Revision der Datenschutz-Grundverordnung: Welche Anpassungen gelten für die Schweiz?

Ab dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) der EU durchsetzbar mit direkter Wirkung auch für Schweizer Unternehmen. Das Schweizer Datenschutzgesetz ist in der Vernehmlassung, das revidierte DSG soll im Herbst 2018 ebenfalls in Kraft treten – Anpassungsdruck, beziehungsweise -Bedarf für Schweizer Unternehmen ist gegeben.

Dieser Artikel beleuchtet einige zentrale Aspekte des EU-Datenschutzgesetzes für die Schweiz.

Schutz der juristischen Person

Im Europäischen Parlament wurden viele neue Anpassungen formuliert, um die DSGVO mit allen europäischen Staaten abzustimmen, hierunter fällt auch der Schweizer Werkplatz (Erwägungsgrund 137). So müssen zukünftig alle Verarbeitungen, die sich an EU-Bürger richten und personenbezogene Daten von EU-Bürgern oder –Mitarbeitern betreffen, DSGVO-konform ablaufen.

Die europäische Gesetzeseinführung setzt somit nicht nur Deutsche Unternehmen unter Druck, sondern auch Schweizer Exporteure, Versandhändler, Betreiber von Online-Sites, generell Bereiche der schweizerischen ICT-, Kommunikations-, Legal-/Controlling-, Werbe- oder Data Economy-Branche. Der Schutz der juristischen Personen soll jedoch entflechtet werden.

Die eigentliche Risikobeurteilung geht ab 2018 auf die Daten-verarbeitenden Mitarbeiter oder Datenschutzbeauftragten über.

Rechte der Betroffenen

Der Grundsatz der „Informationellen Selbstbestimmung“ bleibt nach wie vor gültig. Es heisst, dass die Rechte und Pflichten der Betroffenen verbessert werden. Diese Pflichten sind unter dem Artikel 7 der EU-DSGVO aufgeführt. Der Betroffene hat jedoch das Recht, die Einwilligung jederzeit zu widerrufen.

Auf der einen Seite – im Lichte einer möglichen Sanktionierung und strafrechtlichen Verfolgung – könnten einzelne Personen, respektive Einzelunternehmer jedoch mit mehr organisatorischen Handycaps konfrontiert werden, was die zu erfüllenden AGB, Musterverträge, Datenschutz Policies und Prozesse angeht.

Ebenso werden die strafrechtlichen Abklärungen des eidgenössischen Datenschutzbeauftragten EDÖB öfters beansprucht werden. Der Aufgabenkatalog des EDÖB wurde wesentlich erweitert (u.a. Art. 37, Art. 5, Art. 7, Art. 16,  Art. 17), was zu einer „Bürokratisierung“ der Behörde führen könnte (Quelle: Management & Qualität 06/2017).

Pflichten des Verantwortlichen und des Bearbeiters

Neu ist, dass gewisse Datenschutzverletzungen binnen 72 Stunden nach Bekanntwerden an die zuständige Aufsicht gemeldet werden müssen, die betroffene Person unverzüglich zu informieren ist. Die Bereitstellung eines Datenschutzbeauftragten (intern oder extern) wird daher auch für Schweizer Arbeitsgeber ein wichtiges Thema sein.

So muss der zuständige (Daten-)Bearbeiter in der Lage sein, jedermann Daten zu unterbreiten, respektive zu berichtigen – den Datenschutzbeauftragten gleich informieren können, werden Manipulationen oder Verluste von Personendaten befürchtet (Art. 17). Es gilt neu ein permanentes Auskunftsrecht über alle Datenbestände und Aktionen, welche Datenänderungen betreffen (Art. 20). Dieses Recht bezieht sich explizit auch auf die Aufbewahrungsdauer.

So gilt im DSG auch explizit das Recht auf Löschung, welches gar durch die Erben des Betroffenen ausgeübt werden könnte („Digitaler Tod“, Art. 12).

Achtung: Automatisierte Prozesse

Eine wesentliche Neuerung betrifft die Berücksichtigung neuer Techniken, die sich in den letzten Jahren im Internet etabliert haben. Dazu zählt zum Beispiel das so genannte Profiling (Art. 3 Abs.1 lit. f.), also die Generierung von Persönlichkeitsprofilen aufgrund öffentlich vorhandener Daten (Teilbereich von „Big Data“).

Ebenfalls von grosser Bedeutung sind so genannte automatische oder autonome Entscheide (Art. 15). Dabei handelt es sich um Online-Entscheide, die aufgrund von automatischen Prozessen gefällt werden (keine Interaktion durch einen Menschen, wie z.B. die vollautomatische Bonitätsprüfungen). Nicht unter diesen Bereich fallen personenbezogene Daten wie genetische, biometrische oder strafrechtliche Erhebungen.

Generell erhält die Regelung der Auftragsdatenbearbeitung – unter vertraglichen und technischen Angleichungen –  demnächst auch erhöhte Achtsamkeit in der Schweiz.

Weiter Informationen darüber, welche Unternehmensbereiche von der EU-Verordnung in der Schweiz betroffen sind,  finden Sie in unseren jüngst erschienen Ausgaben „Management & Qualität“ (Ausgabe 3/2018) und „Organisator“ (Ausgabe 1/2 2018). Dieser Text wurde für aktuelle Printausgabe von Management & Qualität auch ins Französische übersetzt.  

Risikoanalyse, Prüfung und Zertifizierung

Die europaweite Datenschutz-Grundverordnung verpflichtet auch Schweizer Unternehmen sich Risiko-orientierter zu geben. Die Unternehmen sollten bis zum 25. Mai 2018 bis ins letzte Detail der EU-DSGVO wissen, welche Rechten und Pflichten die „Betroffenen“ bei der länderübergreifenden Datenbearbeitung unterliegen. Die offizielle Prüfung, Datenschutz-Folgenabschätzung genannt (Art. 16), wird auch bei fahrlässigen Unterlassungen in der Datenschutzverarbeitung verlangt. Der eidgenössische Datenschutzbeauftragte hat drei Monate Zeit, um die Erfüllung der Rechtsvorschrift zu beurteilen. Darüber hinaus könnten datenschutzspezifische Zertifizierungsverfahren als Nachweis der DSGVO-Konformität relevanter werden. (mm)

http://www.edoeb.admin.ch