Schweizer Unternehmen müssen sich für die neue EU-Datenschutz-Grundverordnung wappnen

Im Schweizer Datenschutz sind verschiedene Gesetze und Erlasse anwendbar, insbesondere das Schweizer Datenschutzgesetz. Ab 25. Mai 2018 kommt noch die DSGVO (Datenschutzgrundverordnung) der europäischen Union dazu.

Ziel des Datenschutzes ist nicht der Schutz von personenbezogenen Daten selbst, sondern der Persönlichkeitsrechte natürlicher und in der Schweiz auch juristischer Personen. Unter personenbezogenen Daten versteht man alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen, also wenn ein Rückschluss auf eine Person ohne erheblichen Aufwand möglich ist (teilweise auch IP-Adressen oder Cookies). Sensitive Personendaten sind solche, bei deren Bearbeitung die Gefahr von Persönlichkeitsverletzungen besonders gross ist. «Dazu zählen unter anderem religiöse, weltanschauliche oder politische Ansichten, die Gesundheit, die Rassenzugehörigkeit, administrative oder strafrechtliche Verfolgungen und Sanktionen oder auch die sogenannten Persönlichkeitsprofile», sagt Sergio Leemann, lic. iur., Rechtsanwalt, Partner bei Wicki Partners AG. Der Begriff des Bearbeitens von Personendaten sei sehr weit gefasst und umfasse diesbezüglich alle Aktivitäten, sprich bereits das Sammeln und Speichern von personenbezogenen Daten.

Sicherheit muss gewährleistet sein

Im Datenschutz haben sich in den letzten Jahrzehnten Grundsätze zur Datenbearbeitung herauskristallisiert, welche es zu beachten gilt. So müssen die Erhebung, Nutzung und Übertragung von personenbezogenen Daten sowie der Zweck der Bearbeitung rechtmässig und nachvollziehbar sein. «Die erhobenen Daten müssen in Qualität und Quantität zur Erreichung des Zweckes geeignet sein. Dazu müssen sie richtig und aktuell sein und dürfen nicht länger als notwendig gespeichert werden», sagt Leemann. In der Bearbeitung müsse immer eine angemessene Sicherheit gewährleistet sein und auch der Schutz vor unbefugter oder unrechtmässiger Verarbeitung durch technische und organisatorische Massnahmen. Zudem sei ein Transfer in Länder, in welchen das Datenschutzniveau nicht demjeni- gen der Schweiz entspreche (z.B. die USA), nicht erlaubt.

EU geht einen Schritt weiter

Die DSGVO, die Datenschutz-Grundverordnung der Europäischen Union (engl. General Data Protection Regu- lation; «GDPR»), geht allerdings noch einen Schritt weiter und regelt auch den Export von personenbezogenen Daten in Länder ausserhalb der Europäischen Union. Unterneh- men, die persönliche Daten von Einwohnern der EU spei- chern oder verarbeiten, müssen die Richtlinien der DSGVO ab dem 25. Mai 2018 beachten. «Die DSGVO verlangt, dass jede Person, von welcher persönliche Daten gesammelt wer- den, der Nutzung ihrer persönlichen Daten ausdrücklich zu- stimmen muss und das Recht hat, zu erfahren, welche ihrer persönlichen Daten ein Unternehmen zu welchen Zwecken nutzt», sagt Leemann. Jede Person habe das Recht, ihre Daten löschen zu lassen oder den Transfer ihrer persönlichen Daten zu veranlassen, was Unternehmen durch geeignete technische Massnahmen sicherzustellen haben.

Meldung von Vorfällen innert 72 Stunden

Unternehmen müssen in Zukunft Sicherheitsvorfälle innerhalb von 72 Stunden nach Bekanntwerden an die zuständigen Behörden sowie die betroffenen Personen melden. Dazu müssen die entsprechenden technischen und organisatorischen Massnahmen ergriffen werden. Ausserdem muss eine Datenschutz-Folgeabschätzung vorgenommen werden, um die Risiken für betroffene Personen einzuschätzen und um zu informieren, welche Massnahmen das Unternehmen trifft, um allfällig entstandene Risiken zu minimieren. «Unternehmen, welche grosse Mengen persönlicher Daten speichern oder verarbeiten, werden zudem dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, der sowohl die Datenschutzstrategie als auch die Konformität mit den geltenden Gesetzen überwacht und sicherstellt», sagt Leemann. Bei Verstössen gegen die DSGVO können auf Unternehmen Strafzahlungen in Höhe von bis zu 20 Millionen Euro – oder vier Prozent des weltweiten Gesamtumsatzes der Unternehmensgruppe – zukommen.

Herausforderung für Unternehmen

Die grosse Herausforderung für Schweizer Unternehmen besteht einerseits in der Abklärung, inwiefern die DSGVO für das Unternehmen überhaupt anwendbar ist und andererseits, dass neue Organisationen, Mechanismen und Verfahren eingeführt werden müssen. Zudem ist bekannt, dass die Schweiz an einem neuen Datenschutzgesetz arbeitet, das sich stark an der DSGVO anlehnen wird, dessen Inkrafttreten allerdings auf unbekannte Zeit verschoben wurde.

Wicki Partners hilft Unternehmen dabei, die DSGVO zu implementieren. Gemeinsam mit den Unternehmen werden Assessments durchgeführt und auf das jeweilige Unternehmen abgestimmte Strategien entwickelt, um die Compliance im Datenschutz optimal sicherzustellen.

Dieser Beitrag wurde von RA Sergio Leemann verfasst.