datenbearbeitung zu dokumentieren: Zum einen wird damit die Grundlage für eine Risikobeurteilung und Massnahmenplanung gelegt. Zum anderen verlangt die DSGVO ausdrücklich, dass über die Datenbearbeitung laufend Buch geführt wird. Das Unternehmen sollte seine Datenbearbeitungen deshalb auf Basis von Fragebogen erfassen. Dafür ist keine High-Tech-Lösung erforderlich; Word oder Excel genügt jedenfalls bei KMU vollauf.
• Transparenz: Unternehmen sollten frühzeitig damit beginnen, die gebotene Transparenz herzustellen – das ist nicht nur mit Blick auf Reputationsrisiken wichtig, sondern auch zum Schutz der betroffenen Personen. Die Ausarbeitung geeigneter Datenschutzerklärungen ist daher erforderlich.
• Ausarbeitung der organisatorischen Grundlagen: Parallel zur Erhebung des Ist-Zustands kann das Unternehmen damit beginnen, die organisatorischen Grundlagen auszuarbeiten, das heisst mit dem Entwurf der erforderlichen – in der Planungsphase bestimmten – Richtlinien, Weisungen und Prozesse.
• Ausarbeitung weiterer Dokumentation: In vielen Fällen werden weitere Unterlagen vorbereitet werden müssen, zum Beispiel neue oder angepasste Verträge, Verträge innerhalb von Unternehmensgruppen (Stichworte sind "grenzüberschreitender Datenverkehr" und "gruppeninterne Dienstleistungen") oder Musterkorrespondenz.
• Weitere Massnahmen: Je nach Tätigkeit des KMU und je nachdem, wie gut der Datenschutz bereits verankert ist, können weitere Massnahmen erforderlich sein, zum Beispiel die Einholung neuer oder zusätzlicher Einwilligungen, die Anpassung oder sogar Einstellung bestimmter Datenbearbeitungen oder der Abschluss weiterer Verträge. Diese Massnahmen können bestimmt und geplant werden, wenn der Ist-Zustand festgestellt worden ist.
Wichtig ist wiederum ein Vorgehen mit Augenmass. Die Anforderungen an ein Umsetzungsprojekt unterscheiden sich erheblich nach dem Risikoprofil des Unternehmens, nach seiner Tätigkeit, nach Art und Umfang der bearbeiteten Daten, nach dem gegenwärtigen Stand seiner Datenschutz-Compliance oder nach den Anforderungen seiner Lieferanten und Kunden. Das ist bei der Planung und der Priorisierung der Massnahmen im Auge zu behalten. Bei kleineren KMU lässt sich eine vernünftige Umsetzung oft mit relativ wenig Aufwand und überschaubaren Kosten erreichen.
Checkliste zur Anwendung der DSGVO
• Habe ich eine Niederlassung (zum Beispiel eine Tochtergesellschaft oder eine Zweigniederlassung) in der EU?
• Will ich natürlichen Personen in der EU Waren oder Dienstleistungen verkaufen? Gestalte ich mein Angebot entsprechend, zum Beispiel durch einen Online-Shop oder einen Auftritt im Internet, aus dem eine entsprechende Ausrichtung hervorgeht? Verwende ich beispielsweise eine .de- oder eine .com-Domain? Gebe ich Preise in EUR oder einer anderen europäischen Währung an?
• Beobachte ich das Verhalten natürlicher Personen, die sich dabei in der EU aufhalten? Betreibe ich eine App oder ein Online-Angebot, bei dem sich Personen aus der EU registrieren können? Verwende ich auf meiner Website Tracking-Technologien?
• Wenn alle Fragen mit Nein beantwortet werden: Möchte ich die DSGVO freiwillig umsetzen, zum Beispiel als Vorbereitung auf die Revision des schweizerischen DSG, um Kunden entgegenzukommen oder aus Reputationsgründen?
Der Autor
David Vasella, Rechtsanwalt, CIPP/E, ist als Counsel bei der Kanzlei Walder Wyss in Zürich tätig. Walder Wyss ist eine Anwaltskanzlei, die mit rund 180 Juristen Unternehmen, Institutionen und Private in allen Gebieten des Wirtschaftsrechts berät und vertritt. David Vasella unterstützt Unternehmen aller Branchen im Datenschutz, bei IT-Projekten und immaterialgüterrechtlichen Fragen. Zurzeit ist er in viele grosse und kleine Projekte zur Umsetzung des neuen Datenschutzrechts involviert.
(Quelle: Walder Wyss Rechtsanwälte)