Checkliste zur EU-Datenschutz-Grundverordnung

 

Rolf Lüpke

Rechtsanwalt, MAES

Kanzlei Grenzenlos Recht

Tel.: +41 61 333 21 30

kanzlei@grenzenlos-recht.com

www.grenzenlos-recht.com


„Checkliste zur EU-Datenschutz-Grundverordnung“

Seit dem 25.5.2018 gilt in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO). Grundsätzlich betrifft die DSGVO Datenbearbeitungen durch Unternehmen oder Niederlassungen mit Sitz in der EU. Das neue EU-Datenschutzrecht wirkt sich aber auch auf viele Firmen mit Sitz in der Schweiz aus. Einerseits dann, wenn sie in der EU Handel betreiben oder mit Unternehmen in Europa Personendaten austauschen.

Obwohl nach Inkrafttreten der DSGVO am 24.5.2016 bis zum Stichtag des 25.5.2018 eine Übergangsfrist von zwei Jahren zur betrieblichen Umsetzung der Vorschriften gewährt wurde, bestehen nach wie vor erhebliche Rechtsunsicherheiten und viele betroffene Unternehmen befinden sich noch im Umsetzungsprozess oder haben noch nicht realisiert, dass sie auch von der DSGVO erfasst werden. Deshalb soll nachfolgend im Rahmen einer kleiner Checkliste, die keinen Anspruch auf Vollständigkeit erhebt, die wichtigsten Punkte zur Umsetzung der DSGVO dargestellt werden, um Sanktionen in Form von Bussgeldern von Aufsichtsbehörden oder Abmahnungen von Konkurrenten oder sog. Abmahnvereinigungen zu vermeiden.

Zunächst soll Ihnen ein kurzer Überblick über den Anwendungsbereich der DSGVO und die Rechtsgrundlagen für eine ordnungsgemässe Datenerhebung gegeben werden. Anschliessend sollen die erforderlichen Schritte zur Umsetzung in der Praxis kurz erläutert werden.

Anwendungsbereich der DSGVO auch für Schweizer Unternehmen

Sachlich gilt die DSGVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO). Die DSGVO gilt nicht im Gegensatz zum Schweizer Datenschutzgesetz für das Bearbeiten von Daten juristischer Personen.

Örtlich gilt die DSGVO vollumfänglich für die Verarbeitung personenbezogener Daten durch Unternehmen und andere Verantwortliche mit Sitz in einem EU-Mitgliedstaat. Für Schweizer Unternehmen mit Tochtergesellschaften oder Zweigniederlassungen oder Repräsentationsbüros gilt die DSGVO für den jeweiligen Ableger und dessen eigene Datenverarbeitung.

Für Schweizer Unternehmer oder Verantwortliche, die keinen Ableger in der EU haben, gilt die DSGVO nach dem sog. „Marktortprinzip“ gemäss Art. 3 Abs. 2 DSGVO wenn sie

  • betroffenen Personen in der Union Waren oder Dienstleistungen anbieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist, oder
  • das Verhalten betroffener Personen beobachten, soweit ihr Verhalten in der Union erfolgt. Gemeint ist ein Aufzeichnen des Verhaltens der Person im Internet (sog. Tracking). Das ist bereits mit dauerhaft oder zumindest langfristig gespeicherten Cookies durch Betreiben einer Internetseite in der Schweiz gegeben, die auch naturgemäss Personen in der EU zur Verfügung steht. Auch das Versenden eines Newsletters fällt bereits unter den Anwendungsbereich der DSGVO.


Damit sind sehr viele Schweizer Unternehmen betroffen, auch wenn sie keine Niederlassung in der EU haben. Denn über eine eigene Webseite bewerben sie häufig Kunden aus der EU, nicht selten auch mit eigenen Newslettern.

Rechtmässigkeit der Verarbeitung

Gemäss Art. 5 Abs. 1 b) und e) DSGVO dürfen personenbezogene Daten unter anderem nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Bei der Verarbeitung ist eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten gemäss Art. 5 Abs. 1 f) DSGVO. Jeder einzelne Verantwortliche muss über die Einhaltung dieser Grundsätze jeweils Rechenschaft ablegen können nach Art. 5 Abs. 2 DSGVO.

