Neuer EU-Datenschutz – Gefahr für Schweizer KMU?

Datenschutz kurz erklärt im neuen Blog zu den rechtlichen Hotspots in der digitalen Welt digilaw.ch: Digital Personality (Identity, Privacy).

Artikel mit Interview mit Rechtsanwalt Ueli Grüter in der Luzerner Zeitung vom 10.01.2018

Ab dem 25. Mai 2018 kommt die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) zur Anwendung. Für Unternehmen hat die Verordnung gravierende Folgen. Neben Schadenersatzforderungen der Betroffenen drohen bei Verstössen Bussen von bis zu 4 % des globalen Umsatzes und fehlbare Manager, Datenschützer und übrige Entscheidungsträger können mit Bussen bis zu 20 Mio. Euro bestraft werden. Schweizer Unternehmen sind davon nicht gefeit. Denn nach dem sogenannten Marktort- oder auch Auswirkungsprinzip kommt die Verordnung auch auf Schweizer Unternehmen zur Anwendung, wenn ihre Datenverarbeitung dazu dient, betroffene Personen in der EU Waren oder Dienstleistungen – entgeltlich oder unentgeltlich – anzubieten. Die Verordnung kommt zudem auch dann auf Schweizer Unternehmen zur Anwendung, wenn diese oder ihre Beauftragten betroffene Personen in der EU beobachten.

Obwohl die Datenschutz-Grundsätze (Rechtmässigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftsplicht) die gleichen bleiben, bedeutet die Verordnung ein Quantensprung im Datenschutz. Die Verordnung bringt den Unternehmen einen erheblichen Mehraufwand. Unternehmen müssen umfassende neue Strukturen und Prozesse schaffen, um den Vorgaben der Verordnung zu entsprechen. Die Verordnung verlangt eine erweiterte Dokumentations- und Nachweispflicht, eine Analyse der Datenschutzrisiken, eine Datenschutz-Folgeabschätzung bei voraussichtlich hohen Risiken, umfassende Informationspflichten bei der Datenerhebung, striktere Löschpflichten und ein Recht auf Vergessenwerden, erhebliche Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen, einen stärkeren Datenschutz durch Technik und Voreinstellungen, ein Verzeichnis von Verarbeitungstätigkeiten, zusätzliche Verantwortung für Datenschutzbeauftragte im Unternehmen, umfassende Rechte der Betroffenen, insb. die Rechte auf Auskunft, Berichtigung, Löschung und eben das Recht auf Vergessenwerden.

Die EU-Datenschutzverordnung bringt nicht nur Zusatzaufwand für Unternehmen, sondern erleichtert diesen auch das Business in bestimmten Bereichen. So fallen z.B. die Daten juristischer Personen nicht mehr unter den Datenschutz (inskünftig wohl auch in der Schweiz), was den Bereich B2B erheblich entlastet. Daten von juristischen Personen sind aber inskünftig nicht „Freiwild“, sondern sind immer noch durch den generellen Persönlichkeitsschutz sowie insb. den Grundsätzen des Lauterkeitsrechts (in der Schweiz UWG) geschützt.

Schweizer Unternehmen, die auf dem EU-Markt tätig sind, dort insb. Daten erheben oder Marktteilnehmer beobachten, ist dringend zu raten, sich umgehend mit der neuen EU-Datenschutz-Grundverordnung zu befassen und entsprechende Vorkehren im Unternehmen zu treffen. Dabei dürfte der Zuzug von Datenschutz-Fachleuten unumgänglich sein.

Entsprechende datenschutzrechtliche Vorkehren sind aber nicht nur ein Tribut an die EU. Unter dem indirekten Druck der EU-Datenschutzreform, aber auch unter dem direkten Druck der Revision der Datenschutz-Konvention 108 des Europarates, bei der die Schweiz ja auch Mitglied ist und die sich wiederum auch an der EU-Verordnung orientiert, ist auch in der Schweiz eine Revision des Datenschutzgesetzes (DSG) in der Pipeline, die sich ihrerseit an der EU-Verordnung und an der Europarats-Konvention orientiert. Auch wenn der künftige Schweizer Datenschutz weniger rigide sein dürfte, z.B. wohl auch weniger drastische Bussen vorsehen wird, bewegt sich der Datenschutz in Richtung der EU-Verordnung. Damit dürften Schweizer Unternehmen, die ihren Datenschutz schon jetzt auf das neue Niveau der EU anheben, auch für das künftige Niveau in der Schweiz bestens gerüstet sein.

Datenschutz und Datenvertraulichkeit ist aber nicht nur ein juristischer Faktor, sondern ein ökonomischer Schlüssel in einer digitalisierten Geschäftswelt.

Zum Datenschutz-Fahrplan des Nationalsrats in der NZZ: https://t.co/DekGp0FuCQ

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch