EU-Gesetz zieht Schweizer Datenverarbeitende mit ein

Mit der Datenschutz-Grundverordnung beginnt im Mai des nächsten Jahres eine neue Ära der europäischen Datenschutzgesetze. Die GDPR gilt für alle Mitgliedsstaaten der Europäischen Union (einschliesslich des Vereinigten Königreichs). Die Inhalte der EU-Datenschutz-Grundverordnung (EU-DSGVO) löst das alte Datenschutzgesetz von 1995 ab.

Oberstes Ziel war es, die Rechte und die Privatsphäre der Inter-netnutzer in den 28 EU-Ländern zu schützen. Gleichzeitig sollten aber auch den «Datenmonstern» – Google, Facebook, Amazon und Konsorten – im EU-Raum regulatorische Grenzen gesetzt werden.

Bis heute wurde viel über Strafen und Sanktionen bei Verstös­ sen diskutiert, darunter bis zu 20 Mio. Euro oder vier Prozent des jährlichen weltweiten Umsatzes eines Unternehmens, die auch ein fahrlässiges KMU in der Schweiz ab 2018 hinblättern müsste.

In der Vergangenheit war die Rolle des Datenschutzbeauftrag-ten weitgehend undefiniert. Denn das aktuell noch bestehende euro-päische Datenschutzgesetz stammt aus einer EU-Richtlinie von 1995. «Datenschutzrechtliche Rollen und Aufgaben waren noch nicht in dem Masse berücksichtigt, wie sie heute die GDPR fordert», erklärt Katja Böttcher*, Legal & Compliance Project Manager. Seit Jahren ko-ordiniert die auf Wirtschaftskriminalität spezialisierte Juristin grosse Rechts- und Compliance-Projekte.

Neue Instanzen?
Noch vor rund zwölf Jahren wurde Datenschutz ausschliesslich im «Computing-Kontext» betrieben. Die ersten Personen, die den informel-len Titel des Datenschutzbeauftragten (DPO) erhielten, hatten meist ­einen IT-Hintergrund. Sie waren diejenigen, die den Fluss von compu-tergesteuerten Daten verstehen, identifizieren und «schützen» konn-ten. Heute, in einer Zeit, in der Technik unser Leben so sehr bestimmt, haben sich Rolle und Aufgabe eines DPO massgeblich verändert.

«Wird die Rolle eines Compliance-Verantwortlichen generell und unabhängig von der neuen Datenschutzrichtlinie der EU betrach-tet, so hat diese Funktion im Laufe der letzten Jahre deutliche Kontu-ren erhalten», erklärt Katja Böttcher.

In der neuen Revision geht es nicht nur um Datensicherheit oder die Sicht auf die IT, sondern auch um Kompetenzen in den Bereichen Arbeitsrecht und vieles mehr. «Insgesamt kann aber sicherlich die Auf-gabe insbesondere in Bezug auf den internationalen Datenschutz als sehr komplex bezeichnet werden. Ihre Verwaltung wird zunehmend in die Hände von spezialisierten Compliance-Verantwortlichkeiten füh-ren», meint die Schweizer Juristin.

«Ein DPO soll nie als einzige Instanz für Datenschutz angesehen werden.»

Um die europäischen Richtlinien einzuhalten, formuliert die GDPR die Rolle eines DPO und verpflichtet auch deren Einsatz in Un-ternehmen und Organisationen. Generell gesehen, müssten alle Be-triebe und öffentlichen Einrichtungen einen DPO beziehen, um die Informationsfreiheit oder generell die Menschenrechte einzuhalten.

«Dies ist allerdings sehr variabel, abhängig von Grösse, Branche und Tätigkeitsgebiet eines Unternehmens», unterstreicht Katja Bött-cher, Compliance-Expertin.

Unterschiedliche Verantwortung
Bisher mussten der Chef eines Kleinbetriebs oder Verwaltungsorgane durchgehend für Verletzungen der Sorgfaltspflicht haften. In letzter Zeit spricht man auch von dritten «faktischen Organen» wie out­ gesourcten Controllern, oder IT- respektive Data Security Officern, die streng haftbar gemacht werden sollen. Müssen nun Schweizer KMU mit strengeren strafrechtlichen Konsequenzen rechnen?

