ICT & Technik

Datenschutz

Die Relevanz der EU-Datenschutz-Grundverordnung

Zahlreiche Schweizer Unternehmen sind immer dann betroffen, wenn sich EU-weit etwas tut. Dies gilt besonders für Aktionen ab dem 25. Mai 2018: Dann nämlich wird die neue Datenschutz-Grundverordnung (DS-GVO) für alle Mitgliedsstaaten der Europäischen Union gültig.
PDF Kaufen

Die neue Datenschutz-Grundverordnung (DS-GVO) regelt den einheitlichen Schutz für den Umgang mit personenbezogenen Daten in der EU. Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen sich, ausgehend vom Anwendungsbereich, an die Regelungen der Datenschutz-Grundverordnung halten. Dies gilt für Unternehmen mit Sitz ausserhalb der EU und somit auch für solche in der Schweiz – sobald sie Daten von EU-Bürgern verarbeiten oder als Auftragsverarbeiter in Vertragsbeziehungen zu EU-Unternehmen stehen.

 

Das Marktortprinzip

Gemäss Art. 3 Abs. 2 der Datenschutz-Grundverordnung (Räumlicher Anwendungsbereich) findet die Verordnung Anwendung, sobald ein nicht in der Union niedergelassener Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten von betroffenen Personen, die sich in der Union befinden, verarbeitet. Man spricht hier vom sogenannten «Marktortprinzip». Davon betroffen sind somit unter anderem Betreiber von Online-Portalen, Versandhändler, Exporteure sowie jegliche Dienstleister, die Leistungen in der EU anbieten und dabei personenbezogene Daten verarbeiten.

Die Schweiz gilt als sicheres Drittland im Sinne der Datenschutzrichtlinie 95/46/EG. Nach EU-Kriterien bietet die Schweiz ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten von der EU in die Schweiz.

Um auch zukünftig nach Artikel 45 der Datenschutz-Grundverordnung (Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses) über ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten nach EU-Kriterien zu verfügen, hat die Schweiz bereits Ende 2016 eine Revision des eigenen Datenschutzgesetzes (DSG) beschlossen. Einige Parallelen zwischen der Datenschutz-Grundverordnung und dem Datenschutzgesetz, wie etwa im Bereich des sogenannten Verzeichnisses der Be­ar­bei­tungstätigkeiten oder der Datenschutz-Folgenabschätzung, sind vorhanden. Die für September diesen Jahres geplante Neuerung folgt der Zielsetzung, das Schweizer Datenschutzniveau dem der EU anzugleichen.


Die Dokumentationspflicht

Bereits heute ist der Verantwortliche und der Auftragsbearbeiter laut Artikel 19 des Datenschutzgesetzes verpflichtet, seine Datenbearbeitungsvorgänge an das Register zu melden. Welche Angaben zukünftig dokumentiert werden müssen, sieht das Datenschutzgesetz in seiner jetzigen Form im Gegensatz zur Datenschutz-Grundverordnung der Europäischen Union nicht vor: Die Dokumentation muss jedoch so ausgestaltet sein, dass der Verantwortliche und der Auftragsbearbeiter ihren Informations- und Meldepflichten nachkommen können. Die bis dahin übliche Meldung an das Register soll zukünftig entfallen (Ausnahme: Bundesorgane). Die Dokumentationspflicht gilt länderübergreifend als zentrales Element zur Verwirklichung einer transparenten Datenbearbeitung. So muss zum Beispiel dem Auskunftsersuchen eines Betroffenen gemäss Art. 20 des Vorentwurfs des Datenschutzgesetzes jederzeit nachgekommen werden können. Und der Verstoss gegen die Dokumentationspflicht wird sanktioniert (gemäss Art. 51 Bst. F im Vorentwurf des Datenschutzgesetzes unter Verletzung der Sorgfaltspflichten).

Verzeichnispflicht

Damit personenbezogene Daten durch den Verantwortlichen und den Auftragsbearbeiter wirkungsvoll geschützt werden können, muss ermittelt werden, in welchen Fällen personenbezogene Daten – beispielsweise von Mitarbeitern, Bewerbern, Kunden, Lieferanten, etc. – erhoben, bearbeitet und genutzt werden. Im ersten Schritt ist dafür eine Listung aller Systeme, Tools und Verfahren, in welchen und bei denen personenbezogene Daten auto­matisiert und/oder nicht automatisiert bearbeitet und gespeichert werden, zu erstellen. Die Verantwortlichen und Auftragsbearbeiter werden darüber hinaus verpflichtet, ein Verzeichnis ihrer Bearbeitungstätigkeiten zu führen. Das Verzeichnis des Verantwortlichen muss gemäss Art. 11 Abs. 2 mindestens nachstehende Angaben enthalten:

  • Die Identität des Verantwortlichen,
  • den Bearbeitungszweck,
  • eine Beschreibung der Kategorien betroffener Personen und die Kategorien bearbeiteter Personendaten.
  • Die Kategorien der Empfängerinnen und Empfänger,
  • wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer.
  • Wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Art. 7 und,
  • falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Art. 13.


Übersicht schafft Klarheit

Wie das Verzeichnis der Bearbeitungstätigkeiten im Detail gestaltet und durchgeführt werden soll, dazu liefert der vorliegende Gesetzesentwurf keine konkreten Vorgaben. Im Rahmen der Dokumentationspflichten sind jedoch entsprechende Informationen vorzuhalten, um zum Beispiel im Fall des Auskunftsersuchens der betroffenen Person den Informationspflichten nachkommen zu können.

Des Weiteren ist der Verantwortliche verpflichtet, die betroffene Person zu in­formieren, wenn die Bearbeitung einem Auftragsbearbeiter übertragen wird. In diesem Zug muss der Verantwortliche der betroffenen Person ebenso die Daten oder Kategorien von Daten mitteilen, die bearbeitet werden. Darüber hinaus stiftet eine Übersicht der Bearbeitungstätigkeiten im Hinblick auf die Einhaltung des Datenschutzes vielfachen Nutzen. So werden Datenflüsse im Unternehmen ermittelt und definiert. Die Übersicht dient darüber hinaus als Grundlage für die Erfüllung der Betrof­fenenrechte (Art. 20), für die Erstellung des Lösch- und Aufbewahrungskonzepts (Art. 17) oder ebenso als Informationsgeber für die Meldung von Verletzungen des Datenschutzes (Art. 17). Ausserdem verlangt das Marktortprinzip aus der Datenschutz-Grundverordnung zwingend nach einer Erstellung des Verzeichnisses der Verarbeitungstätigkeiten gemäss Art. 30 der Datenschutz-Grundverordnung (Accountability) für einen nicht in der Union niedergelassenen Verantwortlichen.

Im Rahmen einer Auftragsverarbeitung mit einem EU-Auftraggeber (Controller) hat der Schweizer Auftragnehmer (Prozessor) ein Verzeichnis von Verarbeitungstätigkeiten gemäss Art. 30 Abs. 2 DS-GVO zu führen. In dieser Übersicht sind alle durchgeführten Tätigkeiten der Verarbeitungen im Auftrag eines Verantwortlichen (Controller) zu dokumentieren. Der Auftragnehmer hat zusätzlich auch im notwendigen Umfang bei der Erstellung des Verarbeitungsverzeichnisses mitzuwirken und den Auftraggeber dabei zu unterstützen. Spätestens auf Anfrage beziehungsweise im Rahmen von Kontrollen durch den Auftraggeber ist diese Dokumentation vorzulegen.


Ausblick

Wahrscheinlich gibt es vor der Verabschiedung des neuen Schweizer Datenschutzgesetzes (geplant für September 2018) noch die eine oder andere Anpassung. Für Schweizer Unternehmen mit Geschäftsbeziehungen in die EU empfiehlt es sich – unabhängig von der zentralen Bedeutung innerhalb der beiden Gesetze – mit der geforderten Dokumentation zu beginnen. Ein Unternehmen, welches sich an die neue EU-Datenschutz-Grundverordnung hält, kann auch in der Schweiz beruhigt sein. Die Datenschutz-Grundverordnung reicht völlig aus, um auch die persönliche Integrität eines Schweizer Bürgers zu schützen.

Porträt