Untitled Document

Mandantenbrief

Das neue EU-Datenschutzrecht und seine Auswirkungen auf die Unternehmenspraxis in der Schweiz und in Deutschland


Das Wort „Industrie 4.0“ ist in aller Munde und viele Unternehmen stecken mitten in den Projekten zur weiteren Digitalisierung ihrer Produktionsprozesse, um am Markt noch effizienter auftreten zu können. Neue IT-Projekte und Betriebsabläufe, welche die Bearbeitung von Kunden- und Mitarbeiterdaten zum Inhalt haben, müssen aber auch datenschutzkonform geplant, implementiert und betrieben werden. Zwar bemühen sich Firmen um die Einhaltung der technischen Datensicherheit. Bei den datenschutzrechtlichen und organisatorischen Vorkehrungen, die für die Gewährleistung der Datenschutzkonformität ebenso nötig sind, hapert es jedoch häufig. Dies zeigt sich vor allem in der Datenpflege, der systematischen Erfassung, Auswertung und Nutzung von Kundendaten. Insbesondere bei der grenzüberschreitenden Datenübertragung von Kunden- und Mitarbeiterdaten gilt es, die datenschutzrechtlichen Bestimmungen im jeweils anderen Land zu beachten, um bei Datenschutzverletzungen nicht mit rechtlichen Sanktionen und hohen Bussgeldern belastet zu werden.

Auf internationaler Ebene wird dem Datenschutz immer grössere Beachtung geschenkt. So hat die Europäische Union am 27. April 2016 ihre Datenschutzgesetzgebung revidiert. Neben der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts gilt aus Sicht der Wirtschaft besonderes Augenmerk der Verordnung Europäischen Datenschutzgrundverordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (DSGVO).

In der Schweiz hat der Bundesrat an seiner Sitzung vom 21. Dezember 2016 den Vorentwurf zu einer Totalrevision des Datenschutzgesetzes (DSG) in die Vernehmlassung geschickt. Die Revision soll durch eine Annäherung der Schweizer Gesetzgebung an die VO 2016/679 die Voraussetzungen dafür schaffen, dass insbesondere die grenzüberschreitende Datenübermittlung weiterhin möglich bleibt. Damit soll sichergestellt werden, dass die Europäische Kommission der Schweiz in einem Angemessenheitsbeschluss weiterhin bestätigt, dass die schweizerische Gesetzgebung einem angemessenen Datenschutzniveau entspricht. Dieser Angemessenheitsbeschluss ist insbesondere für die Schweizer Wirtschaft von zentraler Bedeutung.

Auch in der Bundesrepublik Deutschland ist es erforderlich, das bisherige Bundesdatenschutzgesetz zu revidieren, um ein reibungsloses Zusammenspiel der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 mit dem stark ausdifferenzierten deutschen Datenschutzrecht sicherzustellen.

EU-Datenschutz-Grundverordnung (DSGVO)

Nach der Annahme der Europäischen Datenschutzgrundverordnung (DSGVO) durch den Europäischen Rat hat auch das Europäische Parlament seine Zustimmung gegeben. Die DSGVO wurde am 4. Mai 2016 im Amtsblatt der EU publiziert. Die DSGVO gilt ab 25. Mai 2018.

Grundsätzlich gilt die DSGVO für Datenbearbeitungen durch Unternehmen oder Niederlassungen mit Sitz in der EU. Das neue EU-Datenschutzrecht wird sich aber auch auf viele Schweizer Firmen auswirken. Einerseits dann, wenn sie in der EU Handel betreiben oder mit Firmen in Europa Personendaten austauschen. Andererseits sieht die EU-Datenschutzverordnung auch eine räumliche Ausdehnung des europäischen Datenschutzrechts auf Nicht-EU-Länder vor. Die europäische Verordnung soll selbst dann gelten, wenn ausländische Firmen ohne EU-Niederlassung Daten von EU-Bürgern verarbeiten, um diesen in der EU Waren oder Dienstleistungen anzubieten, oder wenn die Datenverarbeitung der Beobachtung von Unionsbürgern dient. Firmen, die in der Schweiz Daten von europäischen Kunden bearbeiten, müssen daher künftig – neben dem schweizerischen Datenschutzrecht – auch die EU-Datenschutzverordnung einhalten, selbst wenn sie in der EU keine Präsenz haben.

Die Verordnung (EU) 2016/679 regelt hauptsächlich den Schutz von Daten, die im Rahmen des Binnenmarkts bearbeitet werden, doch sie gilt auch für den öffentlichen Sektor. Sie enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten (Art. 1).

Rechte der betroffenen Person

Im Vergleich zur früheren Richtlinie 95/46/EG wurden diese Rechte ausgebaut. So gewährleistet die Verordnung (EU) 2016/679 den betroffenen Personen ein besseres Auskunftsrecht in Bezug auf sie betreffende Daten (Art. 12 bis 15). Darüber hinaus besteht für die betroffenen Personen ein Recht auf Berichtigung (Art. 16), ein Recht auf Löschung (Art. 17) – das auch als «Recht auf Vergessen werden» bezeichnet wird – sowie ein Recht auf Einschränkung der Verarbeitung (Art. 18). Die betroffenen Personen haben auch das Recht, die sie betreffenden Daten von einem Dienstleistungserbringer zu einem anderen zu übermitteln (Datenportabilität, Art. 20). Schliesslich haben sie das Recht, Widerspruch gegen eine Datenverarbeitung einzulegen, insbesondere wenn diese dem Profiling dient (Art. 21), und Anspruch darauf, nicht einer auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden (Art. 22).

Pflichten des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters

In der Verordnung wird der Grundsatz des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen festgehalten (Art. 25). Definiert werden die Bedingungen für Auftragsverarbeiter (Art. 28 und 29). Die für die Verarbeitung Verantwortlichen sind in bestimmten Fällen verpflichtet, Verletzungen des Schutzes personenbezogener Daten der Aufsichtsbehörde und den betroffenen Person zu melden (Art. 33 und 34). Ausserdem müssen die für die Verarbeitung Verantwortlichen bei bestimmten Formen der Verarbeitung vorab eine Datenschutz-Folgenabschätzung durchführen (Art. 35) und gegebenenfalls die Aufsichtsbehörde konsultieren (Art. 36). Im Weiteren müssen Behörden und öffentliche Stellen sowie Unternehmen, die Datenverarbeitungen mit besonderen Risiken durchführen, einen Datenschutzbeauftragten benennen (Art. 37 bis 39). Schliesslich müssen die Mitgliedstaaten der Europäischen Union die Ausarbeitung von Verhaltensregeln fördern, die zur ordnungsgemässen Anwendung der EU-Verordnung 2016/679 beitragen (Art. 40 und 41), und datenschutzspezifische Zertifizierungsverfahren einführen (Art. 42 und 43).

Übermittlung personenbezogener Daten in Drittländer

Kapitel V der Verordnung (EU) 2016/679 regelt die Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen. Die Europäische Kommission muss das Schutzniveau prüfen, das ein Gebiet oder ein Sektor in einem Drittland bietet (Art. 45). Liegt kein Beschluss der Kommission vor, wonach in einem Gebiet oder in einem Sektor ein angemessenes Schutzniveau gewährleistet ist, kann die Datenübermittlung trotzdem durchgeführt werden, sofern geeignete Garantien vorliegen (Art. 46), verbindliche interne Datenschutzvorschriften erlassen wurden (Art. 47) oder eine Ausnahme für einen bestimmten Fall anwendbar ist (Art. 49).

Aufsichtsbehörden und Verfahren der kohärenten Anwendung der Verordnung in der EU

Die EU-Mitgliedstaaten können eine oder mehrere Aufsichtsbehörden einsetzen, die den Auftrag haben, die Anwendung der Verordnung (EU) 2016/679 zu überwachen. Jede Aufsichtsbehörde muss über bestimmte Untersuchungsbefugnisse verfügen (Art. 58 Abs. 1). Ausserdem stehen ihr sämtliche Abhilfebefugnisse zu, die in der Verordnung (EU) 2016/679 (Abs. 2) aufgeführt sind.

