Inhalt - DSG und EU-DSGVO

Die EU-DSGVO und das Schweizer Datenschutzgesetz

Die Rechtskommission von swissICT befasst sich seit Herbst 2016 mit rechtlichen Fragen in der digitalen Welt. Die europäische und schweizerische Datenschutzgesetzgebung waren eines der zentralen Themen. Aus Anlass der Inkraftsetzung der EU-DSGVO am 25. Mai haben wir an dieser Stelle ein Dossier mit allen wichtigen Artikeln zusammengestellt, welche die Rechtskommission seither zu diesem Thema erarbeitet und publiziert hat.

Den Schwerpunkt bildete die Stellungnahme zum Vorentwurf des revidierten schweizerischen Datenschutzgesetzes. Viele der Standpunkte wurden in der Folge im Entwurf und in der Botschaft zum revidierten Datenschutzgesetz aufgenommen. Der Hauptstreitpunkt des passenden Sanktionsystems bei Datenschutzverletzungen blieb vorläufig ungelöst.

 

FAQ's zur DSGVO

 

Die Rechtskommission hat FAQ 's zu den wichtigsten Fragen und Antworten rund um die EU-DSGVO zusammengestellt.

  • Anwendungsbereich

    Wann ist die DSGVO für Schweizer Unternehmen anwendbar?  In diesem Zusammenhang ist insbesondere Art. 3 Abs. 2 lit. a und b DSGVO anwendbar. Danach gilt folgendes: Verarbeiten Unternehmen mit Sitz in der Schweiz personenbezogene Daten im Zusammenhang mit (i) Waren und Dienstleistungen, die sie betroffenen Personen in der EU – unabhängig von Ihrer Staatsangehörigkeit - anbieten (auch unentgeltlich) oder (ii) das Verhalten von betroffenen Personen beobachten, soweit ihr Verhalten in der EU erfolgt.
    Findet die DSGVO auch auf Arbeitsverhältnisse in der Schweiz (z.B. mit Grenzgängern) Anwendung? Grundsätzlich nein; die DSGVO findet beim Angebot von Waren oder Dienstleistungen von der Schweiz in die EU Anwendung, wozu die Nachfrage von Arbeitsleistung in der EU nicht zählt. Jedoch ist denkbar, dass die DSGVO wegen Verhaltensbeobachtung in der EU zur Anwendung kommt, beispielsweise wenn die betreffenden Mitarbeitenden Bring Your Own Device einsetzen.
    Ist die DSGVO auf ein Unternehmen anwendbar, wenn dieses Google Analytics einsetzt? Antwort: Grundsätzlich nein. Eine "Verhaltensbeobachtung" setzt voraus, dass eine zeitlich und sachlich ausreichend intensive Beobachtung erfolgt. Das ist bei Google Analytics erst der Fall, wenn ein Nutzer über mehrere Websites und/oder Apps hinweg erfasst wird.
    Unterliegen Lieferanten, die EU-Niederlassungen in der Schweiz unterstützen auch der DSGVO? Wenn Daten von Kunden wie beispielsweise Schweizer Niederlassungen international tätiger Kunden in der Schweiz, aber auch in der EU verarbeitet werden (z.B. weiterverarbeitet werden), so können auch diese Datenverarbeitungen der DSGVO unterliegen.
    International tätige Unternehmen verschicken zurzeit diverse Vertragsanhänge zu Datenschutzfragen. Müssen diese unterzeichnet werden? Lieferanten, die für Kunden tätig sind, die gemäss Art. 3 DSGVO der besagten DSGVO unterliegen, unterliegen dann auch der DSGVO, wenn sie ebenfalls Personendaten für diese Kunden verarbeiten und die Verarbeitung vom Anwendungsbereich von Art. 3 DSGVO umfasst ist wie z.B. Lieferung von IT-Dienstleistungen (im Detail zu prüfen), Unterstützung im Marketing-Bereich etc. Es wird empfohlen, hier sorgfältig zu prüfen, ob die DSGVO Anwendung findet und was in den Anhängen drin steht, um interne und extern notwendige Schritte einzuleiten oder auch Änderungen der Anhänge zu verlangen. 
    Unser Unternehmen untersteht selber nicht der DSGVO, nimmt jedoch Auftragsverarbeitungen für Unternehmen vor, welche ihrerseits der DSGVO unterstehen. Wie kann ich mich vorbereiten? Kunden Ihres Unternehmens, welche der DSGVO unterstehen, sind gefordert, die Auftragsverarbeitungssituation in einem Vertrag oder einem anderen Rechtsinstrument gemäss Art. 28 Abs. 3 DSGVO zu regeln. Es kann sich für Ihr Unternehmen empfehlen, proaktiv entsprechende (Standard-)Verträge für ihre Kunden vorzusehen und anzubieten. Einerseits signalisieren Sie damit Kompetenz im Bereich Datenschutz und Datensicherheit. Zudem kann ihr Unternehmen dadurch vetragliche Spielräume, die Art. 28 DSGVO zulässt, optimal ausnützen (z.B. Beizug von Unter-Auftragsverarbeiter, Haftung, Schadloshaltung etc.). Nicht zuletzt kann ein eigeninitiatives Vorgehen Ihrem Unternehmen helfen, die Vertragssituation mit ihrer gesamten Kundenbasis möglichst einheitlich zu gestalten.
  • Datenschutzerklärungen

