Jetzt handeln: EU-DSGVO-Umsetzungsfrist läuft am 25. Mai 2018 ab

EU-DSGVO gilt auch für Nicht-EU-Unternehmen

Nach Art. 3 DSGVO gelten die Regeln nicht nur für Unternehmen mit Sitz in der EU (oder deren Niederlassungen in der EU), sondern auch für Nicht-EU-Unternehmen. Dies dann, wenn personenbezogene Daten von Personen, die sich in der EU befinden, im Zusammenhang mit dem (auch kostenlosen) Angebot von Waren und Dienstleistungen und der „Verhaltensüberwachung“ – sofern das zu überwachende Verhalten in der EU stattfindet – bearbeitet werden.

Art. 3 EU-DSGVO betrifft insbesondere Schweizer E-Commerce-Unternehmen. Von Art. 3 EU-DSGVO werden jedoch z.B. auch Schweizer Unternehmen erfasst, welche für ein EU-Unternehmen Personendaten bearbeiten. Die EU-DSGVO ist auch auf Bearbeitungen von Personendaten durch Niederlassungen von Schweizer Unternehmen in der EU anwendbar (siehe hierzu Bühlmann / Reinle, Extraterritoriale Wirkung der DSGVO, digma 2017, Heft 1, 8 ff.).

Wichtige Bestimmungen

Eine Übersicht über die wichtigsten Regeln und Neuerungen der EU-DSGVO wurde bereits in MLL-News vom 14. Januar 2016 veröffentlicht. Im Folgenden wird auf die Bestimmungen eingegangen, welche im Vergleich zum schweizerischen Datenschutzrecht zu Umsetzungsbedarf führen:

• Strenge Anforderungen an die Einwilligung: Die Einwilligung muss durch eine ausdrückliche, aktive Handlung dokumentiert werden. Vorangekreuzte Kästchen stellen keine ausreichende Einwilligung dar. Die Einwilligungserklärungen in Datenschutzerklärungen oder anderen Dokumenten müssen separat vom übrigen Text abgebildet werden. Die Einwilligung muss zudem freiwillig erfolgen. Es gilt ein sog. beschränktes Koppelungsverbot. Der Abschluss eines Rechtsgeschäftes darf nur mit der Zustimmung zu Datenbearbeitungen als Vorbedingung verknüpft werden, wenn die Datenbearbeitung für die Durchführung des betreffenden Vertrages erforderlich ist. Gewinnspiele, welche die Teilnahme von der Zustimmung zu Newslettern oder zur Datenbearbeitung für Marketingzwecke abhängig machen, dürften problematisch werden. Bestehende Einwilligungsmechanismen sind entsprechend zu überprüfen.

• Umfassende, aktive Informationspflicht im Zeitpunkt der Datenbeschaffung: Das schweizerische Recht sieht bis anhin nur bei der Beschaffung von besonders schützenswerten Daten und Persönlichkeitsprofilen eine aktive Informationspflicht vor. Art. 13 und 14 EU-DSGVO sehen bei allen Datenbeschaffungen eine solche Pflicht vor; dies selbst dann, wenn die Daten nicht unmittelbar bei der betroffenen Person beschafft werden (sondern z.B. von einem Adresshändler gemietet oder gekauft werden). Die Informationen, welche übermittelt werden müssen, sind sehr umfangreich. Bestehende Datenschutzerklärungen müssen geprüft und, falls, notwendig, ergänzt werden.

• Recht auf Löschung (Art. 17 EU-DSGVO): Die betroffene Person kann die Löschung von Personendaten verlangen. Von der Löschungspflicht bestehen gewisse Ausnahmen. Für die Unternehmen aufwändig ist Art. 19 EU-DSGVO. Wenn ein Unternehmen beschaffte Personendaten an Dritte weitergegeben hat, muss das Unternehmen auf ein Löschungsgesuch nicht nur die bei ihm gespeicherten Personendaten der betroffenen Person löschen, sondern auch die Dritten über das Löschungsgesuch informieren – sofern dies mit verhältnismässigem Aufwand möglich ist.

