Mitte 2016 trat in der EU eine neue Verordnung in Kraft. Sie trug den unscheinbaren Namen «Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)» oder kurz DSGVO beziehungsweise auf Englisch GDPR. Bereits zuvor hatte die EU gewisse Fragen zum Datenschutz in der Datenschutzrichtlinie von 1995 einheitlich geregelt.
Abschreckende Bussen
Die DSGVO aber läutete ein neues Zeitalter im Datenschutz ein. Nach zwei Jahren Übergangsfrist wurde sie am 25. Mai 2018 formell gültig und mit ihr die in den Medien viel Beachtung findenden Bussen von bis zu 20 000 000 Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes. Solche Bussen sollen in jedem Einzelfall wirksam, verhältnismässig und – ausdrücklich im Gesetz so vorgesehen – abschreckend sein.
Ein paar Milliarden Euro an Beraterhonoraren später sind nun viele Unternehmen GDPR-compliant oder haben sich zumindest damit befasst, inwiefern sie die Anforderungen nicht erfüllen und welche Risiken sie damit auf sich nehmen. Gleichzeitig haben sich viele Unternehmen aber noch überhaupt nicht mit dem Thema auseinandergesetzt. Das trifft insbesondere auf Firmen zu, die nicht eindeutig oder vielleicht weniger offensichtlich unter die DSGVO fallen.
Bei diesen wurde häufig noch nicht einmal ein rudimentäres Assessment gemacht, ob das EU-Datenschutzrecht allenfalls auf sie Anwendung finden könnte, geschweige denn, welche Pflichten und Risiken das nach sich ziehen würde. In gleicher Weise wird gerne auch ignoriert, dass es in Grenzfällen Möglichkeiten gibt, seine Geschäftsaktivitäten so zu strukturieren, dass diese ganz oder teilweise eben nicht unter die DSGVO fallen.
Relevanz für Schweizer KMU
Aber das sei für Schweizer Unternehmen alles nicht relevant, das sei doch EU-Recht, würde man gerne einwenden. Leider stimmt das nicht. Einerseits haben viele Schweizer KMU Niederlassungen im Ausland, auch in der EU. Die Aktivitäten dieser Niederlassungen können Bussen nach sich ziehen, die sich am gruppenweiten Umsatz orientieren. Notabene gelten nicht nur Tochtergesellschaften oder ähnliche rechtlich verselbstständigte Formen als Niederlassungen, sondern es kann bereits eine Marktpräsenz mittels Verkaufsagent reichen.
Andererseits beansprucht das EU-Datenschutzrecht in gewissen Fällen auch ausserhalb der EU Geltung. Die sogenannte extraterritoriale Anwendung der DSGVO (extraterritorial deshalb, weil es eben auch ausserhalb des EU-«Territoriums» gilt) bezieht sich nicht nur auf die allgemeinen Grundsätze und Pflichten, sondern auch auf die Sanktionen des neuen EU-Datenschutzrechts.
So will die DSGVO ausserhalb der EU für alle gelten, die entweder Dienstleistungen oder Waren an Kunden anbieten, die sich in der EU befinden, oder das Verhalten von Personen beobachten, welche sich in der EU befinden (wie zum Beispiel Besuchern ihrer Website).
Relevanz für Unternehmer
Mögliche Bussen für das Unternehmen sind ein ernst zu nehmendes Thema und können im Extremfall ein Risiko für dessen weiteres Bestehen darstellen. Eine ganz andere – und aus Sicht der Organe teilweise viel abschreckendere – Gefahr ist aber die persönliche Haftung.
Auch wenn dies nicht allen Verwaltungsräten oder Geschäftsleitungsmitgliedern jederzeit präsent ist, haften sie als Organe unter gewissen Umständen mit ihrem Privatvermögen für Schäden, die der Gesellschaft aufgrund ihrer Handlungen oder Unterlassungen entstehen. Als solche Schäden kommen auch Bussen in Betracht, die der Gesellschaft zum Beispiel für Datenschutzverstösse auferlegt werden.