Revision der Datenschutz-Grundverordnung: Welche Anpassungen gelten für die Schweiz?
Die bevorstehende Umsetzung der europäischen Datenschutz-Grundverordnung stellt hiesige Betriebe auf die Probe. In welchen Bereichen gibt es wesentliche Änderungen, was sind schliesslich auch die wichtigsten Inhalte, die Schweizer Betriebe bereits ab Mai 2018 berücksichtigen müssen?
Ab dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) der EU durchsetzbar mit direkter Wirkung auch für Schweizer Unternehmen. Das Schweizer Datenschutzgesetz ist in der Vernehmlassung, das revidierte DSG soll im Herbst 2018 ebenfalls in Kraft treten – Anpassungsdruck, beziehungsweise -Bedarf für Schweizer Unternehmen ist gegeben.
Dieser Artikel beleuchtet einige zentrale Aspekte des EU-Datenschutzgesetzes für die Schweiz.
Schutz der juristischen Person
Im Europäischen Parlament wurden viele neue Anpassungen formuliert, um die DSGVO mit allen europäischen Staaten abzustimmen, hierunter fällt auch der Schweizer Werkplatz (Erwägungsgrund 137). So müssen zukünftig alle Verarbeitungen, die sich an EU-Bürger richten und personenbezogene Daten von EU-Bürgern oder –Mitarbeitern betreffen, DSGVO-konform ablaufen.
Die europäische Gesetzeseinführung setzt somit nicht nur Deutsche Unternehmen unter Druck, sondern auch Schweizer Exporteure, Versandhändler, Betreiber von Online-Sites, generell Bereiche der schweizerischen ICT-, Kommunikations-, Legal-/Controlling-, Werbe- oder Data Economy-Branche. Der Schutz der juristischen Personen soll jedoch entflechtet werden.
Die eigentliche Risikobeurteilung geht ab 2018 auf die Daten-verarbeitenden Mitarbeiter oder Datenschutzbeauftragten über.
Rechte der Betroffenen
Der Grundsatz der „Informationellen Selbstbestimmung“ bleibt nach wie vor gültig. Es heisst, dass die Rechte und Pflichten der Betroffenen verbessert werden. Diese Pflichten sind unter dem Artikel 7 der EU-DSGVO aufgeführt. Der Betroffene hat jedoch das Recht, die Einwilligung jederzeit zu widerrufen.
Auf der einen Seite – im Lichte einer möglichen Sanktionierung und strafrechtlichen Verfolgung – könnten einzelne Personen, respektive Einzelunternehmer jedoch mit mehr organisatorischen Handycaps konfrontiert werden, was die zu erfüllenden AGB, Musterverträge, Datenschutz Policies und Prozesse angeht.
Ebenso werden die strafrechtlichen Abklärungen des eidgenössischen Datenschutzbeauftragten EDÖB öfters beansprucht werden. Der Aufgabenkatalog des EDÖB wurde wesentlich erweitert (u.a. Art. 37, Art. 5, Art. 7, Art. 16, Art. 17), was zu einer „Bürokratisierung“ der Behörde führen könnte (Quelle: Management & Qualität 06/2017).
Pflichten des Verantwortlichen und des Bearbeiters
Neu ist, dass gewisse Datenschutzverletzungen binnen 72 Stunden nach Bekanntwerden an die zuständige Aufsicht gemeldet werden müssen, die betroffene Person unverzüglich zu informieren ist. Die Bereitstellung eines Datenschutzbeauftragten (intern oder extern) wird daher auch für Schweizer Arbeitsgeber ein wichtiges Thema sein.
So muss der zuständige (Daten-)Bearbeiter in der Lage sein, jedermann Daten zu unterbreiten, respektive zu berichtigen – den Datenschutzbeauftragten gleich informieren können, werden Manipulationen oder Verluste von Personendaten befürchtet (Art. 17). Es gilt neu ein permanentes Auskunftsrecht über alle Datenbestände und Aktionen, welche Datenänderungen betreffen (Art. 20). Dieses Recht bezieht sich explizit auch auf die Aufbewahrungsdauer.
So gilt im DSG auch explizit das Recht auf Löschung, welches gar durch die Erben des Betroffenen ausgeübt werden könnte („Digitaler Tod“, Art. 12).
Achtung: Automatisierte Prozesse
Eine wesentliche Neuerung betrifft die Berücksichtigung neuer Techniken, die sich in den letzten Jahren im Internet etabliert haben. Dazu zählt zum Beispiel das so genannte Profiling (Art. 3 Abs.1 lit. f.), also die Generierung von Persönlichkeitsprofilen aufgrund öffentlich vorhandener Daten (Teilbereich von „Big Data“).
Ebenfalls von grosser Bedeutung sind so genannte automatische oder autonome Entscheide (Art. 15). Dabei handelt es sich um Online-Entscheide, die aufgrund von automatischen Prozessen gefällt werden (keine Interaktion durch einen Menschen, wie z.B. die vollautomatische Bonitätsprüfungen). Nicht unter diesen Bereich fallen personenbezogene Daten wie genetische, biometrische oder strafrechtliche Erhebungen.
Generell erhält die Regelung der Auftragsdatenbearbeitung – unter vertraglichen und technischen Angleichungen – demnächst auch erhöhte Achtsamkeit in der Schweiz.
Risikoanalyse, Prüfung und Zertifizierung
Die europaweite Datenschutz-Grundverordnung verpflichtet auch Schweizer Unternehmen sich Risiko-orientierter zu geben. Die Unternehmen sollten bis zum 25. Mai 2018 bis ins letzte Detail der EU-DSGVO wissen, welche Rechten und Pflichten die „Betroffenen“ bei der länderübergreifenden Datenbearbeitung unterliegen. Die offizielle Prüfung, Datenschutz-Folgenabschätzung genannt (Art. 16), wird auch bei fahrlässigen Unterlassungen in der Datenschutzverarbeitung verlangt. Der eidgenössische Datenschutzbeauftragte hat drei Monate Zeit, um die Erfüllung der Rechtsvorschrift zu beurteilen. Darüber hinaus könnten datenschutzspezifische Zertifizierungsverfahren als Nachweis der DSGVO-Konformität relevanter werden. (mm)
http://www.edoeb.admin.ch