DSGVO – was Schweizer Unternehmen jetzt beachten müssen
Die Europäische Datenschutz-Grundverordnung (kurz DSGVO) war im vergangenen Jahr für Datenschutz- und Compliance-Juristen ein beherrschendes Thema, und 2018 wird das nicht anders sein: Ab Ende Mai sind die Vorgaben der DSGVO einzuhalten. Dass dies auch Unternehmen in der Schweiz betrifft – und zwar nicht nur Grosskonzerne, sondern auch KMUs –, hat sich inzwischen herumgesprochen.
Für wen gilt die DSGVO?
Die DSGVO findet auf jeden Umgang mit Personendaten (einschliesslich Beschaffung, Speicherung, Löschung, Anonymisierung, Weitergabe etc.; kurz "Verarbeitung") durch schweizerische Unternehmen Anwendung, wenn das Unternehmen
in der EU eine Niederlassung unterhält, etwa eine Tochtergesellschaft, eine Zweigniederlassung, eine Agentur oder eine lokale Repräsentanz, und im Zusammenhang mit der Niederlassung Personendaten verarbeitet (Beispiel: eine Niederlassung in Frankreich verkauft Produkte oder Leistungen für die Hauptniederlassung in der Schweiz und verwendet dafür Name und Adresse von Endkunden oder Kontaktpersonen des Käufers vor Ort);
falls keine Niederlassung in der EU besteht: wenn das Unternehmen Angebote auf natürliche Personen in der EU ausrichtet (Beispiel: ein Unternehmen in der Schweiz vertreibt über eine Website Waren oder Dienstleistungen bewusst auch nach Deutschland) oder das Verhalten von Personen in der EU beobachtet (Beispiel: ein SaaS-Anbieter in der Schweiz hat Kunden in der EU).
Eine Pflicht zur Einhaltung der DSGVO kann sich auch aus Verträgen mit Unternehmen in der EU ergeben. Im Ergebnis haben sich sehr viele Unternehmen mit der DSGVO zu befassen, auch wenn sie in der EU keine Niederlassung haben.
Welche organisatorischen und operationellen Massnahmen sind zu treffen?
Schweizerische Unternehmen, die der DSGVO unterstehen, aber keine europäische Niederlassung haben, müssen in einem der betroffenen Staaten einen lokalen Vertreter bestimmen. Bei bestimmten riskanten Datenbearbeitungen muss zudem ein Datenschutzbeauftragter bestimmt werden. Allgemein müssen betroffene Unternehmen das Know-how und die Ressourcen beschaffen, um die operationellen Anforderungen der DSGVO bewältigen zu können.
Unternehmen, die der DSGVO unterstehen, müssen aufwendige Anforderungen erfüllen. In erster Linie muss sichergestellt sein – durch Richtlinien, Vorlagen und weitere Dokumentationen –, dass die folgenden Anforderungen eingehalten werden:
ernsthafte Anstrengungen zur Umsetzung der Anforderungen müssen unternommen und dokumentiert werden;
die Datenverarbeitungen sind in elektronischer oder schriftlicher Form zu dokumentieren;
betroffene Personen müssen über bestimmte Punkte informiert werden, bevor die Bearbeitung ihrer Daten aufgenommen wird;
die Speicherdauer von Personendaten ist im Voraus zu bestimmen, und Daten sind zu löschen, wenn die Aufbewahrungsfrist abgelaufen ist und unter Umständen und unter Vorbehalt von Aufbewahrungspflichten auch auf Begehren der betroffenen Person;
die Datensicherheit ist zu gewährleisten, Verletzungen sind zu registrieren und je nach Umständen der zuständigen Behörde und den betroffenen Personen mitzuteilen, und vor riskanten Datenbearbeitungen ist eine Datenschutz-Folgenabschätzung durchzuführen;
betroffene Personen haben verschiedene Rechte in Bezug auf ihre Personendaten, denen in der Regel innerhalb eines Monats nachzukommen ist, was entsprechende Abläufe verlangt;
mit Dienstleistern müssen schriftliche Auftragsvereinbarungen geschlossen werden;
bei der Übermittlung in Länder ausserhalb Europas sind Datenschutzverträge zu schliessen.
Welche Konsequenzen drohen bei Nichteinhaltung?
Bei einer Verletzung der DSGVO drohen folgende Konsequenzen:
Europäische Behörden können gegenüber dem fehlbaren Unternehmen bei einer Verletzung Bussen bis zu 20 Millionen Euro oder – falls höher – 4 Prozent des weltweiten Jahresumsatzes verhängen;
Verträge verlangen häufig die Einhaltung des anwendbaren Rechts im Allgemeinen oder des Datenschutzrechts im Besonderen. Eine Verletzung kann in solchen Fällen zu Vertragsstrafen, vorzeitiger Beendigung, Schadenersatzforderungen und dem Verlust von Rechten führen.
In der heutigen Zeit können Verletzungen sehr schnell verbreitet werden, besonders bei Unternehmen, die über einen bekannten Namen verfügen, sensitive Daten bearbeiten, bereits früher Bestimmungen verletzt haben oder die in exponierten Bereichen tätig sind. Entsprechend drohen Reputationsrisiken.
Wie lässt sich Compliance sicherstellen?
Viele Unternehmen in der Schweiz müssen sich auf die DSGVO vorbereiten und entsprechende Massnahmen treffen. Das folgende Vorgehen hat sich als grobe Richtschnur bewährt:
Vorbereitung: Zusammenstellung der existierenden Dokumente und Unterlagen im Bereich des Datenschutzes (beispielsweise Verarbeitungsverzeichnisse, Richtlinien, Datenschutzerklärungen, IT-Sicherheitsrichtlinien, Vertragsvorlagen, Mitarbeiterrichtlinien etc.); Überlegungen zu den im Unternehmen bereits vorhandenen Ressourcen und Kenntnissen; Vorbereitung eines (je nachdem grösseren oder kleineren) Umsetzungsprojekts mit einer passenden Bezeichnung, einem realistischen Zeitplan und angemessenen internen oder externen Ressourcen.
Dokumentation und rechtliche Einschätzung: Bestehende Datenverarbeitungen sind zu erfassen und zu dokumentieren, und es sind Überlegungen erforderlich, ob die datenschutzrechtlichen Anforderungen eingehalten werden.
Umsetzungsmassnahmen: Falls sich ergibt, dass das Unternehmen die anwendbaren Anforderungen nicht einhält, sind Umsetzungsmassnahmen notwendig. Es ist sinnvoll, mit Massnahmen zu beginnen, die rasch und mit verhältnismässig geringem Aufwand umgesetzt werden können, etwa der Erarbeitung einer konzerninternen Datenschutzrichtlinie, einem Datenübermittlungsvertrag für gruppeninterne Datenbekanntgabe ins Ausland, insbesondere ausserhalb der EU beziehungsweise des EWR, konzerninternen Dienstleistungsverträgen mit Shared-Service-Gesellschaften und Dienstleistungsverträgen mit Drittanbietern. Einige dieser Massnahmen können parallel zur Dokumentation und zur Gap-Analyse durchgeführt werden. Bei riskanteren Verarbeitungen sind gegebenenfalls weitere Massnahmen erforderlich.
Für schweizerische Unternehmen besteht kein Grund zur Panik. Sie müssen sich aber mit der DSGVO befassen. Die wesentlichen Compliance-Lücken lassen sich durchaus mit vernünftigem Aufwand schliessen.