Im Teil 1 unseres Alerts vom November 2017 haben wir aufgezeigt, dass man als Schweizer Unternehmen schnell der ab dem 25. Mai 2018 geltenden EU-Datenschutz-Grundverordnung (DSGVO) unterworfen ist. In diesem Teil 2 erläutern wir Ihnen, was Sie als Schweizer Unternehmen vorkehren können, wenn die DSGVO auf Sie Anwendung findet. Dabei beschränken wir uns auf einige unseres Erachtens zentrale Pflichten, ohne einen Anspruch auf Vollständigkeit zu erheben.
Umfassende Dokumentationspflichten
Neu sind Unternehmen verpflichtet, eine Liste zu führen, aus der insbesondere hervorgeht, welche „personenbezogenen Daten“ (nachfolgend „Daten“) zu welchem Zweck bearbeitet werden. Auch muss aus dieser Liste hervorgehen, welche Personen für die Bearbeitung der Daten verantwortlich sind, wie diese Personen kontaktiert werden können, welche technischen und organisatorischen Sicherheitsmassnahmen zum Schutz der Daten bestehen und an wen diese Daten weitergegeben werden. Diese umfassende Dokumentationspflicht könnte bei vielen Unternehmen zu grossem administrativem Aufwand führen, weshalb kleinere und mittlere Unternehmen von dieser Aufgabe unter gewissen Umständen entlastet werden (u.a. wenn die Datenbearbeitung für die betroffenen Personen kein Risiko darstellt, weil z.B. keine besonders schützenswerten Daten wie Gesundheitsdaten bearbeitet werden). Als ersten Schritt empfehlen wir Ihnen, sich intern einen Überblick über die Datenbearbeitungen in Ihrem Unternehmen zu verschaffen, um prüfen zu können, ob eine Dokumentationspflicht nach DSGVO besteht.
Obligatorische Meldung bei Pannen
Verletzungen des Schutzes von Daten (z.B. bei Diebstahl, Verlust, etc.) müssen Sie neu innert 72 Stunden der Behörde und bei schweren Folgen auch den Betroffenen selbst melden. Damit solche Meldungen fristgerecht erfolgen können, empfehlen wir Ihnen, intern klare Zuständigkeiten und Kommunikationsprozesse festzulegen.
Umfassende Informationspflichten
Unternehmen müssen die betroffenen Personen insbesondere darüber informieren, welche ihrer Daten zu welchem Zweck bearbeitet werden. Wir empfehlen Ihnen, bestehende Informationsklauseln in Verträgen, allgemeinen Geschäftsbedingungen (nachfolgend „AGB“), Datenschutzerklärungen, internen Weisungen, Reglementen, etc., zu prüfen bzw. wo notwendig, zu ergänzen.
Aktive Einwilligung
An die Einwilligung der betroffenen Personen in die Datenbearbeitung werden neu höhere Anforderungen gestellt. Informationen dazu müssen in verständlicher Form gut sichtbar sein, z.B. in einem separaten Abschnitt von anderen Sachverhalten klar unterscheidbar.
Neu muss die Einwilligung durch die Betroffenen eindeutig und aktiv erteilt werden. Diesem Kriterium ist insbesondere bei der Verwendung von AGB Rechnung zu tragen. Im online Geschäft müssen Sie die Einwilligung durch eine eindeutige, aktive Handlung, z.B. durch aktives Anklicken einer Box oder aktives Klicken eines „I agree“-Buttons, einholen. Die bisher häufig verwendete Box, welche automatisch bereits angeklickt ist und deaktiviert werden müsste (sog. stillschweigende Einwilligung), stellt neu keine ausreichende Einwilligung mehr dar. Wir empfehlen Ihnen daher, die in Ihrem Unternehmen bestehenden Einwilligungsbedingungen entsprechend zu überprüfen.
