Datenschutzrecht: praktische Hinweise zur Datenbearbeitung

Maria Winkler, mag. iur. hat sich als Juristin auf das Thema Datenschutz spezialisiert. Maria Winkler ist unter anderem Datenschutzbeauftragte des Vereins swissdec sowie Fachexpertin für Datenschutzzertifizierungen in der Schweiz und in Österreich bei der SQS.


Zurzeit werden die Anforderungen, die das europäische sowie das revidierte Schweizer Datenschutzrecht zukünftig an die Unternehmen in der Schweiz haben werden, heftig diskutiert. Viele Fragen lassen sich momentan nicht definitiv beantworten, da die praktische Erfahrung mit der Umsetzung der neuen Bestimmungen fehlt und entsprechend auch auf keine Rechtsprechung zurückgegriffen werden kann. Nachfolgend einige wichtige praktische Hinweise für Schweizer KMU.

Bevor mit der Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) begonnen wird, sollte geprüft werden, ob diese überhaupt auf das eigene Unternehmen anwendbar ist. Nicht jedes Personendatum eines EU-Bürgers führt dazu, dass sich das eigene Unternehmen quasi mit der DSGVO «infiziert». Die DSGVO kennt das sogenannte Marktortprinzip, das auch Unternehmen, die keine Niederlassung in der EU haben, direkt unter den Anwendungsbereich der DSGVO stellt, wenn eine der folgenden Voraussetzungen erfüllt ist:

  • Das Unternehmen bietet als «Verantwortlicher» oder als «Auftragsdatenverarbeiter» in der EU Waren oder Dienstleistungen an natürliche Personen an und bearbeitet deren Daten.

  • Das Unternehmen trackt das Internetverhalten von Personen, die sich in der EU befinden (Verhaltensbeobachtung).

 

EU – ja oder nein?

In der Praxis hat sich die Frage, ob man seine Waren oder Dienstleistungen tatsächlich «in der EU» anbietet, als zentral herausgestellt. Abgesehen von den klaren Fällen, in denen Kunden in der EU direkt angesprochen und beispielsweise die Preise in Euro angegeben werden, wird eine Unterstellung unter die DSGVO immer dann gegeben sein, wenn nicht nur einzelne Kunden, sondern regelmässig Kunden aus der EU beliefert werden. Mit EU-Kunden sind Personen gemeint, die in der EU wohnen, jedoch nicht EU-Bürger in der Schweiz.

Da der Entwurf des revidierten Schweizer Datenschutzgesetzes (E-DSG) zu einem grossen Teil dieselben Anforderungen an Datenbearbeitungen vorsieht, sind die zu erfüllenden Anforderungen voraussichtlich nach Schweizer Recht sehr ähnlich wie nach europäischem Recht. Allerdings ist zurzeit noch unklar, wann sie in Kraft treten. Weder die DSGVO noch der E-DSG bringen übrigens eine vollkommene Abkehr von den bewährten Prinzipien des Datenschutzrechts. Die Grundsätze von Transparenz, Rechtmässigkeit und Verhältnismässigkeit bleiben bestehen, werden aber teilweise durch neue oder neu formulierte Anforderungen verschärft. So werden die Informationspflichten über Datenbearbeitungen ausgeweitet, und Unternehmen müssen aufgrund der sogenannten Rechenschaftspflicht beweisen, dass sie das Datenschutzgesetz einhalten. Dies hat umfangreiche Dokumentationspflichten zur Folge, die zumindest bei der ersten Erstellung der Dokumente einen nicht zu unterschätzenden Aufwand verursachen werden.


Neuerungen bei den Datenbearbeitungen

Datenbearbeitungen müssen neu in sogenannten Verzeichnissen dokumentiert werden. Stellt sich bei einer Risikoprüfung heraus, dass die geplante Datenbearbeitung für die betroffenen Personen mit einem hohen Risiko verbunden ist, muss eine sogenannte Datenschutz-Folgenabschätzung, also eine rechtliche Beurteilung der Datenbearbeitung inklusive der Dokumentation der risikominimierenden Massnahmen erstellt werden. Ebenfalls neu ist die Pflicht, Verletzungen von Massnahmen der Datensicherheit in bestimmten Fällen den Aufsichtsbehörden zu melden. Dies setzt voraus, dass die Datensicherheitsvorfälle erfasst, dokumentiert und bewertet werden. Es muss somit ein entsprechender Prozess eingeführt werden.

Dies sind nur einige Beispiele der neuen Anforderungen, die auf die Unternehmen zukommen. Angesichts der Strafdrohungen, die für den Fall einer Verletzung der gesetzlichen Anforderungen bestehen, sollten die Pflichten nicht vernachlässigt werden. Bei der Umsetzung sollte geprüft werden, inwieweit die verschiedenen kostenpflichtigen, aber auch teilweise kostenlosen Tools dem eigenen Unternehmen dienen können.