Fast täglich erreichen uns E-Mails, welche uns über die Updates von Datenschutzrichtlinien unterrichten. Dies liegt an der europäischen Datenschutz-Grundverordnung (EU-DSGVO), welche am 25. Mai 2018 in Kraft tritt. Die Verordnung ist in sämtlichen EU-Rechtsstaaten gültig, hat aber auch Einfluss auf die Schweiz respektive Schweizer Unternehmen. In diesem Beitrag zeigen wir die Bedeutung dieser Verordnung für Sie und Ihr Unternehmen auf.
Wer ist betroffen?
Grundsätzlich sind alle Akteure betroffen, welche auf dem Gebiet der EU tätig sind. Der Anwendungsbereich der EU-DSGVO betrifft aber nicht nur in der EU ansässige Unternehmen. Unter gewissen Bedingungen sind auch Schweizer Unternehmen betroffen: Gemäss dem Art. 3 der Verordnung sind sämtliche Unternehmen betroffen, welche personenbezogene Daten von natürlichen Personen (identifizierte oder identifizierbare) verarbeiten, die sich in der EU befinden, wenn:
den betroffenen Personen in der EU Waren oder Dienstleistungen angeboten werden oder
durch die Datenverarbeitung das Verhalten dieser Personen beobachtet wird.
Die Feststellung, ob man nun Waren oder Dienstleistungen im EU-Raum anbietet oder nicht, ergibt sich anhand der Zielgruppenansprache. Beispiele dafür können eine entsprechende EU-Domain (zum Beispiel *.de), Preisangaben in einer entsprechenden Währung (beispielsweise EUR) oder die entsprechende Sprache (zum Beispiel Finnisch) sein. Es ist davon auszugehen, dass auch das Liefern an eine ausländische Adresse über eine *.ch-Domäne als ausreichend gilt. Ob das Angebot entgeltlich oder unentgeltlich ist, spielt dabei keine Rolle. Alleine die Möglichkeit, eine Seite aus dem Ausland (beispielsweise aus Deutschland) aufrufen zu können, genügt allerdings noch nicht.
Ob man das Verhalten von Personen beobachtet (oder nicht), hängt vom Einsatz entsprechender Techniken oder vom Ziel ab (werden beispielsweise zwecks Tracking individuelle Kundenprofile erstellt -> «Profiling»). Alleine durch den Einsatz von Google Analytics, welcher heute ein Standard darstellt (und wir auch standardmässig einbauen), fällt man mehr oder weniger darunter. In Google Analytics lässt sich jedoch das Tracken der IP-Adresse ausschalten (wir setzen standardmässig auf ein anonymisiertes Tracken der IP-Adresse), womit die Grundlage wiederum nicht so klar ist. In diesem Zusammenhang möchten wir auf den Einsatz von Remarkting-Werbungen innerhalb des EU-Raums hinweisen, welche der Definition von Profiling klar entsprechen würden (-> siehe in diesem Zusammenhang Art. 29 Behavioral Targeting)!
Eine Prüfung, ob man nun darunterfällt oder nicht, ist daher sehr schwierig. Grundsätzlich lässt sich sagen, dass der Anwendungsbereich a) sehr weit ist und man b) im Zweifelsfall wohl darunterfällt. An dieser Stelle soll auch erwähnt sein, dass die Schweiz ebenfalls an einer Überarbeitung des Datenschutzgesetzes (VE-DSG) ist und man einen entsprechenden Entwurf im Herbst 2018 erwartet. Es ist davon auszugehen, dass die Rechtsprechung sehr ähnlich sein wird und man daher den Aufwand früher oder später ohnehin auf sich nehmen muss.
Welche Pflichten fallen nun an?
Betroffene Unternehmen sind von diversen Pflichten betroffen, welche das EU-DSGVO mit sich bringt.
Information und Einwilligung der betroffenen Personen: Die Person, deren Daten man bearbeitet, muss über den Zweck sowie die Verarbeitung der Daten aufgeklärt werden und das entsprechende Einverständnis dazu geben. Dabei ist wichtig, dass die Person eine echte Wahl hat. Beispielsweise wäre es nicht erlaubt, einen Kauf nur dann zuzulassen, wenn man 50 (für den Kauf nicht relevante) Formularfelder ausfüllen muss. Die Einwilligung muss aktiv geschehen (beispielsweise mit Haken setzen) und jederzeit widerrufen werden können. Hier möchten wir insbesondere auf Cookies hinweisen, weil sie ohne Weiteres unter die Definition von «personenbezogen» fallen. Für Cookies gilt deshalb ein Verbot mit Erlaubnisvorbehalt, es sei denn, es besteht (i) ein berechtigtes Interesse für die Cookies (=effektiv notwendig), (ii) deren Verwendung ist erforderlich, um das berechtigte Interesse zu wahren und (iii) die Interessen des Webseitenbetreibers sind höher zu gewichten als der Schutz der Daten der betroffenen Personen. Gemäss diesem Blogbeitrag sind klassische Cookies (klassisch im Sinne von: Individuelle Seiteneinstellung wie Sprache oder Länderwahl, welche gespeichert wird) rechtmässig, wenn auf entsprechende Rechte hingewiesen wird (beispielsweise auf der Datenschutzseite). Personen haben beispielsweise das Recht auf Auskunft, Löschung oder Berichtigung von Daten, sofern das nicht gegen anderweitige Aufbewahrungspflichten verstösst.