• Recht auf Datenportabilität (Art. 20 EU-DSGVO): Ein solches Recht besteht in der Schweiz bislang nicht. Die betroffene Person kann verlangen, dass sie die sie betreffenden Personendaten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format erhält, um diese z.B. ohne Behinderung an einen Drittanbieter zu übertragen. Das Recht gilt jedoch nur, wenn die Personendaten basierend auf einer Einwilligung bearbeitet werden – und nicht einem berechtigten Interesse oder einer gesetzlichen Pflicht – und die Bearbeitung mithilfe automatisierter Verfahren erfolgt. Kein Recht auf Datenportabilität besteht betreffend Daten, die z.B. aus von der betroffenen Person zur Verfügung gestellten Daten berechnet oder aus öffentlichen Quellen beschafft wurden. Die Unternehmen müssen prüfen, ob sie Personendaten in einem strukturierten und maschinenlesbaren Format herausgegeben könnten.

• Rechte bei automatisierten Datenbearbeitungen: Artikel 22 EU-DSGVO sieht das Recht des Datasubjektes vor, nicht Gegenstand von automatisierten Entscheidungsprozessen zu sein, die rechtliche oder vergleichbare Auswirkungen auf ihn haben. Dieses Recht gilt nicht, wenn dieser automatisierte Entscheidungsprozess für den Abschluss oder die Durchführung eines Vertrages notwendig ist (z.B. Kreditwürdigkeitsprüfung), durch Gesetz erlaubt ist oder wenn das Datasubjekt dieser automatisierten Bearbeitung zugestimmt hat. Die betroffenen Personen müssen über automatisierte Datenbearbeitungen informiert werden. Zudem sind im Rahmen des Auskunftsrechts umfassende Informationen über solche Datenbearbeitungen vorgesehen. Dies bedingt, dass die Unternehmen solche automatisierten Datenbearbeitungen spezielle erfassen und z.B. Standarddokumente für Auskunftsbegehren erstellen.

• Data Privacy by Default und Design: Neu verankert Artikel 25 EU-DSGVO die Prinzipien „Data Protection by Design” und „Data Protection by Default”. Unternehmen müssen ihre Dienste datensparsam entwerfen und datenschutzfreundlich anbieten. Unternehmen müssen daher bei allen neuen Dienstleistungen und Produkte, welche Datenbearbeitungen beinhalten, bereits bei der Konzipierung datenschutzrechtliche Gesichtspunkte berücksichtigen. Hierzu müssen entsprechende Prozesse und Workflows implementiert werden.

• Dokumentationspflicht: Artikel 30 EU-DSGVO könnte bei vielen Unternehmen zu grossem administrativem Aufwand führen. Die Datenbearbeiter werden verpflichtet, eine Liste mit allen ihren Datenbearbeitungen zu erstellen. Viele Unternehmen werden sich zuerst einen Überblick über die Datenbearbeitungen in ihrem Unternehmen verschaffen müssen.

• Meldepflicht bei Datenschutzpannen: Neu – im Vergleich zum schweizerischen Recht – sieht Artikel 33 EU-DSGVO eine obligatorische Meldung bei Datenschutzpannen innerhalb von 72 Stunden an die Datenschutzbehörde vor. Falls die Datenschutzpanne zu einem hohen Risiko für die Rechte des Datasubjektes führen könnte, muss der Datenbearbeiter auch das Datasubjekt ohne unnötige Verzögerung informieren (Artikel 34 EU- DSGVO). Unternehmen werden klare interne Zuständigkeiten und Kommunikationsprozesse festlegen müssen.

• Data Protection Impact Assessment: Mit Aufwand verbunden ist die Pflicht zur Durchführung eines sog. „Data Protection Impact Assessment“ nach Artikel 35 EU-DSGVO. Ein solches Assessment ist durchzuführen, wenn Datenbearbeitungen neue Technologien nutzen oder sonstwie mit Blick auf die Natur, den Umfang und den Kontext der Datenbearbeitung hohe Risiken bergen. Das Assessment soll mindestens aus einer systematischen Beschreibung der Datenbearbeitungsprozesse, aus einer Beurteilung der Notwendigkeit und Verhältnismässigkeit der Datenbearbeitung, einer Beurteilung der Datenschutzrisiken und einer Zusammenstellung der Massnahmen, die zur Reduktion der Risiken getroffen werden, bestehen.

• Interner Datenschutzverantwortlicher: Zuletzt müssen gewisse Unternehmen nach Artikel 37 EU-DSGVO zwingend einen internen Datenschutzverantwortlichen benennen. Nach schweizerischem Recht ist die Ernennung freiwillig. Die Ernennung eines Datenschutzbeauftragten ist dann zwingend, wenn die Haupttätigkeit des betreffenden Unternehmens regelmässiges, systematisches und umfangreiches Monitoring von Datasubjekten umfasst. Zwingend ist die Ernennung auch, wenn in hohem Umfang spezielle bzw. besonders schützenswerte Daten bearbeitet werden.