Es sind Verfahren vorgesehen, mit denen in der ganzen Europäischen Union eine kohärente Anwendung des Datenschutzgesetzes gewährleistet werden soll. Insbesondere bei grenzüberschreitenden Fällen, in die mehrere nationale Aufsichtsbehörden involviert sind, wird ein einziger Aufsichtsbeschluss getroffen. Dank diesem Grundsatz, der auch als «Verfahren der Zusammenarbeit und Kohärenz» bezeichnet wird, muss sich ein Unternehmen, das über Niederlassungen in mehreren Mitgliedstaaten verfügt, nur mit der Aufsichtsbehörde des Mitgliedstaates auseinandersetzen, in dem es seinen Hauptsitz hat. Diese Behörde wird mit dem Begriff «federführende Aufsichtsbehörde» bezeichnet (Art. 56). Die Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden ist in Artikel 60 geregelt. Diese bemühen sich, einen Konsens zum Beschlussentwurf zu erzielen, der von der federführenden Aufsichtsbehörde erarbeitet wird. Zusätzlich sind auch die gegenseitige Amtshilfe zwischen den Aufsichtsbehörden (Art. 61) und gemeinsame Massnahmen der Aufsichtsbehörden (Art. 62) vorgesehen.

Rechtsbehelfe, Haftung und Sanktionen

In Artikel 77 der Verordnung ist festgehalten, dass die betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde hat. Gemäss Artikel 78 hat die betroffene Person auch das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Entscheid einer Aufsichtsbehörde. In Artikel 80 ist das Recht der betroffenen Personen vorgesehen, sich unter bestimmten Bedingungen vertreten zu lassen. In Artikel 83 sind Voraussetzungen festgehalten, nach denen die Aufsichtsbehörde Geldbussen verhängen kann.

Gemäss EU-Datenschutzverordnung müssen Unternehmen bei bestimmten Verstössen gegen die DGSVO künftig für Datenschutzverletzungen bis zu 4 Prozent ihres weltweiten Jahresumsatzes oder bis 20 Millionen Euro an die datenschutzrechtlichen Aufsichtsbehörden abliefern, je nachdem welcher der Beiträge höher ist. Abgesehen von der Busse, kann jede Person, die wegen einer Datenschutzverletzung Schaden erlitten hat, vom verantwortlichen Unternehmen Schadenersatz verlangen.

Revision des Datenschutzrechts in der Schweiz

Mit der Revision will der Bundesrat neben der Sicherung der grenzüberschreitenden Datenübermittlung insbesondere die Transparenz von Datenbearbeitungen erhöhen und die Selbstbestimmung der betroffenen Personen über ihre Daten stärken. Dazu sollen die Informationspflichten der Organe, die für die Datenverarbeitung verantwortlich sind, ausgeweitet werden.

Ergänzend dazu soll das Auskunftsrecht der betroffenen Personen präzisiert werden. Dabei steht die Selbstregulierung im Vordergrund: Der Vorentwurf sieht vor, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Empfehlungen der Guten Praxis erlässt oder genehmigt, welche die Datenschutzvorschriften konkretisieren. Ferner sollen die Aufsichtskompetenzen des EDÖB gestärkt werden. Dieser soll beispielsweise die Befugnis erhalten, Verstösse gegen die Datenschutzvorschriften zu untersuchen und entsprechende Verfügungen zu erlassen. Zudem sollen die Strafbestimmungen im Gesetz verschärft werden.

Die Revision soll die Voraussetzungen schaffen, damit die Schweiz die Anforderungen der EU-Richtlinie zum Datenschutz erfüllen und die revidierte Europaratskonvention zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten ratifizieren kann. Diese Anpassungen sind zentral, damit die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt und die grenzüberschreitende Datenübermittlung auch künftig möglich bleibt.