«Die verantwortlichen Organe respektive Funktionen haben die Aufgabe, Unternehmensrisiken bestmöglich zu begegnen, das Haf-tungsrisiko für das Unternehmen und schliesslich für die handelnden Personen zu minimieren», erklärt die Juristin. Sie relativiert: «Sicher wird ein Data Officer da notwendig, wo eine Datenschutzverletzung oder Datensicherheit als relevantes Unternehmensrisiko eingestuft wurde. Ein lokal tätiges KMU, das als Zulieferer von Ersatzteilen dient, braucht wahrscheinlich keinen speziellen Data Officer, hingegen ein Anbieter einer Wirtschaftsdatenbank schon.»

Buchhalter ohne Leitungsfunktion oder entsprechende Ver-antwortung können allenfalls ihre arbeitsrechtliche Sorgfaltspflicht verletzen, wenn sie sich nicht an die vorgegebenen Arbeitsabläufe, Reglemente oder direkten Anweisungen halten. Dasselbe gilt natür-lich auch für die involvierten Informatikmitarbeiter (Haftung für Geschäftsführung: Art. 754 OR, Arbeitnehmerhaftung: Art. 321e OR).

Ein DPO soll daher jedoch nie als «einzige Instanz» für Daten-schutz innerhalb einer Organisation angesehen werden. Der DPO muss einem Unternehmen oder einer Organisation helfen, übergrei-fenden Datenschutz zu betreiben und den gesetzlichen Verpflichtun-gen nachzukommen – auch hinsichtlich der Achtung der Privatsphäre von Mitarbeitenden.

Gesetzliche Leitlinien
Könnten laut GDPR auch kleinere, öffentliche Organisationen – zum Beispiel Gemeinden oder staatliche Schulen – unter der gesetzlichen Pflicht stehen, einen DPO zu entlöhnen? Typischerweise­ sammeln und verarbeiten Schweizer Gemeinden und auch Schulen keine Da-ten, die unter das GDPR fallen. Öffentlich-rechtliche Institutionen der Schweiz unterliegen bereits strengen Datenschutzrichtlinien und werden vom eidgenössischen oder kantonalen Datenschützer beauf-sichtigt.

Die europäische Richtlinie ist insofern nur für solche Organisa-tionen zwingend, deren Kerntätigkeiten eine «regelmässige und sys-tematische Überwachung von Daten in grossem Massstab» beinhalten oder deren Aktivitäten die Verarbeitung von besonders sensiblen Da-ten beinhalten – zum Beispiel Daten, die sich auf ethnische Herkunft, religiöse Überzeugungen, Gesundheit, Sexualleben oder strafrechtli-che Verurteilungen beziehen.

Die GDPR hat Auswirkungen auf die Schweiz und ist anwendbar auf diejenigen Unternehmen, die Kunden- und Personendaten aus dem EU-Raum sammeln und verarbeiten, respektive die aus der EU erreichbar sind (z. B. Homepage, die nicht-anonymisierte Auswertun-gen von Besuchern erstellt). Diese Betriebe müssen die Richtlinien einhalten und unter Umständen einen DPO bestimmen.

Gewisse und teilweise hilfreiche Leitlinien wurden von der Arti-kel-29-Arbeitsgruppe, einer Gruppe von Vertretern von Datenschutz-behörden der gesamten EU, erstellt. Die GDPR beschreibt Strukturen (Qualitäten und Pflichten) eines DPO. Unter anderem sind folgende Qualifikationen erforderlich:

• Möglichkeit von «unabhängigem» Handeln.
• Unabhängigkeit von Anweisungen des Arbeitgebers.
• Kenntnis des Datenschutzrechts.
• Ausreichende Ressourcen zur Erfüllung der Aufgaben.
• Ausreichende Ressourcen zur Erfüllung der Aufgaben.

Gemäss Artikel 29 der Leitlinien darf zusätzlich zur Qualifikati-on ein DPO keinen Interessenkonflikt evozieren.

Einige Unternehmenspositionen sind jedoch mit DPO-Aufga-ben nicht vereinbar, darunter fallen beispielsweise der CEO, CFO, aber auch Marketingleiter, HR- oder IT-Beauftragte.

Weitere sinnvolle Leitpunkte erklären beispielsweise, dass kriti-sche «Kernaktivitäten» nicht die Verarbeitung von Personalinformati-onen innerhalb einer Personalabteilung betreffen – jegliche gegentei-lige Ansicht würde dazu führen, dass jedes Unternehmen respektive jede Betriebsabteilung einen DPO benötigen würde.