Recht auf Vergessen
Neu hat die betroffene Person ein absolutes Recht auf Löschung ihrer Daten, im Wesentlichen dann, wenn die Daten nicht mehr benötigt werden, die Datenbearbeitung unrechtmässig erfolgte oder die Einwilligung zur Datenbearbeitung widerrufen wurde. Die Pflicht zur Löschung trifft auch Drittpersonen, an welche Ihr Unternehmen die Daten weitergegeben hat.
Risiko-Assessment (Datenschutz-Folgenabschätzung)
Datenbearbeitungsprozesse, die hohe Risiken für die Rechte und Freiheiten der Betroffenen beinhalten, bedürfen neu einer vorgängigen unternehmensinternen Überprüfung, insbesondre bei der Verwendung neuer Technologien. Dabei festgestellte hohe Risiken sind mittels entsprechenden Schutzmassnahmen (z.B. Passwortschutz) zu beschränken.
„Data Protection by Design“ und „Data Protection by Default“
Neu müssen Sie Datenverarbeitungssysteme von Beginn weg datenschutzfreundlich/datenschutzwirksam ausgestalten, z.B. durch Minimierung der bearbeiteten Daten, sofern dies den Zweck der Datenbearbeitung nicht beeinträchtigt („Privacy by Design“). Zudem müssen Sie sicherstellen, dass nur Daten bearbeitet werden, die für den jeweiligen Zweck erforderlich sind und effektiv benötigt werden („Privacy by Default“).
Datenschutzbeauftragter
Wenn Ihr Unternehmen als Kerngeschäft systematisch Betroffene in erheblichem Umfang beobachtet (z.B. via Tracking durch Cookies, Profiling durch Analysetools, etc.) oder in grossem Umfang besonders schützenswerte Personendaten bearbeitet, sind Sie neu verpflichtet, einen Datenschutzbeauftragten zu ernennen. Hierbei kann es sich um einen Mitarbeitenden Ihres Unternehmens oder um einen externen Dienstleister handeln (z.B. Datenschutzspezialisten). Für eine Unternehmensgruppe kann ein gemeinsamer Datenschutzbeauftragter bestimmt werden.
Bestellung eines Vertreters in der EU
Wenn Ihr Unternehmen keine Niederlassung in der EU hat, die DSGVO auf Ihr Unternehmen aber anwendbar ist, besteht neu eine Pflicht zur Ernennung eines Vertreters mit Sitz in der EU (Ausnahme: Sie bearbeiten Daten von in der EU ansässigen Personen nur gelegentlich und tätigen keine umfangreiche Bearbeitung von besonders schützenswerten Personendaten wie z.B. Gesundheitsdaten).
Zusammenfassung und Schlussfolgerung
Sofern Ihr Unternehmen unter den Anwendungsbereich der DSGVO fällt, müssen Sie die oben erwähnten Pflichten wahrnehmen, um sich DSGVO-konform zu verhalten. Wir empfehlen Ihnen, sich bereits jetzt mit dem neuen EU-Datenschutzrecht vertraut zu machen und mit den Vorbereitungsarbeiten zu beginnen sowie die notwendigen Anpassungen durchzuführen, um die neuen Anforderungen zeitgerecht (Mai 2018) einhalten zu können. Zudem wird gegenwärtig auch das schweizerische Datenschutzgesetz („DSG“) überarbeitet. Die DSG-Revision wird zu einer Angleichung an die DSGVO führen. Vieles, was in der EU ab Mai 2018 gilt, wird dann auch für Unternehmungen in der Schweiz gelten, auf welche die DSGVO keine Anwendung findet.
Gerade vor dem Hintergrund der hohen drohenden Strafen sollte Datenschutz-Compliance zur Chefsache erklärt und das Management von Datenschutzrisiken unternehmensintern institutionalisiert werden. Der Datenschutz gehört mittlerweile auf die Agenda eines jeden Verwaltungsrates.
Gerne unterstützen wir Sie bei der Umsetzung der Vorgaben der DSGVO. Auch über die erwähnte DSG-Revision werden wir Sie zu gegebener Zeit informieren.