Neuer EU-Datenschutz – Gefahr für Schweizer KMU?

Artikel mit Interview mit Rechtsanwalt Ueli Grüter in der Luzerner Zeitung vom 10.01.2018

Ab dem 25. Mai 2018 kommt die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) zur Anwendung. Für Unternehmen hat die Verordnung gravierende Folgen. Neben Schadenersatzforderungen der Betroffenen drohen bei Verstössen Bussen von bis zu 4 % des globalen Umsatzes und fehlbare Manager, Datenschützer und übrige Entscheidungsträger können mit Bussen bis zu 20 Mio. Euro bestraft werden. Schweizer Unternehmen sind davon nicht gefeit. Denn nach dem sogenannten Marktort- oder auch Auswirkungsprinzip kommt die Verordnung auch auf Schweizer Unternehmen zur Anwendung, wenn ihre Datenverarbeitung dazu dient, betroffene Personen in der EU Waren oder Dienstleistungen – entgeltlich oder unentgeltlich – anzubieten. Die Verordnung kommt zudem auch dann auf Schweizer Unternehmen zur Anwendung, wenn diese oder ihre Beauftragten betroffene Personen in der EU beobachten.

Obwohl die Datenschutz-Grundsätze (Rechtmässigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftsplicht) die gleichen bleiben, bedeutet die Verordnung ein Quantensprung im Datenschutz. Die Verordnung bringt den Unternehmen einen erheblichen Mehraufwand. Unternehmen müssen umfassende neue Strukturen und Prozesse schaffen, um den Vorgaben der Verordnung zu entsprechen. Die Verordnung verlangt eine erweiterte Dokumentations- und Nachweispflicht, eine Analyse der Datenschutzrisiken, eine Datenschutz-Folgeabschätzung bei voraussichtlich hohen Risiken, umfassende Informationspflichten bei der Datenerhebung, striktere Löschpflichten und ein Recht auf Vergessenwerden, erhebliche Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen, einen stärkeren Datenschutz durch Technik und Voreinstellungen, ein Verzeichnis von Verarbeitungstätigkeiten, zusätzliche Verantwortung für Datenschutzbeauftragte im Unternehmen, umfassende Rechte der Betroffenen, insb. die Rechte auf Auskunft, Berichtigung, Löschung und eben das Recht auf Vergessenwerden.

Die EU-Datenschutzverordnung bringt nicht nur Zusatzaufwand für Unternehmen, sondern erleichtert diesen auch das Business in bestimmten Bereichen. So fallen z.B. die Daten juristischer Personen nicht mehr unter den Datenschutz (inskünftig wohl auch in der Schweiz), was den Bereich B2B erheblich entlastet. Daten von juristischen Personen sind aber inskünftig nicht „Freiwild“, sondern sind immer noch durch den generellen Persönlichkeitsschutz sowie insb. den Grundsätzen des Lauterkeitsrechts (in der Schweiz UWG) geschützt.

Schweizer Unternehmen, die auf dem EU-Markt tätig sind, dort insb. Daten erheben oder Marktteilnehmer beobachten, ist dringend zu raten, sich umgehend mit der neuen EU-Datenschutz-Grundverordnung zu befassen und entsprechende Vorkehren im Unternehmen zu treffen. Dabei dürfte der Zuzug von Datenschutz-Fachleuten unumgänglich sein.

Entsprechende datenschutzrechtliche Vorkehren sind aber nicht nur ein Tribut an die EU. Unter dem indirekten Druck der EU-Datenschutzreform, aber auch unter dem direkten Druck der Revision der Datenschutz-Konvention 108 des Europarates, bei der die Schweiz ja auch Mitglied ist und die sich wiederum auch an der EU-Verordnung orientiert, ist auch in der Schweiz eine Revision des Datenschutzgesetzes (DSG) in der Pipeline, die sich ihrerseit an der EU-Verordnung und an der Europarats-Konvention orientiert. Auch wenn der künftige Schweizer Datenschutz weniger rigide sein dürfte, z.B. wohl auch weniger drastische Bussen vorsehen wird, bewegt sich der Datenschutz in Richtung der EU-Verordnung. Damit dürften Schweizer Unternehmen, die ihren Datenschutz schon jetzt auf das neue Niveau der EU anheben, auch für das künftige Niveau in der Schweiz bestens gerüstet sein.

Datenschutz und Datenvertraulichkeit ist aber nicht nur ein juristischer Faktor, sondern ein ökonomischer Schlüssel in einer digitalisierten Geschäftswelt.

Zum Datenschutz-Fahrplan des Nationalsrats in der NZZ: https://t.co/DekGp0FuCQ

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch

Ärzte-Inkasso – Schweigepflicht nach Strafgesetz und Datenschutz

Lange hatte ich nur den Eindruck, dass Ärzte mit dem Arztgeheimnis nach Art. 321 des Schweizerischen Strafgesetzbuches (StGB) gelinde gesagt salopp umgehen. Nun zeigen Medienberichte über ein Datenleck beim Inkassounternehmen EOS Schweiz AG, dass dieser Eindruck offenbar nicht täuscht (s. z.B. Tages-Anzeiger http://bit.ly/2CgbkAE).

Nach Art. 321 StGB werden Ärzte*, die Dritten gegenüber ein Geheimnis verraten, das ihnen infolge ihres Berufes anvertraut worden ist oder das sie in dessen Ausübung wahrgenommen haben, auf Antrag des Betroffenen mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

Dabei ist bereits die Tatsache des Bestehens einer Arzt-Patientenbeziehung durch dieses Berufsgeheimnis geschützt. Damit darf ein Arzt grundsätzlich diese Beziehung auch nicht gegenüber einem Betreibungsamt, einem Gericht und schon gar nicht gegenüber einem Inkassobüro kundtun, ohne dafür das Einverständnis seines Patienten eingeholt zu haben. Gibt ein ein Patient, der eine fällige Schuld aus einer Behandlung nicht bezahlt, dem Arzt dieses Einverständnis nicht, kann der Arzt an die kantonale Aufsichtsbehörde über die Ärzte gelangen, und diese um eine teilweise Aufhebung des Arztgeheimnis zur Durchsetzung der Forderung ersuchen. Diesem Ersuchen wird in begründeten Fällen in der Regel auch stattgegeben. Diese Regel gilt z.B. im Kanton Zürich (s. dazu die Weisung des Datenschutzbeauftragten http://bit.ly/2E2BN5q). Für das Inkasso von streitigen Forderungen hat jedoch z.B. der Kanton Luzern eine Ausnahme geschaffen (§22 Gesundheitsgesetz LU). Ärzte im Kanton Luzern sind zur Durchsetzung von streitigen Forderungen aus dem Behandlungsverhältnis gegenüber der beauftragten Inkassostelle und den zuständigen Behörden vom Berufsgeheimnis befreit. Sowohl in diesem, wie aber auch im Fall der Befreiung durch die Aufsichtsbehörde sind die Ärzte aber immer noch an die Regeln des Datenschutzes gebunden. Gemäss Art. 4 des Schweizerischen Datenschutzgesetzes (DSG) gilt u.a. der Grundsatz der Verhältnismässigkeit. Für den Fall des Inkassos bedeutet dieser Grundsatz, dass ein Arzt nur Informationen weitergeben darf, die dafür notwendig und geeignet sind. Dazu gehören m.E. lediglich Name und Adresse des Patienten sowie der offene Rechnungsbetrag mit dem Datum der Rechnungsstellung. Alle weiteren Informationen sind m.E. nicht gedeckt und könnten zur Bestrafung des Arztes oder seines Hilfspersonals nach Art. 321 StGB führen, sofern der Betroffene einen entsprechenden Antrag stellt (spätestens innert 3 Monaten nach Bekanntwerden des Verstosses).

*aber auch Geistliche, Rechtsanwälte, Verteidiger, Notare, Patentanwälte, nach Obligationenrecht zur Verschwiegenheit verpflichtete Revisoren, Zahnärzte, Chiropraktoren, Apotheker, Hebammen, Psychologen sowie ihre Hilfspersonen

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch

Swisscom – Illegale Daten-Lotterie?