    Muss ich eine Datenschutzerklärung auf meiner Website haben? Ja. Man erwartet nach Art. 12 ff. DSGVO, dass jedes Unternehmen auf der Website eine Datenschutzerklärung bereitstellt, in der mindestens über die Datenbearbeitung im Zusammenhang mit der Website informiert wird. Auch weitere Themen können dort abgehandelt werden, z.B. die Datenbearbeitung von Bewerbern.
  • Verarbeitungsverzeichnis

    Was ist ein Verzeichnis von Verarbeitungstätigkeiten Das Verzeichnis von Verarbeitungstätigkeiten ist eine zentrale, (in vielen Fällen) verpflichtende, und in jedem Falle empfehlenswerte Datenschutz Dokumentation.
    Um sich selber und auskunftsberechtigten Dritten (insb. Aufsichtsbehörden und betroffenen Personen) Rechenschaft über die Einhaltung der DSGVO abzulegen (insb. über die Grundsätze der Verarbeitung [Art. 5], Rechte der betroffenen Personen [Art. 12-23] sowie im Kontext von Datenschutzverstössen [Art. 33 - 34]), ist ein fundiertes Wissen über die Verarbeitungstätigkeiten im eigenen Unternehmen Grundvoraussetzung. Die Dokumentation der Verarbeitungstätigkeiten hilft ebenfalls dabei, allfällige Lücken zu identifizieren und Umsetzungsarbeiten risikobasiert zu priorisieren.
  • Einwilligung

    Braucht ein Unternehmen immer eine Einwilligung der betroffenen Person als Voraussetzung für eine Verarbeitung personenbezogener Daten?  Nein. Anstelle einer Einwilligung kann sich ein Unternehmenh auch auf andere in Art. 6 DSGVO vorgesehene Gründe stützen, z.B. Vertragserfüllung, rechtliche Verpflichtung, berechtigte Interessen etc. Dies ist im Detail jeweils abzuklären.
    Sind Einwilligungen gewissen Formvorschriften unterworfen oder können sie auch z.B. elektronisch eingeholt werden? Wenn eine Einwilligung eingeholt werden muss (weil z.B. der Vertragszweck die Datenverarbeitung nicht genügend umfasst oder ein überwiegendes privates Interesse vorliegt), dann kann die Einwilligung elektronisch oder schriftlich etc. eingeholt werden. Wichtig ist, dass die Einwilligung nachweisbar sein muss, wenn es zu einem Streifall vor Gericht kommt. Voreinstellungen wie ein voreingestelltes Häcken bei einer Tickbox sind nicht zulässig. 
    Was bedeuten Privacy by Design und Privacy by Default? Mit Privacy by Design wird zum Ausdruck gebracht, dass Geräte und Software so gestaltet werden sollen, dass sie den Datenschutz unterstützen; beispielsweise sollte ein Wearable Device wie Google Glass gut sichtbar zum Ausdruck bringen, wann Aufnahmen erfolgen. Privacy by Default verfolgt das Ziel, das Voreinstellungen datenschutzfreundlich ausgestaltet werden; z.B. sollten bei einer Online-Registrierung für einen bestimmten Service die Voreinstellungen so gesetzt sein, dass die Daten nur für den Zweck des betreffenden Service, nicht aber weitergehend genutzt werden können.
  • Technische und organisatorische Massnahmen

    Immer wieder wird von "TOMs" gesprochen. Was sind diese und wann betrifft dies mein Unternehmen? TOM steht für "Technische und Organisatorische Massnahmen". Die DSGVO gibt in Art. 32 technische und organisatorische Massnahmen vor, mit denen die Sicherheit der Datenverarbeitung gewährleistet werden soll. Jedoch benennt sie dabei keine konkreten Handlungsanweisungen, sondern beschreibt vielmehr Datenschutzziele. Dieser Umstand trägt nicht gerade dazu bei, dass sich Unternehmen bei der Umsetzung der TOMs DSGVO rechtlich auf der sicheren Seite wissen. Ausserdem legt die DSGVO es in Ihr eigenes Ermessen, welche und wie viele technische und organisatorische Massnahmen Sie treffen.
    Die getroffenen Massnahmen sind sodann aber konkret zu bestimmen und zu bezeichnen; pauschale Aussagen und Wiederholungen der gesetzlichen Vorschriften genügen hierfür nicht. Dies gilt insbesondere für Auftragsdatenverarbeiter.
  • Werbe-E-Mails

