Die DSGVO für Schweizer Unternehmen

Seit im April 2016 die neue Datenschutzgrundverordnung der EU (DSGVO) verabschiedet wurde, gilt diese nun ab Mai 2018 verbindlich und einheitlich für alle EU Länder. Damit tritt ein strengerer Datenschutz nun EU-weit in Kraft, der die nationalen Gesetze in diesem Bereich ablöst.
Da dieser extraterritorialen Charakter hat, wird er auch Schweizer Unternehmen treffen. Auch ist zu erwarten, dass die Schweiz mit einem vergleichbarem Gesetz ihre bisherigen Regelungen anpassen wird. In diesem Artikel erfahren Sie, ob die DSGVO auch auf Ihr Unternehmen anwendbar ist.

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Was die DSGVO für Schweizer Unternehmen bedeutet

Diese Pflichten kommen auf Schweizer Unternehmen zu

Die neue Datenschutzverordnung der EU sieht eine Reihe neuer Pflichten für die Unternehmen vor.

  • Datenschutzverletzungen müssen an die entsprechende Aufsichtsbehörde gemeldet werden. Ist ein hohes Risiko für eine Persönlichkeitsverletzung gegeben, muss auch die entsprechende Person informiert werden über den Vorfall.
  • Es sieht neue Nachweis- und Dokumentatitionspflichten der Unternehmen vor, unter anderem das Führen eines Verzeichnisses von Verarbeitungstätigkeiten und die Dokumentation von technischen und organisatorischen Maßnahmen.
  • Auch werden im technischen Bereich bestimmte Anpassungen vorgeschrieben, die dem Datenschutz dienen sollen die auch bereits bei den Voreinstellungen eine datenschutzfreundliche Technik verlangen .
  • Im Bereich Big Data sieht die Verordnung eine vorgelagerte Durchführung einer Folgenabschätzung zum Datenschutz vor (DSFA).
  • Die Rechte der Kunden werden weiter gestärkt.
  • Die Datenverarbeitung darf nur noch aufgrund eines Vertrages mit einem externen Datenverarbeiter ausgelagert werden, wenn dieser auch ausreichende Garantien (z. B. Datenschutzsiegel) bereitstellen kann.
  • Schweizer Unternehmen müssen unter Umständen einen EU- Vertreter benennen
  • Die EU Verordnung sieht auch neue Rechte bei der Datenübertragbarkeit vor.

Auch Schweizer Unternehmen müssen ein Verzeichnis von Verarbeitungstätigkeiten erstellen.

Positve Neuregelungen im Datenschutz

Neben diesen deutlichen Verschärfungen zu den Datenschutzbestimmung gibt es jedoch auch einige positive Neuregelungen, die den Datenschutz erleichtern können:

  • In Konzernen kann der Datenschutz erleichtert werden, da für Unternehmensgruppen ein gemeinsamer Beauftragter für den Datenschutz eingesetzt werden kann. Auch können konzernweit einheitliche und verbindliche Datenschutzvorschriften eingesetzt werden.
  • Es ist auch eine private Zertifizierung des Datenschutzes vorgesehen (Prüfzeichen und Siegel für den Datenschutz)
  • Durch die Vereinheitlichung der Gesetze zum Datenschutz auf EU Ebene treten die unterschiedlichen Regelungen der Mitgliedstaaten in den Hintergrund (Vorrang der DSGVO). Dies sorgt für Klarheit der Regelungen EU-weit und die einheitliche Umsetzung wird durch den Euröpäischen Datenschutzausschuss sichergestellt.
  • Auch festgelegt wurde ein Recht auf das „Vergessenwerden“.

In der Gesamtheit der Neuregelungen verschärft die Datenschutzverordnung die zvilrechtliche Haftung deutlich – und sie sieht sehr hohe Strafen für die die Verletzung der Regelungen vor.

Hier können Strafen für Unternehmen mit bis zu 4 % ihres Jahresumsatzes verhängt werden, das Strafmaß für natürliche Personen sieht Geldstrafen von bis zu 20 Mio. Euro vor.

Die Strafen und Bußgelder nach der neuen Datenschutzverordnung der EU

Ein Verstoß gegen die Datenschutzverordnung der EU kann schwerwiegende Folgen haben. Grundsätzliche sind eine Reihe von Sanktionen und Konsequenzen möglich:

  • Hohe Bußgelder
  • Strafrechtliche Konsequenzen
  • Schadenersatz (z. b. einer geschädigten Person gegenüber einer Gesellschaft)
  • Anzeige und Abmahnung von Wettbewerbern
  • hoher Imageverlust für die Unternehmen
  • Arbeitsrechtliche Folgen in Form von Regressansprüchen und außerordentlichen Kündigungen

Die Bußgelder nach DSGVO für Schweizer Unternehmer

Insbesondere die Bußgelder sind bereits bei kleineren Verstößen drastisch. So können bereits in leichteren Fällen eines Verstoßes gegen das Datenschutzgesetz, Geldbußen von bis zu 10 Mio. Euro oder bis zu 2 % des Jahresumsatzes eines Unternehmens fällig werden.

Als leichterer Fall in diesem Sinne gilt z.B. schon ein die Nichtbereitstellung von datenschutzfreundlichen Voreinstellungen. Als schwerer Fall wird z. B. die Zuwiderhandlung gegen die Vorschriften der Datenverarbeitung bewertet. Dies kann dann eine Strafe von bis zu 4 % des Unternehmensumsatzes nach sich ziehen.

Ein Trugschluss wäre, zu glauben. dass Bußgelder in der Schweiz nicht durchsetzbar sind, auf Grund des unten genannten Marktortprinzips ist davon auszugehen, dass die Behörden auch gegen Drittstaaten Bußgelder verhängen können.

Auch die möglichen Abmahnungen durch Wettbewerber können weitreichende Folgen haben. Es ist aber noch nicht geklärt, ob durch Datenschutzverletzungen dabei Fälle von unlauterem Wettbewerb vorliegen und es bleibt abzuwarten, wie der EU- Gerichtshof in solchen Fällen entscheiden wird.

Neben den Geldstrafen und eventuellen Schadenersatzforderungen sehen sich Unternehmen, die gegen die Datenschutzbestimmungen verstoßen auch einem hohen Imageverlust ausgesetzt, der schlimmstenfalls auch zu Umsatzeinbußen führen kann. Verstöße gegen Datenschutzbestimmungen werden in den Medien aufmerksam beobachtet und publiziert.

Die Frage der Haftung

Normalerweise ist das Unternehmen bei Datenschutzverstößen in der Verantwortung und damit auch der Adressat bei Geldstrafen und Schadenersatzansprüchen. Jedoch sind Ansprüche gegen eine natürliche Person hier auch bei Kapitalgesellschaften möglich. Eine Haftung von Geschäftsführern mit ihrem Privatvermögen ist nicht ausgeschlossen. Fehlendes Wissen und Kompetenz sind ebenso wenig entschuldend wie eine Weiterdelegierung der Kontrolle.

Auch können Schadenersatzansprüche vom Unternehmen an seine Mitarbeiter möglich sein. Dies beschränkt sich nicht nur auf Führungskräfte, wird aber von Arbeitnehmerschutzrechten begrenzt. Bei grober Fahrlässigkeit sind Strafen von bis zu 3 Monatsgehältern möglich, eine Vollhaftung wird jedoch nur bei Vorsatz möglich sein.

Bei der Beauftragung externer Datenschutzdienstleister haften diese jedoch vollständig im Falle von Verstößen. Ein Mitwirken der Geschäftsführung wird dann im Einzelfall zu prüfen sein.

Was bedeutet die Anwendung der EU-Datenschutzverrordnung für Schweizer Unternehmen ?

Da die Datenschutzverordnungen eine extraterritoriale Wirkung hat, wird bei der Anwendung auf das Niederlassungsprinzip und das Marktortungsprinzip abgestellt.

Niederlassungsprinzip

Nach dem Niederlassungsprinzip gilt die EU-Verordnung für jede Art von Datenverarbeitung, die innerhalb der EU von einer Niederlassung oder einem externen Auftragsverarbeiter durchgeführt wird. Es wird hier ausschließlich auf den Niederlassungsort der Vertreter abgestellt, wo die Datenverarbeitung tatsächlich stattfindet, spielt nach diesem Prinzip keine Rolle.

Marktortungsprinzip

Nach dem Marktortungsprinzip kann die EU-Verordnung auch auf Unternehmen und Auftragsverarbeiter außerhalb der EU angewendet werden. Dies betrifft dann auch Schweizer Unternehmen.

Dieses extraterritoriale Prinzip umfasst damit jede Art von Datenverarbeitung, die mit dem Angebot von Waren und Dienstleistungen an Kunden aus der EU zusammenhängt. Auch ist die Datenverarbeitung , die z. B. der Beobachtung von Kunden in der EU dient, eingeschlossen.

Beispiele für die Auswirkung der DSGVO auf Schweizer Unternehmen

Fall 1: Verantwortlicher in der Schweiz mit einem Provider in der EU (z.B. EU Cloud)

– Hier kann die EU-Datenschutzverordnung nur vertraglich angewendet werden.

Fall 2: Provider auf Schweizer Gebiet, der Daten für Kunden in der EU bearbeitet

– Auch hier kann die EU- Datenschutzverordnung nur vertraglich angewendet werden.

Fall 3: Verantwortlicher auf Schweizer Gebiet, der beabsichtigt, seine Produkte und Dienstleistungen in der EU anzubieten, oder der Profile erstellt von Personen in der EU

– Hier ist die EU-Datenschutzverordnung direkt anwendbar.