In seinem KMU-Magazin veranstaltet das schweizersiche Telekomunternehmen Swisscom jeden Monat einen Wettbewerb bzw. ein Quiz, bei dem man Preise, wie z.B. Smartphones gewinnen kann. In den entsprechenden Teilnahmebedingungen reisst sich Swisscom die Angaben der Teilnehmer, also deren persönliche Daten nach Art. 3 lit. a des schweizerischen Datenschutzgesetzes (DSG) für künftige Werbung für eigene Produkte unter den Nagel. Ein Student von mir wollte wissen, ob dies rechtens, also legal ist. Offensichtlich hat meine juristische Sensibilisierung gefruchtet. Denn effektiv könnte diese Praxis von Swisscom gegen datenschutzrechtliche Vorschriften, aufgrund neuerer Erkenntnisse sogar gegen das Lotteriegesetz verstossen.

Art. 4 DSG nennt die datenschutzrechtlichen Grundsätze. Nach dem Grundsatz der Verhältnissmäsigkeit dürfen im Rahmen von Wettbewerben, wie dem vorliegenden, vom Veranstalter nur persönliche Daten abgefragt werden, die für die Durchführung des Wettbewerbs (Zweck) notwendig und geeignet sind. Für die Durchführung eines Wettbewerbs braucht der Veranstalter für die Identifikation und Benachrichtigung des Teilnehmers dessen Name, evtl. Geburtsdatum, und Adresse (E-Mail reicht) oder Telefonnummer. Diese Daten dürfen gemäss dem Grundsatz der Zweckbindung ausschliesslich für die Durchführung des Wettbewerbs verwendet werden. Eine Verwendung für andere Zwecke, insb. weitere Werbung, ist nicht zulässig. Zudem gilt der allgemein gültige Grundsatz von Treu und Glauben. D.h. insb., dass der Teilnehmer vom Veranstalter insb. bei der Abfrage von persönlichen Daten nicht getäuscht werden darf. Da die Rechtsprechung im Kontext der Ungewöhnlichkeitsregel davon ausgeht, dass allgemeine Geschäftsbedingungen (AGB) von den Kunden bzw. Betroffenen in der Regel nicht gelesen werden, darf ein zusätzlicher Zweck, wie hier die Verwendung der Daten für künftige Werbung, nicht in den AGB versteckt werden, sondern muss offen direkt bei der Datenerhebung kommuniziert werden. Zur Best Practice gehört diesbezüglich, dass der Teilnehmer explizit gefragt wird, ob er inskünftig Werbung wünscht. Aus diesen Gründen muss die hier praktizierte Kommunikation von Swisscom als widerrechtlich bezeichnet werden.

Das vorliegende Quiz weist aber noch einen weiteren rechtlich problematischen Aspekt auf, der es generell verbieten würde, Wettbewerbe mit dem Sammeln von Daten für künftige Werbung zu verbinden. Gemäss Art. 1 des Lotteriegesetzes (LG) sind Veranstaltungen grundsätzlich verboten, bei denen gegen Leistung eines Einsatzes oder bei Abschluss eines Rechtsgeschäftes ein vermögensrechtlicher Vorteil als Gewinn in Aussicht gestellt wird, über dessen Erwerbung, Grösse oder Beschaffenheit planmässig durch Ziehung von Losen oder Nummern oder durch ein ähnliches auf Zufall gestelltes Mittel entschieden wird*. Vorliegend verlangen die Teilnahmebedingungen, dass der Betroffene, will er am Quiz bzw. Wettbewerb teilnehmen, seine Daten für künftige Werbung des Veranstalters zur Verfügung stellt. Eine vom Massachusetts Institute of Technology (MIT) durchgeführte Studie hat ergeben, dass die persönlichen Daten, mit denen wir uns Gratisleistungen auf dem Internet „erkaufen“, einen Wert von rund 20’000 US-Dollars pro Jahr (!) aufweisen (NZZ 25.9.2017, https://www.nzz.ch/feuilleton/wir-sind-zapfstellen-fuer-die-online-giganten-ld.1317736). Damit ist bei den persönlichen Daten, die wir einem Veranstalter eines Wettbewerbs für künftige Werbung überlassen, von einem Einsatz gemäss Art. 1 LG auszugehen. Wenn nun gleichzeitig auch noch die übrigen Tatbestände nach Art. 1 LG gegeben sind, würde es sich damit um eine verbotene Lotterie handeln. Ob Art. 1 LG noch zeitgemäss ist, wird immer wieder diskutiert. Fakt ist aber, dass zwar das Lotteriegesetz in den letzten Jahren immer wieder teilrevidiert, das Konstrukt von Art. 1 LG jedoch beibehalten wurde.

