Datenschutz-Grundverordnung (GDPR) zieht Schweiz mit ein
Die Datenschutz-Grundverordnung (GDPR), welche ab Mai 2018 für alle EU-Mitgliedstaaten gilt, tangiert auch die Schweiz. Sie stellt neue datenschutzrechtliche Anforderungen an Compliance-Verantwortliche. Gleichwohl braucht es nicht gleich in jedem Betrieb einen Datenschutzbeauftragten.
Mit der Datenschutz-Grundverordnung beginnt im Mai des nächsten Jahres eine neue Ära der europäischen Datenschutzgesetze. Die GDPR gilt für alle Mitgliedsstaaten der Europäischen Union (einschliesslich des Vereinigten Königreichs). Die Inhalte der EU-Datenschutz-Grundverordnung (EU-DSGVO) löst das alte Datenschutzgesetz von 1995 ab.
Oberstes Ziel war es, die Rechte und die Privatsphäre der Internetnutzer in den 28 EU-Ländern zu schützen. Gleichzeitig sollten aber auch den «Datenmonstern» – Google, Facebook, Amazon und Konsorten – im EU-Raum regulatorische Grenzen gesetzt werden.
Bis heute wurde viel über Strafen und Sanktionen bei Verstössen diskutiert, darunter bis zu 20 Mio. Euro oder vier Prozent des jährlichen weltweiten Umsatzes eines Unternehmens, die auch ein fahrlässiges KMU in der Schweiz ab 2018 hinblättern müsste.
In der Vergangenheit war die Rolle des Datenschutzbeauftragten weitgehend undefiniert. Denn das aktuell noch bestehende europäische Datenschutzgesetz stammt aus einer EU-Richtlinie von 1995. «Datenschutzrechtliche Rollen und Aufgaben waren noch nicht in dem Masse berücksichtigt, wie sie heute die GDPR fordert», erklärt Katja Böttcher*, Legal & Compliance Project Manager. Seit Jahren koordiniert die auf Wirtschaftskriminalität spezialisierte Juristin grosse Rechts- und Compliance-Projekte.
Neue Instanzen?
Noch vor rund zwölf Jahren wurde Datenschutz ausschliesslich im «Computing-Kontext» betrieben. Die ersten Personen, die den informellen Titel des Datenschutzbeauftragten (DPO) erhielten, hatten meist einen IT-Hintergrund. Sie waren diejenigen, die den Fluss von computergesteuerten Daten verstehen, identifizieren und «schützen» konnten. Heute, in einer Zeit, in der Technik unser Leben so sehr bestimmt, haben sich Rolle und Aufgabe eines DPO massgeblich verändert.
«Wird die Rolle eines Compliance-Verantwortlichen generell und unabhängig von der neuen Datenschutzrichtlinie der EU betrachtet, so hat diese Funktion im Laufe der letzten Jahre deutliche Konturen erhalten», erklärt Katja Böttcher.
In der neuen Revision geht es nicht nur um Datensicherheit oder die Sicht auf die IT, sondern auch um Kompetenzen in den Bereichen Arbeitsrecht und vieles mehr. «Insgesamt kann aber sicherlich die Aufgabe insbesondere in Bezug auf den internationalen Datenschutz als sehr komplex bezeichnet werden. Ihre Verwaltung wird zunehmend in die Hände von spezialisierten Compliance-Verantwortlichkeiten führen», meint die Schweizer Juristin.
Um die europäischen Richtlinien einzuhalten, formuliert die GDPR die Rolle eines DPO und verpflichtet auch deren Einsatz in Unternehmen und Organisationen. Generell gesehen, müssten alle Betriebe und öffentlichen Einrichtungen einen DPO beziehen, um die Informationsfreiheit oder generell die Menschenrechte einzuhalten.
«Dies ist allerdings sehr variabel, abhängig von Grösse, Branche und Tätigkeitsgebiet eines Unternehmens», unterstreicht Katja Böttcher, Compliance-Expertin.
Unterschiedliche Verantwortung
Bisher mussten der Chef eines Kleinbetriebs oder Verwaltungsorgane durchgehend für Verletzungen der Sorgfaltspflicht haften. In letzter Zeit spricht man auch von dritten «faktischen Organen» wie outgesourcten Controllern, oder IT- respektive Data Security Officern, die streng haftbar gemacht werden sollen. Müssen nun Schweizer KMU mit strengeren strafrechtlichen Konsequenzen rechnen?
«Die verantwortlichen Organe respektive Funktionen haben die Aufgabe, Unternehmensrisiken bestmöglich zu begegnen, das Haftungsrisiko für das Unternehmen und schliesslich für die handelnden Personen zu minimieren», erklärt die Juristin. Sie relativiert: «Sicher wird ein Data Officer da notwendig, wo eine Datenschutzverletzung oder Datensicherheit als relevantes Unternehmensrisiko eingestuft wurde. Ein lokal tätiges KMU, das als Zulieferer von Ersatzteilen dient, braucht wahrscheinlich keinen speziellen Data Officer, hingegen ein Anbieter einer Wirtschaftsdatenbank schon.»