Die Vernehmlassung zum Gesetzesprojekt, das die Revision des Datenschutzgesetzes, den Bundesbeschluss betreffend die Übernahme der EU-Richtlinie sowie die Modernisierung der Datenschutzkonvention des Europarates in einer Vorlage vereint, dauert bis 4. April 2017. Im Einzelnen ist vorgesehen:

  • Erweiterte Informationspflichten und Auskunftsrechte über eigene Daten sowie ein kostenloses Klagerecht für Personen, deren Daten genutzt oder bearbeitet werden. Das Recht auf die Löschung von personenbezogenen Daten wird neu explizit verankert.
  • Erweiterte Rechte bei automatisierter Datenbearbeitung, darunter eine Pflicht des Datenbearbeiters, Betroffene zum automatisierten Entscheid oder den bearbeiteten Daten anzuhören.
  • In der Verantwortung steht nicht mehr nur der „Inhaber einer Datensammlung“, wie es im heutigen Gesetz formuliert ist, sondern sämtliche Bundesorgane oder private Personen (auch juristische), die über den Zweck, die Mittel und den Umfang einer Datenbearbeitung entscheiden. Sie werden neu als „Verantwortliche“ bezeichnet.
  • Verpflichtung der Unternehmen zur Vornahme einer Datenschutz-Folgeabschätzung.
  • Pflicht zur Meldung von Verletzungen des Datenschutzgesetzes oder Datenverlusts an den EDOB.
  • Verschärfung der Strafbestimmungen. Die maximale Busse bei einem Verstoss gegen das Gesetz von heute 10000,-- wird auf 500 000,-- Fr. erhöht.

Einerseits ist an dem Entwurf zu begrüssen, dass er eine EU-konforme Umsetzung der DSGVO ermöglicht, damit Dienstleister mit Kunden in der EU weiterhin tätig sein können. Anderseits besteht die Gefahr der Überregulierung. Um den Marktzutritt in die EU zu sichern, muss das Gesetz bis Sommer 2018 unter Dach und Fach sein.

Revision des deutschen Bundesdatenschutzgesetzes (BDSG)

Am 23.11.2016 hat das deutsche Bundesministerium des Inneren einen Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 vorgelegt. Um ein reibungsloses Zusammenspiel der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 mit dem stark ausdifferenzierten deutschen Datenschutzrecht sicherzustellen, ist es erforderlich, das bisherige Bundesdatenschutzgesetz durch ein neues Bundesdatenschutzgesetz abzulösen. Im Einzelnen sind folgende Änderungen vorgesehen:

  • § 24 BDSG-E regelt den künftigen Beschäftigtendatenschutz. Die Vorschrift entspricht weitgehend dem bisherigen § 32 BDSG. Hier stellt sich die Frage, ob diese Regelung den Anforderungen des Art. 88 Abs. 2 DSGVO entspricht. Zudem enthält § 24 Abs. 3 DSGVO eine gesetzliche Definition des Begriffs des Beschäftigten.
  • Der Entwurf sieht Spezialregelungen für Datenverarbeitungen zu wissenschaftlichen oder historischen Forschungszwecken vor (§ 25 BDSG-E), für Geheimhaltungspflichten unterliegenden Daten (§ 26 BDSG-E), für Übermittlungen an Auskunfteien (§ 27 BDSG-E), für Scorings (§ 28 BDSG-E), für Verbraucherkredite (§ 29 BDSG-E).
  • § 30 und § 31 BDSG-E sollen die Informationsrechte nach Art. 13. und 14 DSGVO einschränken. Insbesondere sollen Unterrichtungspflichten nach Art. 13 DSGVO entfallen, sofern dies „einen unverhältnismässigen Aufwand erfordern würde“ oder „voraussichtlich die Verwirklichung der Ziele der Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen würde und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss„. Auch §§ 32 bis 35 BDSG-E schränken die Betroffenenrechte nach Art. 14 ff. DSGVO weiter ein.
  • § 36 BDSG-E sieht vor, dass Unternehmen einen Datenschutzbeauftragten (DSB) benennen müssen, falls sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen. Unternehmen müssen auch dann einen DSB benennen, wenn sie (risikobehaftete) Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Die Bestellpflicht gilt auch, wenn sie personenbezogene Daten geschäftsmässig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten. Diese Regelung ist zweckmässig und schafft Rechtssicherheit für DSB und Unternehmen mit Niederlassungen in Deutschland.
  • § 40 BDSG-E sieht eine Obergrenze von EUR 300.000 für Bussgelder vor, wenn jemand „in Ausübung seiner Tätigkeit für den Verantwortlichen oder Auftragsverarbeiter“ einen der in Art. 83 Abs. 4, 5 oder Abs. 6 DSGVO genannten Verstösse begeht. Auch hier dürfte fraglich sein, ob diese Regelung mit der in Art. 83 Abs. 1 DSGVO angeordneten Vorgabe vereinbar ist, dass Bussgelder „wirksam und abschreckend“ sein müssen. Zudem hilft die Regelung Vorständen oder Geschäftsführern nur bedingt, wenn Datenschutzverstösse in ihren Verantwortungsbereich fallen. Denn dann sehen sie sich Regressansprüchen des Unternehmens ausgesetzt, für das die hohen, am Umsatz orientierten Bussgelder der DSGVO Anwendung finden können. Da es hier in der Regel um vorsätzliche Handlungen geht, treten D&O-Versicherungen normalerweise nicht ein, da diese Versicherungen vorsätzliche Taten zumeist nicht abdecken.
  • § 41 BDSG-E regelt die Strafbarkeit von Datenschutzverstössen. Die Vorschrift entspricht im Wesentlichen dem bisherigen § 44 BDSG. Begeht jemand eine Handlung nach Art. 83 Abs. 5 DSGVO „vorsätzlich gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen„, so macht er sich strafbar. Verstösse gegen § 41 BDSG-E sollen mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe geahndet werden. Verstösst jemand in gleicher Weise „nur“ gegen die mit Bussgeldern von bis zu EUR 10 Millionen (bzw. Bis zu 2 Prozent des Umsatzes) bewehrten Vorgaben von Art. 83 Abs. 4 BDSG, so drohen keine Strafbarkeitsrisiken.
  • Die §§ 57 bis 72 BDSG-E regeln sonstige Pflichten für Unternehmen, die Daten in eigener Verantwortung oder im Auftrag verarbeiten. Sie regeln Themen von der Auftragsverarbeitung bis hin zur vertraulichen Meldung von Verstössen und enthalten teilweise für die Praxis durchaus relevante Abweichungen von den Vorgaben der DSGVO.
  • §§ 73 bis 76 BDSG-E enthalten Sonderregeln für die Übermittlung personenbezogener Daten an Verantwortliche in Drittstaaten.