Die sog. Art. 29 Arbeitsgruppe veröffentlicht regelmässig Richtlinien zur Umsetzung verschiedener Pflichten der EU-DSGVO – so z.B. betreffend das Recht auf Dataportabilität, die Pflicht zur Ernennung eines internen Datenschutzverantwortlichen und zum Data Protection Impact Assessment. Die entsprechenden Richtlinien sind auf Englisch hier abrufbar.

Verletzungen der EU-DSGVO werden scharf sanktioniert

Bei Verstössen gegen die EU-DSGVO sind strenge und schmerzhafte administrative Sanktionen vorgesehen (siehe vor allem Art. 83 EU-DSGVO). Die Verordnung sieht für gewisse Verstösse eine administrative Busse von maximal 20 Millionen Euro oder bei einem Unternehmen von maximal bis zu 4% des weltweiten Jahresumsatzes vor.

Umsetzungsempfehlungen

Wegen der scharfen Sanktionen bei Verletzungen der EU-DSGVO wird die Einhaltung der EU-DSGVO zu einem wichtigen Compliance-Thema, mit welchem sich die Geschäftsführung der betreffenden Unternehmen befassen muss.

Die Frist zur Umsetzung läuft am 25. Mai 2018 ab. Für Unternehmen, welche noch keine Umsetzungsmassnahmen ergriffen haben, ist nun höchste Zeit. Diese Unternehmen müssen schnellst möglich mit der Umsetzung beginnen. Die Umsetzung der EU-DSGVO muss Chefsache sein.

Es wird davon ausgegangen, dass selbst Unternehmen, welche sehr früh mit der Umsetzung begonnen haben, bis zum 25. Mai 2018 noch nicht fully-compliant sein werden. Dies hängt auch damit zusammen, dass gewisse Bestimmungen nicht vollkommen klar sind und erst in den letzten Monaten erste Richtlinie für gewisse Pflichten entwickelt wurden.

Dessen ungeachtet, muss umgehend mit der Umsetzung begonnen werden. Folgende Empfehlungen sind für die ersten Umsetzungsmassnahmen hilfreich:

• Sensibilisierungsmassnahmen: Wenn bei der Geschäftsleitung und den verantwortlichen Angestellten die Sensibilisierung für den Datenschutz im Allgemeinen und die EU-DSGVO im Besonderen fehlt, dürfte die Umsetzung kaum erfolgreich sein.
• Überblick über alle Datenbearbeitungen im Unternehmen: Viele Unternehmen wissen nicht, bei welchen Geschäftsprozessen welche Personendaten bearbeitet werden und welche Datenbanken mit Personendaten im Unternehmen bestehen. Ein Überblick hierüber ist die wichtigste Basis für die Umsetzung der EU-DSGVO und die nachfolgende Compliance. Der Aufwand für diese Arbeit ist je nach Unternehmen beträchtlich. Die EU-DSGVO schreibt nicht konkret vor, wie die Dokumentationspflicht umzusetzen ist. Von daher haben die Unternehmen eine gewisse Freiheit betreffend den Umfang der Dokumentierung.
• Gap-Analyse: Es ist zu prüfen, welche Pflichten der EU-DSGVO bereits erfüllt werden und bei welchen das Unternehmen nur teilweise compliant oder gar nicht compliant ist. Die Gap-Analyse sollte dokumentiert erfolgen, sodass in der entsprechenden Dokumentation bei Gaps zugleich die notwendigen Massnahmen festgehalten werden können.
• Fokussierung: Bei der Umsetzung sollten Unternehmen sich primär auf diejenigen Pflichten fokussieren, bei denen man nicht compliant ist und welche sich relativ leicht oder schnell umsetzen lassen.
• Beizug von externen Beratern: Der Beizug von externen Beratern ist sinnvoll und hilfreich. Viele Arbeiten sollten jedoch im Unternehmen intern durchgeführt werden. Externe Berater können z.B. Checklisten für die Dokumentierung der Datenbearbeitungen vorbereiten. Die Unternehmen sollten dann jedoch die Datenbearbeitungen selber analysieren und dokumentieren. Dies ist wichtig für die Sensibilisierung und zukünftige Compliance.

Weitere Informationen:

• EU-Datenschutzgrundverordnung
• BR News vom 14. Januar 2016
• Bühlmann / Reinle, Extraterritoriale Wirkung der DSGVO, digma 2017, Heft 1, 8 ff.
• Art. 29 Arbeitsgruppe: Richtlinien zur EU-DSGVO