Buchhalter ohne Leitungsfunktion oder entsprechende Verantwortung können allenfalls ihre arbeitsrechtliche Sorgfaltspflicht verletzen, wenn sie sich nicht an die vorgegebenen Arbeitsabläufe, Reglemente oder direkten Anweisungen halten. Dasselbe gilt natürlich auch für die involvierten Informatikmitarbeiter (Haftung für Geschäftsführung: Art. 754 OR, Arbeitnehmerhaftung: Art. 321e OR).
Ein DPO soll daher jedoch nie als «einzige Instanz» für Datenschutz innerhalb einer Organisation angesehen werden. Der DPO muss einem Unternehmen oder einer Organisation helfen, übergreifenden Datenschutz zu betreiben und den gesetzlichen Verpflichtungen nachzukommen – auch hinsichtlich der Achtung der Privatsphäre von Mitarbeitenden.
Gesetzliche Leitlinien
Könnten laut GDPR auch kleinere, öffentliche Organisationen – zum Beispiel Gemeinden oder staatliche Schulen – unter der gesetzlichen Pflicht stehen, einen DPO zu entlöhnen? Typischerweise sammeln und verarbeiten Schweizer Gemeinden und auch Schulen keine Daten, die unter das GDPR fallen. Öffentlich-rechtliche Institutionen der Schweiz unterliegen bereits strengen Datenschutzrichtlinien und werden vom eidgenössischen oder kantonalen Datenschützer beaufsichtigt.
Die europäische Richtlinie ist insofern nur für solche Organisationen zwingend, deren Kerntätigkeiten eine «regelmässige und systematische Überwachung von Daten in grossem Massstab» beinhalten oder deren Aktivitäten die Verarbeitung von besonders sensiblen Daten beinhalten – zum Beispiel Daten, die sich auf ethnische Herkunft, religiöse Überzeugungen, Gesundheit, Sexualleben oder strafrechtliche Verurteilungen beziehen.
Die GDPR hat Auswirkungen auf die Schweiz und ist anwendbar auf diejenigen Unternehmen, die Kunden- und Personendaten aus dem EU-Raum sammeln und verarbeiten, respektive die aus der EU erreichbar sind (z. B. Homepage, die nicht-anonymisierte Auswertungen von Besuchern erstellt). Diese Betriebe müssen die Richtlinien einhalten und unter Umständen einen DPO bestimmen.
Gewisse und teilweise hilfreiche Leitlinien wurden von der Artikel-29-Arbeitsgruppe, einer Gruppe von Vertretern von Datenschutzbehörden der gesamten EU, erstellt. Die GDPR beschreibt Strukturen (Qualitäten und Pflichten) eines DPO. Unter anderem sind folgende Qualifikationen erforderlich:
- Möglichkeit von «unabhängigem» Handeln.
- Unabhängigkeit von Anweisungen des Arbeitgebers.
- Kenntnis des Datenschutzrechts.
- Ausreichende Ressourcen zur Erfüllung der Aufgaben.
- Bericht direkt an die höchste Management-Ebene.
Gemäss Artikel 29 der Leitlinien darf zusätzlich zur Qualifikation ein DPO keinen Interessenkonflikt evozieren. Einige Unternehmenspositionen sind jedoch mit DPO-Aufgaben nicht vereinbar, darunter fallen beispielsweise der CEO, CFO, aber auch Marketingleiter, HR- oder IT-Beauftragte.
Weitere sinnvolle Leitpunkte erklären beispielsweise, dass kritische «Kernaktivitäten» nicht die Verarbeitung von Personalinformationen innerhalb einer Personalabteilung betreffen – jegliche gegenteilige Ansicht würde dazu führen, dass jedes Unternehmen respektive jede Betriebsabteilung einen DPO benötigen würde.
Weitere Informationen zur Revision des Datenschutzgesetzes:
*Katja Böttcher ist seit 2015 bei LALIVE als Legal Project Manager tätig und für die Koordination von grossen Rechts- und Compliance-Projekten der Kanzlei verantwortlich. Sie verfügt über langjährige Erfahrung im Bereich von internationalen Strafuntersuchungen und forensischen Ermittlungen. Vor ihrer Tätigkeit bei LALIVE arbeitete sie als Kommissariatsleiterin bei der Schweizerischen Bundeskriminalpolizei und leitete ein Finanzermittlungs-Kommissariat in der Zweigstelle Zürich.Datenschutz-Beauftragter oder -Vertreter?
Die Datenschutzrichtlinien
Die strengeren Datenschutzrichtlinien der EU sind eine weitere Aufgabe, die von den entsprechenden Compliance-Funktionen berücksichtigt werden müssen. Für Unternehmen, die nicht in der Europäischen Union niedergelassen sind, aber auf welche die EU-DSGVO infolge der Ausrichtung ihrer Tätigkeit Anwendung findet, besteht in der Regel die Pflicht, einen Datenschutzvertreter zu ernennen.
In Anbetracht der bereits bestehenden strengen Schweizerischen Datenschutzrichtlinien (DSG) sollte die Umstellung allerdings nicht fundamental sein. Je nach Unternehmen braucht es nicht gleich einen spezialisierten Datenschutzbeauftragten; gut tun Unternehmen trotzdem daran, einen Datenschutzvertreter zu bestimmen. Hauptfunktion desselben ist es, den Aufsichtsbehörden eine faktische Zugriffsmöglichkeit auf den Datenverarbeiter innerhalb der EU zu ermöglichen. (mm)