Viele Regelungen des Regierungsentwurfes sind europarechtlich nicht unproblematisch. Auch einige wesentliche Kritikpunkte der Bundesdatenschutzbeauftragten sind nicht ausgeräumt. Damit bleibt offen, ob der Gesetzentwurf eine Mehrheit im Bundestag findet. Und gerade diese Unsicherheit stellt deutsche Unternehmen vor hohe Hürden. Denn sie müssen nun entscheiden, ob sie sich in laufenden Umsetzungsprojekten an den Vorgaben der DSGVO oder mehr an denen des BDSG-E orientieren. Bauen sie auf den Referentenentwurf des Bundesinnenministeriums, stehen sie vor großen Problemen, wenn der Entwurf den deutschen Bundestag nicht passiert. Zudem erschwert das geplante BDSG-E es Unternehmen, EU-weite Konzepte zur Umsetzung der DSGVO zu entwickeln und umzusetzen. Daher werden gerade grössere Unternehmen voraussichtlich zunächst eher an die Anforderungen der DSGVO als die des BDSG-E in ihre Planung bei DSGVO-Implementierungsprojekten einbeziehen. Es empfiehlt sich für in Deutschland tätige Unternehmen, die weitere Entwicklung der Revision des Bundesdatenschutzgesetzes genau zu beobachten.

Fazit

Ein europäischer Datenschutzpakt wird den Umgang mit persönlichen Daten auf dem gesamten Kontinent völlig neu regeln. Deshalb kann sich Datenschutzkonformität durchaus lohnen. Welche Firma möchte schon eine Busse von bis zu vier Prozent des Umsatzes an die Aufsichtsbehörden bezahlen müssen? Gut ist es daher, schon heute zu wissen, was auf Unternehmen, Behörden und Freiberufler, aber auch auf alle Privatpersonen Mitte 2018 zukommt.

Die genannten Rechtsakte stellt Ihnen Rechtsanwalt Rolf Lüpke gerne zu. Er steht Ihnen auch für Rückfragen und weiteren Informationen zur Verfügung.

Sofern Sie zukünftig Interesse an dem einmal monatlich erscheinenden Newsletter haben, können Sie sich hier anmelden.