    Muss ich für Werbe-E-Mails und Newsletter eine Einwilligung einholen? Ja. Das ergibt sich zwar nicht aus der DSGVO bzw. dem schweizerischen DSG; es gilt aber nach lauterkeitsrechtlichen Vorschriften. Nur in Ausnahmefällen ist eine Einwilligung nicht erforderlich. Das ist in der Praxis aber selten anwendbar. Die Einwilligung muss zudem freiwillig und eindeutig sein. Es braucht daher ein Opt-In, z.B. über eine Checkbox, die nicht vorangekreuzt ist. 
  • Auskunftsbegehren

    Hat jede natürliche Person das Recht, ein Auskunftsbegehren i.S. 15 DSGVO von Art. zu stellen? Ja, jeder natürlichen Person steht gegenüber dem Verantwortlichen das Recht zu, Auskunft zu verlangen, welche Daten über sie / ihn gespeichert sind.
  • Datenschutz-Folgeabschätzung

    Was ist eine Datenschutz-Folgeabschätzung? Bei der Datenschutz-Folgeabschätzung handelt es sich um ein Instrument der Risiko-Minimierung: Sollen Produkte oder Dienstleistungen implementiert werden, die eine grosse Auswirkung haben auf die Rechte und Freiheiten von natürlichen Personen, so muss eine Datenschutz-Folgeabschätzung nach Art. 35f. DSGVO durchgeführt und vor allem dokumentiert werden. Auch wenn nach ersten Abklärungen keine Datenschutz-Folgeabschätzung durchgeführt wird, weil nach ersten Erkenntnissen nicht notwendig, so sind diese Schritte zu dokumentieren. 
  • Datenschutz in der Schweiz und der EU

    Unser Unternehmen hält den Datenschutz nach geltendem Schweizer Recht (Datenschutzgesetz; DSG) ein – sind wir damit auch unter der DSGVO compliant? Soweit die DSGVO auf Ihr Unternehmen Anwendung findet, dürfte dies nicht der Fall sein. Die DSGVO geht in verschiedenen Bereichen wesentlich über das DSG hinaus. Beispielsweise verlangt die DSGVO, dass Datenschutzverstösse (Data Breaches) innerhalb von 72 Stunden gemeldet werde
    Unser Unternehmen hält den Datenschutz nach der DSGVO ein  - wird es damit auch unter dem neuen Schweizer DSG compliant sein? Aller Voraussicht nach ja. Es gibt zwar wenige Punkte, in denen der aktuelle Entwurf des DSG über die DSGVO hinausgeht; es ist aber damit zu rechnen, dass diese Punkte noch angepasst werden.
    Wird der EDÖB die DSGVO auch in der Schweiz umsetzen?  Nein, hierfür muss der ordentliche Amts- und Rechtshilfeweg beschritten werden.
  • Versicherung

    Können Risiken von Datenschutzverletzungen versichert werden?  Es sind Versicherungsprodukte vorhanden, die einen Teil der Datenschutzrisiken vor allem im Sicherheitstechnischen Bereich abdecken. Ohne entsprechende interne Vorkehrungen wie Verschlüsselung oder auch andere technische oder organisatorische Massnahmen können Versicherungen die Übernahme von Risiken aber verweigern. Es ist deshalb ratsam, die Versicherungsbedingungen genau zu prüfen, bevor diese Versicherungen abgeschlossen werden. Ohne interne Umsetzungen ist aber u.U. auch die Versicherungsdeckung nicht gegeben. 

Rechtskommission

Photo of Isabella  Balmer
Balmer Isabella
General Counsel isabella.balmer@rud.uzh.ch
Photo of Carmen  De La Cruz
De La Cruz Carmen
Rechtsanwältin / Partnerin

delacruz@delacruzberanek.com

Skype: techlaw11CH

Photo of Matthias  Ebneter
Ebneter Matthias
Head of Legal matthias.ebneter@sap.com
Photo of Alexander  Hofmann
Hofmann Alexander
Rechtsanwalt / Partner alexander.hofmann@lauxlawyers.ch
Photo of Andreas  Leukart
Leukart Andreas

Advokat, Recht & Corporate Functions
IWB Industrielle Werke Basel

Andreas.Leukart@iwb.ch
Photo of Roland  Mathys
Mathys Roland
Rechtsanwalt / Partner

roland.mathys@swlegal.ch

Skype: mathysroland

Photo of Martin  Pauli-Burckhardt
Pauli-Burckhardt Martin
Head Outsourcing Legal & Data Privacy

martin.pauliburckhardt@juliusbaer.com

Skype: martin.f.pauli

Photo of Andreas  Schmid
Schmid Andreas
Senior Legal Counsel andreas.schmid4@swisscom.com
Photo of David  Vasella
Vasella David
Rechtsanwalt / Senior Associate david.vasella@walderwyss.com