Wann ist ein Wettbewerb eine generell verbotene Lotterie?

Art. 1 LG verlangt für das Bestehen einer generell verbotenen Lotterie vier Elemente, die kumulativ (also alle zusammen) gegeben sein müssen: Leistung eines Einsatzes oder Abschluss eines Geschäfts, vermögenrechtlicher Vorteil als Gewinn, geplante Durchführung sowie Zufall bei der Eruierung des Gewinners. Damit ein Wettbewerb nicht zur genell verbotenen Lotterie wird, muss folglich darauf geachtet werden, dass eines der genannten Elemente beim Wettbewerb nicht gegen ist. In der Praxis kommt dafür in der Regel lediglich der Einsatz oder der Abschluss eines Geschäfts in Frage. D.h. ein Veranstalter muss immer dafür besorgt sein, dass man am Wettbewerb auch gratis bzw. ohne Abschluss eines Geschäfts teilnehmen kann. In der Praxis wird dies häufig über eine Gratisteilahme über das Internet erfüllt.

Der oben beschriebene Fall von Swisscom könnte leicht korrigiert werden, in dem die Klausel in den Teilnahmebedingungen, die einen Zwang der Freigabe der persönlichen Daten für künftige Werbung begründet, entfernt und mit einer Box auf der Frontseite des Wettbewerbs ersetzt wird, bei der jedoch die Teilnehmer frei wählren können, ob sie inskünftig Werbung wünschen. Dabei darf jedoch die Box nicht standardmässig ein Kreuz enthalten.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch

moneyhouse.ch – Bundesverwaltungsgericht stärkt Datenschutz

Mit seinem nunmehr rechtskräftigen Entscheid A-4232/2015 vom 18. April 2017 nimmt das Bundesverwaltungsgericht (BVGer) auf Klage des Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gegen die zur NZZ-Gruppe gehörende Moneyhouse AG und deren Bearbeitung von Personendaten im Kontext der digitalen Auskunftei (insb. Bonitätsprüfungen) moneyhouse.ch Stellung. Der Entscheid stärkt den Datenschutz und den Schutz der Betroffenen in der Schweiz, was einem Trend in der EU entspricht.

Nach Art. 12 des Datenschutzgesetzes (DSG) darf, wer Personendaten bearbeitet, die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen. Gemäss Art. 13 Abs. 1 DSG ist eine Verletzung der Persönlichkeit widerrechtlich, wenn sie nicht durch Einwilligung des Betroffenen, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist. Nach Art. 13 Abs. 2 lit. c DSG kommt ein überwiegendes Interesse des Datenbearbeiters insbesondere dann in Betracht, wenn dieser zur Prüfung der Kreditwürdigkeit einer anderen Person weder besonders schützenswerte Personendaten noch Persönlichkeitsprofile bearbeitet und Dritten nur Daten bekannt gibt, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigen. Gemäss BVGer gehören dazu Name, Vorname, Geburtsdatum und Wohnort der zu prüfenden Person. Diese Daten dürfen jedoch in diesem Kontext nicht, wie von Moneyhouse bisher praktizert, mit Informationen, wie Wohn- und Lebenssituationen, Haushaltsmitglieder und Nachbarn verbunden werden. Letzteres würde zu Persönlichkeitsprofilen führen, deren Publikation nur mit expliziter, zweckgebundener Einwilligung der betroffenen Personen zulässig ist, die jedoch Moneyhouse aus wirtschaftlichen Gründen nicht einholt. Damit muss Moneyhouse seine Praxis entsprechend anpassen. Zudem wurde Moneyhouse vom BVGer basierend auf Art. 5 bzw. 7 DSG dazu verpflichtet, ihren Datenbestand betreffend Richtigkeit regelmässig zu überprüfen. Schlussendlich hat Moneyhouse Auskunftsbegehren nach Art. 8 DSG, die sich auf Datenbanken von Dritten beziehen, ohne weiteres an diese zur Beantwortung weiterzuleiten. Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch