Recht

Digitalisierung (Teil 1 von 3)

Digitale Transformation und Datenschutz-Compliance

Die Datenschutz-Compliance spielt im Zusammenhang mit der «digitalen Transformation» eine immer wichtigere Rolle. Auch Unternehmen, die bisher kaum Berührungspunkte mit dem Datenschutz hatten, müssen mit neuen Pflichten rechnen.
PDF Kaufen

Die «digitale Transformation» ist nicht nur ein Schlagwort der Stunde, sondern sie ist eine Tatsache, die zu gewaltigen Umwälzungen und Neuausrichtungen führt. Davon betroffen sind insbesondere auch die Unternehmen und deren Führungspersonal. So rücken durch die neuen Umstände vormals eher stiefmütterlich behandelte Verantwortungsfelder in das Blickfeld umsichtiger Führung und die Datenschutz-Compliance spielt im Zusammenhang mit der «digitalen Transformation» eine immer gewichtigere Rolle.

Unternehmen, die vormals kaum Berührung mit dem Datenschutz hatten oder vermeinten, keinen zu haben, nehmen durch den Einsatz digitaler Hilfsmittel, die (bewusste oder unbewusste) Verwendung von Cloud-Diensten und Apps sowie des Internets der Dinge vermehrt und verstärkt die Rolle eines Datenbearbeiters ein. Diese Stellung ist mit Pflichten verbunden.

Verstärkter Datenschutz

Zurzeit sind in der EU wie auch in der Schweiz Bestrebungen im Gange, den Datenschutz zu stärken. Am 4. Mai 2016 wurde die finale Fassung der EU-Datenschutzgrundverordnung veröffentlicht, deren Bestimmungen im Jahr 2018 in Kraft treten sollen. Eine Stärkung soll der Datenschutz insbesondere dahingehend erhalten, dass Verfehlungen mit Bussen bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes geahndet werden können.

Pikantes Detail für Schweizer Unternehmen: Auch sie können unter Umständen unter den Anwendungsbereich dieses europäischen Regelwerks fallen. In der Schweiz hat der Bundesrat das Eidgenössische Justiz- und Polizeidepartement (EJPD) beauftragt, bis August 2016 einen Vorentwurf für eine Revision des DSG abzugeben, wobei gemäss Medienmit­teilung des EJPD die Reformen auf der europäischen Ebene ausdrücklich mit­berücksichtigt werden. Nachfolgende Artikelserie will vorab die Grundzüge des Schweizer Datenschutzrechts erläutern, insbesondere die Pflichten des Daten­bearbeiters sowie die Verantwortungsträger innerhalb des Unternehmens bezeichnen sowie gewisse Fallstricke, die durch ein Unternehmen in Bezug auf Benutzung von Cloud-Diensten und die grenzüberschreitende Datenbekanntgabe zu beachten sind. In einem folgenden Artikel wird die Datenschutzgrundverordnung der EU, ihre Auswirkungen auf Schweizer Unternehmen wie auch die Revision des Datenschutzgesetzes (DSG) beleuchtet.

Bestandteil einer Compliance

Wer Personendaten bearbeitet, trägt die datenschutzrechtliche Verantwortung über diese Daten und deren korrekte Bearbeitung. Das DSG nimmt gemäss Art. 2 DSG private Personen (d. h. auch juristische Personen), welche Personendaten bearbeiten, in die Pflicht. Als Personendaten sind gemäss Art. 3 lit. a DSG alle Angaben zu zählen, die sich auf eine bestimmte oder bestimmbare Person beziehen: Somit auf alle Angaben, die eine Person bestimmbar machen.

Als Bearbeiten gilt gemäss Art. 3 lit. e DSG «jeder Umgang» mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten.

Jedes Unternehmen ist damit von Gesetzes wegen Bearbeiter von Personendaten, sei es auch nur durch das Bearbeiten von Personendaten der eigenen Mitarbeiter. Der erlaubte Umgang mit diesen Daten ist in Art. 328b OR vorgegeben. Betreffend den korrekten Umgang mit Mitarbeiterdaten sind die meisten Unternehmen durch längere Erfahrung, eine bekannte Gesetzgebung sowie Rechtsprechung besser vertraut als mit den Datenbearbeitungen weiterer Personen. So bearbeiten Unternehmen nicht nur die Daten ihrer Mitarbeiter, sondern auch die Daten ihrer Kunden sowie unter Umständen deren Mitarbeiter oder die Daten der Kunden der Kunden und tragen auch hier die entsprechende datenschutzrechtliche Verantwortung – hier beginnt für viele Unternehmen Neuland in der Compliance.

Jeder Bearbeiter von Personendaten hat sicherzustellen, dass die Personendaten rechtmässig bearbeitet werden, diese Bearbeitung verhältnismässig ist, die Daten nur zu dem mitgeteilten Zweck bearbeitet werden und die Bearbeitung für die betroffenen Personen erkennbar ist. Ausserdem hat der Bearbeiter von Personendaten die Richtigkeit der Daten zu gewährleisten und den Betroffenen Auskunft auf deren Anfrage zu erteilen.

Grosse Anforderungen an eine korrekte Compliance stellen dabei insbesondere die Zweckbindung der Bearbeitung gemäss Art. 4 Abs. 3 DSG, wonach die Daten nur so bearbeitet werden dürfen, wie es den Betroffenen mitgeteilt wurde oder für diese erkennbar ist, sowie die Einhaltung der Verhältnismässigkeit. Die Einhaltung und Kontrolle dieser Grundsätze stellt die Datenschutz-Compliance dar.

Datenbearbeitung durch Dritte

Daten werden von den Unternehmen häufig gar nicht mehr selber bearbeitet, sondern diese Bearbeitung wird bewusst (aber auch unbewusst) an Dritte delegiert. Jede Nutzung eines Cloud-Dienstes, jede Nutzung einer App durch ein Unternehmen stellt eine Datenbearbeitung durch einen Dritten dar. Die Aus­lagerung von Datenbearbeitungen an Dritte ist gemäss Art. 10a DSG erlaubt. Wichtig und zentral ist jedoch Folgendes: Wer als Datenbearbeiter gilt, trägt weiterhin die datenschutzrechtliche Verantwortung für die korrekte Bearbeitung dieser Daten.

So hält Art. 10a DSG fest, dass das Bearbeiten von Personendaten durch einen Dritten zulässig ist, es dazu aber einen Vertrag braucht, der sicherstellt, dass die Daten vom Dritten nur so bearbeitet werden, wie der Auftraggeber es selbst tun dürfte (Zweckgebundenheit der Datenbearbeitung); und keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet. Oft benutzen Unternehmen die Dienste von Salesforce um ihren Kundenstamm zu verwalten, als E-Mail-Lösung entscheidet man sich unter Umständen für G-Mail und man bezieht die Rechenpower von Microsoft Azure.

Datentransfer ins Ausland

Insbesondere bei den vorgenannten Beispielen wird ersichtlich: Oft wird die Datenbearbeitung nicht nur an Dritte ausgelagert, sondern es kommt zu einem grenzüberschreitenden Datentransfer. Ein solcher ist nur innerhalb der Vor­gaben von Art. 6 DSG zulässig. Nach Art. 6 Abs. 1 DSG können Personendaten ins Ausland bekannt gegeben werden, wenn das Zielland eine Gesetzgebung ausweist, die einen angemessenen Schutz der Persönlichkeit der betroffenen Personen gewährleistet.

Weist das Zielland keinen angemessenen Schutz aus, ist eine Datenlieferung nur noch unter den Voraussetzungen von Art. 6 Abs. 2 DSG möglich. Nach dieser Bestimmung ist ein Transfer unter anderem möglich, wenn der Empfänger durch eine hinreichende Garantie, die einen angemessenen Schutz gewährleistet, also insbesondere durch Vertrag, in die Pflicht genommen wird. Denkbar ist auch, dass die betroffene Person im Einzelfall eingewilligt hat.

Wer Daten ins Ausland bekannt gibt, zum Beispiel durch Nutzung eines auslän­dischen Cloud-Dienstes, hat damit nicht nur Art. 10a DSG, sondern auch die Vorgaben von Art. 6 DSG zu kennen und einzuhalten. Insbesondere ist hier von Schweizer Unternehmen zu beachten, dass infolge des Urteils des EUGH vom 6. Oktober 2015 betreffend Ungültigkeit des «Safe Harbor»-Abkommens der EU mit den USA der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftrage (EDÖB) verlauten liess, dass das entsprechende «Safe Harbor»-Abkommen der Schweiz mit den USA ebenfalls keine genügende Rechtsgrundlage mehr für einen Datentransfer in die USA darstellt.

Nach diesem Abkommen konnten sich US-Unternehmen selber zertifizieren und sich damit nach US-Recht verpflichten, die im «Safe Harbor»-Abkommen aufgestellten Bedingungen einzuhalten, womit ein Transfer zu diesen Unternehmen erlaubt war. Obwohl streng rechtlich gesehen das Schweizer «Safe Harbor»-Abkommen noch immer Bestand hat – der EDÖB hat nicht die Kompetenz, dieses ausser Kraft zu setzen –, ist es den betroffenen Unternehmen aus Risikoüberlegungen dringend empfohlen, von der Ungültigkeit des «Safe Harbor»-Abkommens auszugehen und schon jetzt den Daten­transfer in die USA auf andere Weise zu legitimieren. In Deutschland wurden denn auch Unternehmen, die die Rechtmässigkeit ihres Datentransfers nach dem Urteil des EUGH weiterhin lediglich auf das «Safe Harbor»-Abkommen stützen wollten, gebüsst.

Zwischen der EU und den USA fanden im Anschluss an dieses Urteil Verhandlungen über einen «Privacy Shield» statt, der das «Safe Harbor»-Abkommen ersetzen sollte. Von Datenschützern wurde aber Kritik laut und der «Privacy Shield» lediglich als ein «Safe Harbor» 2.0 bezeichnet, weshalb es zu Neuverhandlungen kam. Die danach ausgearbeitete Fassung ist noch nicht öffentlich und wird jetzt durch die Mitgliedstaaten (Artikel-31-Ausschuss) geprüft. Es bleibt abzuwarten, ob dieser «Privacy Shield» zustande kommt und die Schweiz sich diesem Schild unterstellen wird.

Verantwortung über Compliance

Die Verantwortung darüber, dass die Bestimmungen des Datenschutzes eingehalten werden, liegt bei der AG letztendlich beim Verwaltungsrat. Er hat nach Art. 716a Abs. 1 Ziff. 5 OR die Oberaufsicht und die mit der Geschäftsführung betrauten Personen auf die Befolgung der Gesetze, Statuten, Reglemente und Weisungen zu kontrollieren. Nach Art. 716a Abs. 1 Ziff. 2 OR hat er infolge seiner Aufgabe der Festlegung der Organisation auch dafür zu sorgen, dass entsprechende Organisations- und Verantwortungsreglemente vorhanden sind, die auch erst eine korrekte Berichterstattung an den Verwaltungsrat ermöglichen.

Es ist an ihm, die Organisation seiner Gesellschaft so aufzusetzen, dass etwa ein IT-Nutzungsreglement erlassen wird, welches verbindlich festhält, dass der Einsatz von Cloud-Diensten, Apps oder privaten Handys und Tablets von Mitarbeitenden einer Abklärung und Bewilligung bedarf. Gerade die Generation Y ist im Privaten mit der Nutzung von Apps und Cloud-Diensten bestens vertraut. Ein fliessender Übergang zur geschäftlichen Nutzung ist gang und gäbe – kann aber zu Verletzungen der Datenschutzcompliance führen. Für Verstösse dieser «Schatten-IT» bleibt letztendlich der Verwaltungsrat (resp. die Geschäftsführer der GmbH) verantwortlich.

Porträt