Mai142018

Am 25. Mai 2018 läuft die Übergangsfrist der Datenschutz-Grundverordnung (EU-Verordnung 2016/679 [DSGVO]) aus, welche bereits seit dem 24. Mai 2016 in Kraft ist.

Die DSGVO hat auch auf die Schweiz bzw. Schweizer Unternehmen gewichtige Auswirkungen, da der räumliche Anwendungsbereich erweitert wurde. Nunmehr ist der Ort des Schutzberechtigten massgebend (extraterritoriale Anwendung). Ein EU-Bürger kann sich demnach auf die EU-DSGVO berufen, unabhängig davon, ob seine Daten von einer Organisation ausserhalb der EU gespeichert sind bzw. bearbeitet werden. Auch dürfte die DSGVO die momentane Revision des Schweizerischen Datenschutzgesetzes erheblich beeinflussen.

1. Änderungen: Schutzbereich, Rechte & Pflichten, Sanktionen
Der Ersatz der 20-seitigen Richtlinie aus dem Jahre 1995 mit der 80 Seiten umfassenden DSGVO hat es in sich: Neben der genannten Änderung im Anwendungsbereich werden die Rechte der betroffenen Schutzberechtigten gestärkt. Namentlich bestehen erschwerte Anforderungen an die Einwilligung (höherer Anspruch an die Willenserklärung, dokumentierte Zusage, Beweislast beim Verarbeiter etc.) und es wurde ein vollwertiges Recht auf Vergessen statuiert. Andererseits resultieren diverse Pflichten beim Datenverarbeiter. Inwiefern die beachtlichen angedrohten Sanktionen dann auch ausgesprochen werden, bleibt abzuwarten.

2. Ein paar Grundsätze:

Rechtmässigkeit
Grundsätzlich muss für jede Erhebung, Speicherung, Verarbeitung und Nutzung von personenbezogenen Daten eine gesetzliche Grundlage vorliegen (Verbot mit Erlaubnisvorbehalt).

Zweckbindung
Wenn ein Unternehmen Daten anlegt bzw. speichert, stellt sich insbesondere zu einem späteren Zeitpunkt die Frage:

  • Ist die Speicherung der Daten (noch) notwendig?
  • Ist die Speicherung dieser Daten noch durch den ursprüng- lichen Zweck abgedeckt?

Es dürfen nur so viele Daten verwendet werden, wie zur Erreichung des Zwecks erforderlich sind. Damit verbunden ist die Pflicht, Daten zu löschen, sofern diese nicht mehr benötigt werden (Datenminimierung, Löschroutine).

Auskunftsrecht
Das Recht auf Information hat in der neuen DSGVO einen sehr hohen Stellenwert. Dieses muss zu jederzeit gewährleistet sein. Jeder kann nachfragen, welche Daten über ihn gespeichert sind.

Korrekturrecht
Eng verknüpft mit dem Recht auf Information ist auch der Anspruch, seine Daten jederzeit anpassen zu lassen (inkl. Recht auf Vergessen). Es besteht sogar ein gesetzlicher Anspruch auf Korrektur, wenn Daten fehlerhaft sind.

Datensicherung
Werden Daten bewusst und rechtmässig angelegt, sind diese entsprechend zu sichern. Sie dürfen daher auch nicht unkontrolliert verloren gehen bzw. unbewusst gelöscht werden (Dokumentationspflicht auch bei Löschung).

Kontrolle
Innerbetrieblich gilt es eine verantwortliche Person zu bezeichnen, welche über die Einhaltung des Datenschutzes wacht. Die Mitarbeiter sind zu instruieren.

3. Mögliche Konsequenzen bei der Umsetzung
Welche Massnahmen von Schweizer Unternehmen nun an die Hand genommen werden müssen, unterscheidet sich je nach Grösse, Branche, Internetauftritt usw. Nachfolgend werden einige Punkte aufgegriffen, welche oftmals von Bedeutung sind. Natürlich ist die Liste in keiner Weise abschliessend.

3.1 Privacy by design: technische und organisatorische Massnahmen
Jeder Datenverarbeiter hat die notwendigen technischen und organisatorischen Massnahmen zu ergreifen, um den Datenschutz sicherzustellen. Wer hat Zugang zu welchen Daten? Es sind genau festgelegte Abläufe inkl. einer hierarchischen Zugriffsregelung zu definieren: Es sollen nur jene Mitarbeiter Zugriff haben, welche gewisse Informationen auch tatsächlich benötigen. Daher ist unter anderem zu definieren, was folgt:
• Stufen- und zweckgebundene Zugriffsrechte für gewisse Mitarbeiterkreise
• Hierarchischer Zugriff auf interne Daten (z.B. Bewerbungsunterlagen von Mitarbeitern)
• Schlüsselregelungen/Schliessplan
• Zutritt zu Archiven (physisch oder technisch)
• Passwortberechtigungen
• etc.

Diese Punkte sind vor allem im Zusammenhang mit der entsprechenden IT oftmals eine tech-nische Herausforderung. Als Beispiel hierfür sei auch die Nutzung mobiler Endgeräte genannt, wobei ein sogenanntes MDM (Mobile Device Management) empfohlen wird.

3.2 Datenschutzbeauftragte
Bei Unternehmen mit über zehn Mitarbeitern ist eine Datenschutzbeauftragte zu benennen. In jedem Fall empfiehlt sich aber, eine verantwortliche Person zu bezeichnen, welche über die definierten Zuständigkeiten und Verarbeitungstätigkeiten (Dokumentationspflicht) wacht. Hierbei ist es nicht erforderlich bzw. allenfalls auch unzulässig, dass die Datenschutzbeauftrage Einblick in sämtliche personenbezogene Daten erhält. Massgebend ist der Überblick über die Prozesse und Verantwortlichkeiten.

3.3 Auftragsverarbeiter
Ein Auftragsverarbeiter muss nicht nur die organisatorischen Massnahmen bei sich treffen, sondern auch eine Zusicherung bei seinen sog. «Auftragsverarbeitern» einholen, welche Zugriff auf personenbezogene Daten haben. Denkbare Auftragsverarbeiter sind beispielsweise Anbieter von IT-Services, Website-Betreiber usw.

3.4 Newsletter:
Bei bestehenden Kontaktdaten muss auf die Möglichkeit eines Widerrufs aufmerksam g-macht werden. Wenn dieses sogenannte Opt-Out angeboten wird, ist dies als Zustimmung auszulegen. Das Opt-Out kann auch spezifiziert werden, indem verschiedene Buttons gewählt werden, so dass man auf gewisse spezielle Angebote einzeln verzichten kann.
Wichtig: Die Möglichkeit eines solchen Opt-Outs muss in einer separaten E-Mail verschickt werden. Eine Erwähnung des möglichen Opt-Outs mit dem Versand eines normalen Newsletters würde demgegenüber nicht reichen.

Sollen neue Kontaktdaten angelegt werden, weil man sich beispielsweise für einen Newsletter interessiert, ist ein „Double-Opt-In“ notwendig.

1. Kontaktformular, wobei über Art und Umfang des Newsletters Auskunft gegeben wird (Zweckbindung der Datenerhebung). Schon in diesem Kontaktformular ist eine Belehrung anzubringen, wonach man den Versand jederzeit widerrufen kann.

2. E-Mail mit der Bestätigung der Anmeldung. Hierbei ist erneut auf das Widerrufsrecht aufmerksam zu machen. Dabei ist ein Button anzufügen, womit man nochmals bestätigt, dass man sich für den Newsletter angemeldet hat. Eine Belehrung mit dem Inhalt „Du hast Dich bei uns angemeldet. Melde Dich bei uns, falls dem nicht so ist oder Du keinen Newsletter von uns willst.“ reicht demgegenüber nicht.

Wichtig ist, dass das Opt-Out auch hier zu einer späteren Zeit jederzeit möglich sein muss.

 

Haben Sie weitere Fragen? Das Hütte-LAW-Team berät Sie gerne.

Autoren: Cornelia Arnold und Pascal Duss / 14. Mai 2018, 14:21