Keine Bilder? Webversion
VISCHERDigital Business Law BitesDie DSGVO und die Schweiz: 10 Mythen und MissverständnisseAm 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Die erhöhten Anforderungen an den Umgang mit personenbezogenen Daten werden auch für Datenverarbeitungen der zahlreichen Schweizer Unternehmen gelten, die ihr Angebot auf den EU-Endkundenmarkt ausrichten oder deren Datenverarbeitungen auf andere Weise in den (beabsichtigten) breiten Anwendungsbereich der DSGVO fallen. Der komplexe und terminologisch nicht besonders geglückte Text der DSGVO begünstigt Mythen und Missverständnisse. Diese finden teilweise auch Eingang in Publikationen und Empfehlungen von Beratern. Mit diesem Beitrag beleuchten wir zehn Mythen, denen wir in unserer Praxis (namentlich im Rahmen der laufenden DSGVO Compliance-Projekte für Unternehmen in der Schweiz) begegnen, und stellen die entsprechenden Missverständnisse klar. 1. Unter der DSGVO braucht es für alle Verarbeitungen personenbezogener Daten die Einwilligung der betroffenen Personen – FALSCH Bedeutsamer und einfacher handhabbar werden in der Praxis die folgenden Rechtsgrundlagen sein: Notwendigkeit für die Vertragserfüllung; gesetzliche Pflichten, die sich aus dem Recht der EU oder der Mitgliedstaaten (nicht der Schweiz!) ergeben; sowie überwiegende berechtigte Interessen des Verantwortlichen. 2. Für Profiling auf der Grundlage personenbezogener Daten
braucht es unter der DSGVO immer eine Einwilligung – FALSCH Überdies gilt: Nur bei einer äusserst weiten (u.E. zu weiten) Auslegung der entsprechenden Bestimmungen könnte man zum Schluss kommen, dass das "Profiling" für zielgruppenspezifische Werbung oder personalisierte Angebote gemäss DSGVO erhöhten Anforderungen unterliegt, also meist ein Opt-in erfordert und stets eine sog. Datenschutz-Folgenabschätzung notwendig macht. 3. Datenverarbeitungen von Unternehmen in der Schweiz fallen unter die
DSGVO, wenn die Unternehmen für Endkunden in der EU Waren liefern oder Dienstleistungen erbringen – FALSCH bzw. UNGENAU Ein weiterer Anknüpfungspunkt für die Anwendbarkeit der DSGVO ist die Beobachtung des Verhaltens von Individuen, dass in der EU stattfindet (Art. 3(2)(b) DSGVO). Doch selbst bei diesem Anknüpfungspunkt ist eine Ausrichtung auf den EU-Endkundenmarkt erforderlich (spürbare und vorhersehbare Auswirkung auf dem EU-Endkundenmarkt), damit die DSGVO für die entsprechende Verarbeitungstätigkeit (Verhaltensbeobachtung) gilt. Dies entspricht völkerrechtlichen Grundsätzen sowie dem Auswirkungsprinzip, wie es auch unter EU-Wettbewerbsrecht gilt. 4. Wenn ein Unternehmen in der Schweiz sein Angebot auf den EU-Endkundenmarkt ausrichtet, untersteht das Unternehmen für alle Datenverarbeitungen der DSGVO – FALSCH 5. Datenverarbeitungen von Unternehmen in der Schweiz fallen unter die DSGVO, wenn diese Unternehmen grenzüberschreitend an EU-Unternehmen outsourcen –
FALSCH bzw. UNGENAU Anknüpfungspunkt ist die Verantwortung für die konkrete Datenverarbeitung. Unternehmen in der Schweiz müssen sich in Bezug auf Datenverarbeitungen, für die sie unter dem DSG (nicht der DSGVO) verantwortlich sind, an das DSG halten. Dies gilt auch, wenn sie solche Datenverarbeitungen grenzüberschreitend outsourcen. 6. Bei Auftragsverhältnissen braucht es immer eine Auftragsdatenverarbeitungs-Vereinbarung nach Art. 28(3) DSGVO, insb. auch im Verhältnis Klient-Anwalt – FALSCH Typische Beispiele für Verantwortlicher-Auftragverarbeiter-Beziehung (Outsourcing) i.S.v. Art. 28(1) und (3) DSGVO:
Begründung: Die Bank/das Unternehmen behält die Kontrolle über die Zwecke der Verarbeitung. Es werden Geschäftsprozesse/Verarbeitungs-Tätigkeiten ausgelagert, für welche die Bank/das Unternehmen verantwortlich ist und auch im Falle eines Outsourcings verantwortlich bleibt. Typische Beispiele, bei denen keine Verantwortlicher-Auftragsverarbeiter-Beziehung vorliegt und somit auch kein Vertrag im Sinne von Art. 28(3) DSGVO abgeschlossen werden muss:
Begründung: Selbst wenn die Rechtsdienstleistung/die Expertise vom Klienten initiiert wird und der Klient dem Anwalt personenbezogene Daten (z.B. eines Mitarbeiters) offenlegt, ist und bleibt der Anwalt in Bezug auf die Verarbeitung solcher Daten zum Zweck der Rechtsberatung verantwortlich – und zwar nach Massgabe der für ihn geltenden beruflichen Pflichten (der Klient hingegen bleibt verantwortlich für die Verarbeitung der Daten zu seinen Zwecken – z.B. Durchführung des Arbeitsverhältnisses nach Massgabe arbeitsvertraglicher und datenschutzrechtlicher Pflichten). 7. Die DSGVO bringt einheitliche Regeln für den Umgang mit Personendaten in der ganzen EU – FALSCH
8. Aufsichtsbehörden werden bei Verstössen gegen die DSGVO immer eine Geldbusse von bis zu EUR 20 Mio. oder 4% des weltweit erzielten Jahresumsatzes verhängen – FALSCH Zudem: Bei den EUR 20 Mio. (bzw. EUR 10 Mio.) oder 4% (bzw. 2%) des weltweit erzielten Jahresumsatzes handelt es sich um Maximalbussen. Die effektiven Bussen haben die Aufsichtsbehörden nach Massgabe der Bedingungen für die Verhängung von Geldbussen zu berechnen. Massgebend für die Berechnung sind Art, Schwere und Dauer des Verstosses. Zudem sind insbes. der Umfang und der Zweck der betreffenden Datenverarbeitungen sowie die Kategorie der betroffenen Daten und die Anzahl betroffener Personen zu berücksichtigen (Art. 83(2) DSGVO). Aufgrund der beschränkten Ressourcen der Aufsichtsbehörden ist überdies davon auszugehen, dass die private Durchsetzung von Rechten unter der DSGVO (über die Regeln zur Sicherstellung des fairen Wettbewerbs auch unter Konkurrenten) an Bedeutung gewinnen wird. Die DSGVO ermächtigt ausserdem qualifizierte Verbände, im Auftrag von betroffenen Personen zu klagen. 9. Unter der DSGVO müssen alle Unternehmen einen Datenschutzbeauftragten ernennen – FALSCH Zu beachten: Es ist Mitgliedstaaten erlaubt, die Ernennung eines Datenschutzbeauftragten auch in anderen Fällen vorzuschreiben (vgl. oben zum Mythos 7). Ausserdem empfiehlt sich die freiwillige Ernennung eines Datenschutzbeauftragten (oder einer für das im Unternehmen für das Datenmanagement im Allgemeinen verantwortlichen Person), um die unter der DSGVO sehr umfangreichen Dokumentations- und Rechenschaftspflichten zu erfüllen und implementierte Richtlinien und Prozesse etwa für die Beantwortung von Auskunfts- und Löschungsbegehren oder für Data Breach-Meldungen zu betreuen). 10. Gegenüber Unternehmen in der Schweiz wird der EDÖB die DSGVO durchsetzen – FALSCH Fazit: Real ist (unabhängig von der Rechtslage) das Unbehagen von Mitarbeitern und Konsumenten gegenüber dem Umgang mit ihren Daten bei digitalen Geschäftsmodellen. Compliance-Projekte sollten daher nicht nur unter dem Stern der DSGVO-Regeln stehen (und minutiös analysieren, in welchen Anwendungsfällen Datenverarbeitungen von Unternehmen in der Schweiz der DSGVO unterstehen). Vielmehr geht es darum, dem Vertrauen von Kunden und Mitarbeitern in Unternehmen Rechnung zu tragen und dieses nicht aufs Spiel zu setzen. Autoren: Rolf Auf der Maur, Thomas Steiner
VISCHER AG Der Herausgeber übernimmt keine Haftung oder Garantie für die Aktualität, Richtigkeit und Vollständigkeit der hier zur Verfügung gestellten Informationen. Copyright © 2018 VISCHER AG; Basel/Zürich. Alle Rechte vorbehalten. |