Nach DSGVo müssen auch Schweizer Unternehmen geeignete technische Maßnahmen ergreifen.

Maßnahmen für Schweizer Unternehmen zur Anpassung an die EU-Datenschutzverordnung

Grundsätzlich sollte ein Schweizer Unternehmen das Thema EU-Datenschutzverordnung bereits auf der Agenda haben. Da es sich beim Datenschutz um ein Compliance Thema handelt, erfordert dieser eine umfassende Adressierung und auch Dokumentation im Unternehmen.

Was Sie jetzt tun sollten

Auch sollte die Benennung eines internen oder auch externen Datenschutzbeauftragten erfolgen. Durch ihn kann eine Risikoprüfung durchgeführt werden, die Aufschluss darüber gibt, inwieweit das eigene Unternehmen von den Regelungen der europäischen Datenschutzverordnung betroffen sein kann. Wichtig ist dabei insbesondere die Analyse, welche Daten im Unternehmen gesammelt und verarbeitet werden, um EU- Bürgern Waren oder Dienstleitungen zu verkaufen oder ihr Verhalten zu beobachten.

Schweizer Unternehmen sollten davon ausgehen, dass die neuen Standards in der EU-Datenschutzverordnung auch in die Schweizer Gesetzgebung einfließen werden. Die extraterritoriale Wirkung der EU-Datenschutzverordnung wird bei multinationalen Unternehmen grundsätzlich eine Anpassung von Datenschutzmaßnahmen in vielen Drittstaaten erfordern. Eine frühe Beschäftigung mit der Materie ist also auch hier von Vorteil.

Audits und Zertifizierungen zum Datenschutz können auch für Schweizer Unternehmen zu einem Wettbewerbsvorteil werden. Durch die neue EU-Datenschutzverordnung werden neue Zertifizierungsmöglichkeiten gefördert. Nach Schweizer Norm waren bislang nur Zertifizierungen für ihr Unternehmen als Ganzes oder umfassendere Systeme möglich. Hier gibt es nun Möglichkeiten, wie z. B. mit dem ePrivacy-Seal, auch einzelne Webanwendungen oder Couldservices zu zertifizieren. Diese Einzelzertifizierungen basieren auf auf einem Kriterienkatalog der sowohl die Anforderungen der EU-Datenschutzverfassung als auch das Schweizer Datenschutzrecht berücksichtigt.

Konkrete Schritte zur Umsetzung der DSGVO

  1. Prüfen Sie, ob die DSGVO auf Sie anwendbar ist.
  2. Erstellen Sie die notwendigen Dokumentationen.
  3. Prüfen Sie die Bestellung eines Datenschutzbeauftragten oder konsultieren Sie einen Datenschutzberater.
  4. Prüfen Sie Ihre Prozesse auf die Einhaltung der strengen Auflagen des Datenschutzes.
  5. Dokumentieren Sie alle Ihre Bemühungen.
  6. Sensibilisieren Sie Ihre Mitarbeiter.

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Das Schweizer Datenschutzrecht und die Anpassungsnotwendigkeiten an die EU-Datenschutzverordnung

Der Datenschutz wird durch das DSG (Bundesgesetz zum Datenschutz) rechtlich geregelt. Dieses Gesetz adressiert in einem Teil die Bundesverwaltung und in einem anderen Teil die privaten Datenschutzbelange.

Da die Regelungen für die Bundesverwaltung für das Schengen-Abkommen relevant sind, muss die Schweiz hier Anpassungen vornehmen, um den Verpflichtungen aus dem Abkommen gerecht zu werden.

Es wurde nun auf Schweizer Seite beschlossen, eine Revision des Bundesgesetzes für Datenschutz vorzunehmen. Auf EU-Ebene ist nach dem Inkrafttreten des neuen Datenschutzgesetzes die Kommission damit beauftragt, die bestehenden Angemessenheitsbeschlüsse zu prüfen, ob in den jeweiligen Ländern ein EU-konformes Datenschutzniveau eingehalten wird.

Deshalb wird die schweizerische Gesetzgebung bald eine Revision des eigenen Datenschutzgesetzes vorantreiben müssen, um zu vermeiden, dass ihr ggf. der Angemessenheitsbeschluss entzogen wird. Die Schweizer Wirtschaft hätte dabei mit umfangreichen Folgen zu rechnen. So dürfen dann z. B. personenbezogene Daten von EU-Bürgern dürfen dann nur noch zu Schweizer Unternehmen überspielt werden, wenn zusätzliche Schutzklauseln von allen Vertragspartnern akzeptiert werden in den Verträgen, die EU-Regelungen entsprechen. Dies würde einen großen Mehraufwand für die Unternehmen bedeuten.

Quellen:

https://dsgvo-gesetz.de/themen/bussgelder-strafen/

https://www.homburger.ch/de/datenschutz

 

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?