Gemäss DSGVO besteht für die Verarbeitung personenbezogener Daten ein Verbot mit Erlaubnisvorbehalt. Das heisst, die Verarbeitung ist nur unter bestimmten Bedingungen beziehungsweise Rechtfertigungsgründen rechtmässig nach Art. 6 Abs. 1 DSGVO. Die DSGVO zählt hierzu sechs mögliche Bedingungen für die Rechtmässigkeit der Datenverarbeitung auf. Es genügt, wenn mindestens eine Bedingung erfüllt ist:

  • Die Verarbeitung ist für die Vertragserfüllung oder für vorvertragliche Massnahmen erforderlich, zum Beispiel für die Beantwortung von Anfragen über ein Kontaktformular oder per Telefon, aber auch um einen Mandatsauftrag erfüllen zu können (Art. 6 Abs. 1 b) DSGVO).
  • Die Verarbeitung ist zur Wahrung der überwiegenden eigenen berechtigten Interessen erforderlich (Art. 6 Abs. 1 f) DSGVO). Es muss eine Abwägung gegenüber den Interessen sowie Grundfreiheiten und Grundrechten der betroffenen Person stattfinden. Der DSGVO lassen sich unter anderem die Betrugsbekämpfung, Direktwerbung und die Informationssicherheit als berechtigte Interessen entnehmen. Immer muss aber auf die vernünftigen Erwartungen der betroffenen Personen abgestellt werden.
  • Die Verarbeitung erfolgt aufgrund einer freiwilligen und unmissverständlichen Einwilligung der betroffenen Person für einen bestimmten Zweck oder mehrere bestimmte Zwecke (Art. 6 Abs. 1 a) i. V. m. Art. 4 Ziff. 11 DSGVO).
  • Die Erforderlichkeit zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 c) DSGVO).
  • Die Erforderlichkeit für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt (Art. 6 Abs. 1 e) DSGVO).
  • Die Erforderlichkeit zum Schutz von lebenswichtigen Interessen von anderen Personen als weiterer Rechtfertigungsgrund (Art. 6 Abs. 1 d) DSGVO).


Die sich aus dem bisher Gesagten ergebende Rechenschaftspflicht des Verantwortlichen, dass die in Art 5 Abs. 1 DSGVO festgelegten Grundsätze (Rechtmässigkeit, Zweckbindung, Datenminimierung, sachliche Datenrichtigkeit, zeitliche Speicherbegrenzung und Vertraulichkeit) eingehalten werden, muss konkret umgesetzt und dokumentiert werden. In diesem Zusammenhang ist Folgendes vorzukehren, sofern noch nicht geschehen:

Checkliste

  • Verfassen einer Datenschutzerklärung für die Unternehmenswebseite mit Nennung des Verantwortlichen für die Datenverarbeitung, eines Datenschutz-Vertreters in der EU für schweizerische Unternehmen, Beschreibung der Erhebung und Speicherung personenbezogener Daten beim Besuch der Webseite (z. Bsp. bei der Anmeldung zu einem Newsletter), das Setzen von Cookies und die Nutzung von Analyse-Tools, Nennung der Betroffenen- und Widerspruchsrechte sowie Ausführungen zur Datensicherheit.
  • Datenschutzhinweise in schriftlicher Form samt Einwilligungsmöglichkeit und Widerspruchsrecht zur Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO bei der Vertragsanbahnung mit Kunden. Jeder Verantwortliche hat den betroffenen Personen schon bei der Datenerhebung bestimmte Informationen über die Verarbeitung ihrer Daten zu geben. Zumindest muss er darauf hinweisen, wo die Informationen leicht zugänglich sind (z. B. Anlage zum Vertrag mit Kunden, Homepage). Die betroffenen Personen haben auch das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten.
  • Verzeichnis der Verarbeitungstätigkeiten. Nach Art 30 DSGVO sind in einem schriftlichen Verarbeitungsverzeichnis die einzelnen zur Berufsausübung vorgenommenen Tätigkeiten differenziert nach Verarbeitungszwecken, Löschfristen und Massnahmen zur technischen und organisatorischen Datensicherheit anzugeben. Wesentliche Verarbeitungstätigkeiten sind z. B.: Verarbeitung von Kunden- und Lieferantendaten sowie Rechnungsstellung, Betrieb der Webseite, Gehaltsabrechnung der Mitarbeiter usw. Das Verarbeitungsverzeichnis gliedert sich in einen allgemeinen Teil, in dem die grundsätzlichen Feststellungen etwa zum Verantwortlichen und Datenschutzbeauftragen aufgeführt und einen besonderen Teil, in dem die einzelnen Prozesse der Verarbeitungsvorgänge personenbezogener Daten dokumentiert werden. Sinn und Zweck des Verarbeitungsverzeichnisses ist es, sich der einzelnen Verarbeitungsvorgänge bewusst zu werden. Es muss die Legitimationsgrundlage und der Zweck der Verarbeitung sowie die Kategorien von personenbezogenen Daten und Empfänger dieser Daten niedergelegt werden. Zudem muss die Löschfrist oder die Information für die Feststellung der Löschfrist enthalten sein. Darüber hinaus empfiehlt sich auch die Aufnahme der Informationen für die technischen/organisatorischen Massnahmen.
  • Prüfung der Auftragsdatenverarbeitung und der diesbezüglichen Vereinbarungen. Sobald Verantwortliche Dienstleistungen (z. B. IT-Wartung oder Webhosting) in Anspruch nehmen, um personenbezogene Daten in Ihrem Auftrag durch andere Unternehmen verarbeiten zu lassen, ist ein Vertrag zur Auftragsverarbeitung erforderlich gemäss Art. 28 DS-GVO.
  • Beschäftigtenschutz für Unternehmen mit Sitz in Deutschland. Der Beschäftigtendatenschutz ist in § 26 des deutschen Bundesdatenschutzgesetzes (BDSG-neu) geregelt. Die Regelungen gelten unabhängig von der Art der Verarbeitung, d. h. auch bei der Verarbeitung in Papier. Hierunter sind auch Bewerberdaten zu fassen. Hier ist bei der Speicherdauer von Bewerberdaten zu beachten, dass diese ca. sechs Monate ab Zugang des Ablehnungsschreibens aufbewahrt werden dürfen und danach gelöscht werden müssen. Die Daten der Mitarbeiter eines Unternehmens dürfen zur Durchführung des Arbeitsverhältnisses während der gesamten Dauer der Beschäftigung in besonders gesicherten Personalakten aufbewahrt werden. Nach Beendigung des Arbeitsvertrages gelten zum Teil nachvertragliche Aufbewahrungspflichten. Beschäftigte in der Schweiz können sich nicht auf die DSGV berufen.
  • Verpflichtung der Mitarbeiter auf das Datenschutzgeheimnis. Artikel 29 DSGVO schreibt vor, dass Beschäftigte, egal, ob es sich um Beschäftigte eines Auftragsverarbeiters oder um Beschäftigte eines Verantwortlichen handelt, personenbezogene Daten ausschliesslich auf Weisung des Arbeitgebers verarbeiten dürfen (es sei denn es gibt eine gesetzliche Regelung, die die Verarbeitung vorschreibt). Der Verantwortliche bzw. der Auftragsverarbeiter werden durch Artikel 32 Abs. 4 verpflichtet, Schritte einzuleiten, die eben dies sicherstellen. Obwohl also eine explizite Verpflichtung zur Vertraulichkeit nur für die Auftragsverarbeiter und ihre Beschäftigten vorgesehen ist (Artikel 28 Abs. 3 Satz 2 b) DSGVO), trifft die Verpflichtung inhaltlich aus den oben genannten Gründen auch auf verantwortliche Unternehmen und ihre Beschäftigten zu. Wie diese Verpflichtung umgesetzt wird, regelt die DSGVO indes nicht. Wir empfehlen, ebenso wie die Datenschutzaufsichtsbehörden, dies mit einer schriftlichen Verpflichtungserklärung zu tun.
  • Sicherheit der Verarbeitung und Organisation. Gemäss Art 32 DSGVO müssen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Massnahmen vorkehren, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören u. a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, Firewall, regelmäßige Backups, Virenscanner und Benutzerrechte.
  • Klären, ob eine Datenschutz-Folgeabschätzung durchgeführt werden muss. Gem. Art. 35 DSGVO muss vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchgeführt werden, wenn eine Form der Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (z. Bsp. bei Gesundheitsdaten). Die Mindestangaben der Folgenabschätzung gem. Art. 35 Abs. 7 DSGVO umfassen Folgendes:
  1. Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zweck der Verarbeitung, ggf. der von dem verantwortlichen Unternehmen verfolgten berechtigten Interessen;
  2. eine Bewertung der Notwendigkeit und der Verhältnismässigkeit der Verarbeitung in Bezug auf den Zweck;
  3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gem. Art. 35 Abs. 1 DSGVO und
  4. die zur Bewältigung der Risiken geplanten Abhilfemassnahmen einschliesslich Garantien, Sicherheitsvorkehrung und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die datenschutzrechtlichen Vorschriften eingehalten werden. Dabei muss den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden.
  • Meldepflichten bei Datenschutzverletzungen. Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z. B. Diebstahl, Hacking, Fehlversendung, Verlust von Geräten mit unverschlüsselten Mandantendaten), so bestehen gesetzliche Meldepflichten gegenüber der Aufsichtsbehörde gemäss Art 33 DSGVO (innerhalb von 72 Stunden) und gegenüber den Betroffenen gemäss Art 34 DSGVO.
  • Notfall-und Löschkonzept. Sobald keine gesetzliche Grundlage  mehr für die Speicherung von personenbezogenen Daten besteht, sind diese zu löschen. Dies ergibt sich aus dem Grundsatz nach Art. 5 Abs. 1 e) DSGVO (sog. „Speicherbegrenzung“) und Art. 17 DSGVO.
  • Festlegung des Standardvorgehens bei der Geltendmachung von Betroffenenrechten. Wurde ein Verfahren eingerichtet, um Anträge von betroffenen Personen auf Auskunft zu den eigenen Daten nach Art. 15 DSGVO zeitnah und vollständig erfüllen zu können gemäss Art. 12 Abs. 1 DSGVO? Wurde ein Verfahren eingerichtet, um Anträge auf Datenübertragbarkeit betroffener Personen erfüllen zu können nach Art. 20 DS-GVO?
  • Verfassen einer internen Datenschutzrichtlinie für das ganze Unternehmen. In unternehmensinternen Richtlinien sollten klare Regeln für die Datenverarbeitung aufgestellt werden mit dem Ziel des rechtskonformen Handelns. Art. 24 DSGVO legt die Erstellung derartiger Richtlinien nahe. Sie geben Mitarbeitern Orientierung, wenn es darum geht, Datenschutzverstösse, Datenpannen und Datenlecks zu vermeiden. Zugleich lässt sich durch Datenschutzrichtlinien gegenüber der Aufsichtsbehörde dokumentieren, dass das Unternehmen die gesetzlichen Pflichten zur Vorsorge gegen Datenschutzverstösse ernstgenommen hat.
  • Soweit erforderlich, einen Datenschutzbeauftragten bestellen und der zuständigen Aufsichtsbehörde in der EU melden.
  1. In Deutschland ist in der Regel ist nur dann ein Datenschutzbeauftragter vom Verantwortlichen zu benennen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das bedeutet, dass ein Datenschutzbeauftragter bestellt werden muss, wenn mindestens zehn Personen Zugang zur Unternehmens-EDV haben (dabei ist der Zugang zu E-Mails ausreichend), unabhängig vom Tätigkeitsumfang (auch Teilzeitkräfte).
  2. In der Schweiz spricht man von einem betrieblichen Datenschutzverantwortlichen.
    Hier hat ein Unternehmen die Möglichkeit, einen Mitarbeiter oder einen Dritten als Datenschutzverantwortlichen zu bezeichnen (Art. 12a Verordnung zum Datenschutzgesetz (VDSG)). Dieser ist sodann für die Datensammlungen und alle Datenschutzthemen verantwortlich. Als Datensammlung gilt jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind (Art. 3 g) Datenschutzgesetz (DSG)). Zwingend ist die Einsetzung in der Schweiz nur für Unternehmen, wenn sie ihre Datensammlungen nicht beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) melden möchten. Zwingend muss im Unternehmen ein DPO bestellt werden, wenn zu den Kernaktivitäten des Unternehmens die umfangreiche regelmässige und systematische Überwachung von Betroffenen und/oder sensitive Daten umfangreich verarbeitet werden.
  • Wenn eine Datenverarbeitung vorliegt, die eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO erfordert, muss gemäss § 38 Abs. 1 Satz 2 BDSG-neu in Deutschland ein Datenschutzbeauftragter benannt werden, unabhängig von der Anzahl der mit der Datenverarbeitung beschäftigten Personen. Das dürfte auch für Unternehmen mit Sitz in der Schweiz gelten.


Abschliessend könnten sich Unternehmen mit Sitz in der Schweiz fragen, was sie denn zu befürchten hätten, wenn sie die Vorgaben der in der EU in Kraft getretenen und seit dem 25.5.2018 geltenden DSGVO nicht umsetzen. Nach Art 58 DSGVO stehen der zuständigen Aufsichtsbehörde Untersuchungsbefugnisse zu und sie kann gegebenenfalls Geldbussen bis zu einer Höhe von 20 Mio. € oder bis zu 4 % des Jahresumsatzes eines betroffenen Unternehmens verhängen. Eine andere Frage ist, ob diese Sanktionen in der Schweiz durchgesetzt werden können. Anderseits können Unternehmen von Konkurrenten oder sog.“Abmahnvereinigungen“ abgemahnt und mit kostenpflichtigen Unterlassungserklärungen konfrontiert werden, die diese gegebenenfalls auch in ihren Heimatländern versuchen werden, gerichtlich durchzusetzen. Im Übrigen wird zur Zeit das schweizerische Datenschutzrecht revidiert und an das Europäische Recht angepasst. Unternehmen werden also zukünftig nicht darum herumkommen, sich mit der Materie auseinander zu setzen.

Sofern Sie jetzt festgestellt haben, dass Sie von der DSGVO erfasst werden und noch nichts zu deren Umsetzung in die Wege geleitet haben, sollten Sie mit den Massnahmen mit der grössten Aussenwirkung beginnen. Hierzu zählt mit Sicherheit die Anpassung Ihrer Firmenwebseite hinsichtlich der Datenschutzerklärung und Einwilligungsmöglichkeit der Empfänger Ihres Newsletters, falls Sie einen versenden. Daneben sollte Ihren Kunden gegenüber Datenschutzhinweise erstellt und mitgeteilt werden.