krfacts Ausgabe April 2018 Findet die EU-Datenschutzgrundverordnung auf Ihr Unternehmen Anwendung?
Am 25. Mai 2018 tritt die Europäische Datenschutzgrundverordnung (EU-DSGVO: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 119/1) in Kraft. Die EU-DSGVO soll sicherstellen, dass die Rechte natürlicher Personen, die sich in der Europäischen Union (EU) befinden, bei der Verarbeitung von personenbezogenen Daten gewahrt werden. Um dieses Ziel zu erreichen, nimmt die EU auch Unternehmen in die Pflicht, welche ihren Sitz ausserhalb der EU haben. Entscheidend für die Anwendbarkeit der EU-DSGVO ist somit nicht nur, wo die Daten bearbeitet werden, sondern auch woher die Daten stammen. Die EU-DSGVO findet daher auf zahlreiche Schweizer Unternehmen Anwendung.
Anwendbarkeit der EU-DSGVO auf Schweizer Unternehmen
Zunächst ist festzuhalten, dass die EU-DSGVO nur die Verarbeitung personenbezogener Daten umfasst. Darunter werden alle Informationen verstanden, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. So fällt z.B. das Abspeichern von Kundendaten in den Anwendungsbereich der EU-DSGVO, sofern es sich dabei um Daten natürlicher Personen handelt. Nicht in den Anwendungsbereich fallen dagegen Daten von Firmenkunden.
Für Schweizer Unternehmen, die personenbezogene Daten bearbeiten, ist die EU-DSGVO zusammengefasst in drei Fällen anwendbar:
1. Das Unternehmen bietet seine Waren oder Dienstleistungen in der EU an (sog. Marktortprinzip). Ob ein Anbieten im Sinne der EU-DSGVO vorliegt, ist von Fall zu Fall zu beurteilen. Entscheidend ist die Absicht des Unternehmens, Kundinnen und Kunden aus dem EU-Raum zu gewinnen. Nicht relevant ist dagegen, ob die Leistung letztlich in der Schweiz erbracht wird.
2. Das Unternehmen beobachtet das Verhalten von Personen in der EU, indem es deren Internetaktivitäten nachvollziehen kann (sog. Verhaltensbeobachtung). Hier geht es unter anderem um die verhaltensbasierte Werbung, die auf die individuellen Interessen einer Person zugeschnitten ist.
3. Das Unternehmen bearbeitet personenbezogene Daten im Auftrag eines Dritten mit Niederlassung in der EU (sog. indirekte Anwendbarkeit). In Zukunft dürfen Unternehmen, die der EU-DSGVO unterliegen, nur noch Daten an Dritte weitergeben, die sich an den Datenschutzstandard der EU halten. Konsequenterweise ist eine Zusammenarbeit zwischen Schweizer Unternehmen und EU-Unternehmen, welche die Bearbeitung personenbezogener Daten mitumfasst, nur noch möglich, wenn das Schweizer Unternehmen den EU-Standard erfüllt.
Pflichten für Unternehmen, die der EU-DSGVO unterstehen
Die EU-DSGVO auferlegt den Unternehmen verschiedene Pflichten. Zunächst hat jedes Unternehmen sicherzustellen, dass es personenbezogene Daten rechtmässigbearbeitet. Nach der Konzeption der EU-DSGVO braucht es für jede Datenbearbeitung einen Rechtfertigungsgrund. Der wichtigste Rechtfertigungsgrund dürfte dabei die Einwilligung der natürlichen Person sein. Bei der Formulierung der Einwilligungserklärung ist darauf zu achten, dass der Zweck der Datenverarbeitung möglichst genau umschrieben wird. Pauschale Einwilligungsklauseln sind nicht mehr gültig. Darüber hinaus haben Unternehmen dem Datenschutz durch technische Massnahmen und interne Abläufe Rechnung zu tragen (Privacy by Design). Zudem gilt der Grundsatz der datenschutzfreundlichen Voreinstellungen (Privacy by Default). Es sollen nur jene Daten gesammelt werden, die zur Erfüllung des Zwecks erforderlich sind.
Weitere Pflichten sind die Informationspflicht gegenüber den natürlichen Personen, die Pflicht, Daten zu löschen oder herauszugeben, wenn dies von der natürlichen Person gewünscht wird, die Pflicht zur Führung eines Datenverarbeitungsverzeichnisses sowie Meldepflichten gegenüber den Behörden und denbetroffenen Personen, wenn es zu einer Datenschutzverletzung kommen sollte. Für die Bearbeitung gewisser Kategorien von Personendaten, die als besonders schützenswert gelten (z.B. Gesundheitsdaten oder Informationen über politische, religiöse oder weltanschauliche Überzeugungen), statuiert die EU-DSGVO zusätzliche Pflichten, wie die Ernennung eines Datenschutzbeauftragten oder die Durchführung einer sog. Datenschutzfolgenabschätzung.
Schliesslich haben Unternehmen, die Waren oder Dienstleistungen in der EU anbieten und regelmässig personenbezogene Daten bearbeiten, einen Vertreter in der EU zu bestellen. Der Vertreter dient als Anlaufstelle für Behörden und natürliche Personen, die von der Datenbearbeitung betroffen sind.
Fazit
Ob ein Schweizer Unternehmen die EU-DSGVO einhalten muss und welche Pflichten daraus resultieren, kann nicht allgemein festgelegt werden, sondern hängt vom Geschäftsmodell, der Art der Datenbearbeitung sowie den bearbeiteten Daten ab. Aufgrund der weitreichenden Kompetenzen der Aufsichtsbehörden, dem Bussenrahmen von bis zu 20 Millionen Euro oder 4% des weltweit erzielten Jahresumsatzes sowie dem Reputationsschaden, der mit einer Datenschutzverletzung einhergeht, lohnt es sich jedoch auch für Schweizer Unternehmen, die Anwendbarkeit der EU-DSGVO genau zuprüfen. Kommt hinzu, dass sich die Schweizer Datenschutzgesetzgebung zurzeit in Revision befindet und davon auszugehen ist, dass vieles aus der EU-DSGVO übernommen wird.