«Privacy by design» und «Privacy by default»: Bei der Planung und der Umsetzung von IT-Projekten ist man als Unternehmen dafür verantwortlich, dass entsprechende Grundsätze bei Beginn integriert werden. Hier sollte auch darauf geachtet werden, dass nur jene Informationen gesammelt werden, welche auch wirklich benötigt werden. Für das Erhalten eines Newsletters ist beispielsweise die Erhebung des Geburtsdatums irrelevant.
Ernennung eines Vertreters: Als betroffene Unternehmung hat man einen EU-Vertreter zu bezeichnen (eine entsprechende Meldung an eine Stelle ist nur in Ausnahmefällen nötig, siehe Art. 37). Diese Pflicht ist hinfällig, wenn man nur gelegentlich Daten verarbeitet, sie keine besonderen Datenkategorien (zum Beispiel Religion, politische Einstellung, sexuelle Identität) betreffen und die Verarbeitung als solche für den Betroffenen kein Risiko darstellt.
Verzeichnis: Sämtliche Verarbeitungstätigkeiten, welche personenbezogene Daten betreffen, müssen in einem Verzeichnis festgehalten werden. Das Verzeichnis stellt im Prinzip eine Liste sämtlicher Prozesse inklusive der Datenkategorie, dem Zweck der Datenverarbeitung sowie dem Kreis der betroffenen Personen dar. In diesem Zusammenhang weisen wir auch darauf hin, dass mögliche Drittservices wiederum Daten an weitere Parteien senden, was ein Rattenschwanz nach sich ziehen kann. Unternehmen mit weniger als 250 Mitarbeitenden sind davon aber grösstenteils ausgenommen.
Weiteres: Als weitere Pflicht fällt eine Meldepflicht (72h Frist) an, wenn man im Zusammenhang mit dem Datenschutzgesetz einen Verstoss oder «Unfall» feststellt. Darüber hinaus ist bei einer Datenverarbeitung, welche hinsichtlich der Rechte und Freiheiten einer Person ein wahrscheinlich hohes Risiko darstellt (beispielsweise aufgrund des Umfangs oder der Datenart), eine Datenschutz-Folgeabschätzung und gegebenenfalls gar eine Meldung an die Aufsichtsbehörde durchzuführen.
Und was, wenn wir nichts machen?
Bei Verstoss gegen die EU-DSGVO läuft man Gefahr, mit bis zu 20 Mio. EUR oder bis zu 4% des (Konzern-)Umsatzes gebüsst zu werden. An dieser Stelle sei erwähnt, dass sich das Gesetz natürlich nicht gegen kleinere Schweizer KMUs richtet, sondern primär gegen Facebook, Google und Co. Nichtsdestotrotz konnte man in Deutschland bereits in den vergangenen Jahren Abmahnwellen beobachten, wo sich Firmen darauf spezialisieren, kleinere Firmen aufgrund etwaiger Lücken (vor allem im Zusammenhang mit Cookie-Bannern) zu verklagen.
Fazit
Es lässt sich nicht umgehen, dass das Thema Datenschutz auch in Schweizer Firmen betrachtet und besprochen werden sollte. Unseres Erachtens ist diese Tendenz, Personendaten zu schützen und Unternehmen stärker in die Pflicht zu nehmen, grundsätzlich zu begrüssen. Es ist jedoch infrage gestellt, ob Konsumenten mit neuen Rechtsgrundlagen wirklich besser geschützt sind. Es scheint die Gefahr zu bestehen, dass am Ende viel administrativer Aufwand zum Updaten der AGB anfällt, während sich Prozesse aus Kundensicht nicht wirklich ändern. Gerade aber gegenüber den «Grossen» existieren aber wertvolle Rechte!
Wir empfehlen folgende Handlungsweisen:
Das Thema der EU-DSGVO ist ernst zu nehmen und eine entsprechende Umsetzung bis spätestens 25. Mai 2018 zu prüfen respektive umzusetzen. Es ist eine individuelle Prüfung notwendig, welche Daten zu welchen Zwecken gesammelt werden und wie und weshalb man sie verarbeitet.
Die EU-DSGVO betrifft auch Cookies! Gerne helfen wir Ihnen dabei aufzulisten, welche Daten wie gesammelt werden.
Dem Einsatz von Tracking-Tools sowie weiteren Drittdiensten muss eine spezielle Beachtung geschenkt werden. Insbesondere sollte darauf geachtet werden, dass sich im Einsatz stehende US-Dienste dem Privacy Shield (entspricht EU-DSGVO-Richtlinien) unterstellt haben.
Für weitere Informationen zum Thema Cookies sowie eine sich zu lesen lohnende Diskussion am Ende des Blogartikels
.
Hinweis: Dieser Artikel erhebt keinen Anspruch auf Vollständigkeit oder Korrektheit. Im konkreten Fall ist immer eine Rechtskanzlei (zum Beispiel Bratschi AG in Zürich) beizuziehen.