Digitale Transformation und Datenschut-Compliance

50
Recht
Digitalisierung, Teil 1/ 3
Digitale Transformation
und Datenschutz-Compliance
Die Datenschutz-Compliance spielt im Zusammenhang mit der «digitalen Transformation»
eine immer wichtigere Rolle. Auch Unternehmen, die bisher kaum Berührungspunkte mit
dem Datenschutz hatten, müssen mit neuen Pflichten rechnen.
››Anselm Filliger
Die «digitale Transformation» ist nicht
nur ein Schlagwort der Stunde, sondern
sie ist eine Tatsache, die zu gewaltigen
Umwälzungen und Neuausrichtungen
führt. Davon betroffen sind insbesondere
auch die Unternehmen und deren Führungspersonal. So rücken durch die neuen
Umstände vormals eher stiefmütterlich
behandelte Verantwortungsfelder in das
Blickfeld umsichtiger Führung und die Datenschutz-Compliance spielt im Zusammenhang mit der «digitalen Transformation» eine immer gewichtigere Rolle.
Unternehmen, die vormals kaum Berührung mit dem Datenschutz hatten oder
vermeinten, keinen zu haben, nehmen
durch den Einsatz digitaler Hilfsmittel,
die (bewusste oder unbewusste) Verwendung von Cloud-Diensten und Apps sowie
des Internets der Dinge vermehrt und verstärkt die Rolle eines Datenbearbeiters
ein. Diese Stellung ist mit Pflichten verbunden.
Verstärkter Datenschutz
Zurzeit sind in der EU wie auch in der
Schweiz Bestrebungen im Gange, den
Datenschutz zu stärken. Am 4. Mai 2016
wurde die finale Fassung der EU-Datenschutzgrundverordnung veröffentlicht,
KMU-Magazin Nr. 9, September 2016
deren Bestimmungen im Jahr 2018 in
Kraft treten sollen. Eine Stärkung soll der
Datenschutz insbesondere dahingehend
erhalten, dass Verfehlungen mit Bussen bis
zu 20 Millionen Euro oder 4 Prozent des
Jahresumsatzes geahndet werden können.
! ››
kurz & bündig
Unternehmen, die vormals kaum
Berührung mit dem Datenschutz
hatten, nehmen durch den Einsatz digitaler Hilfsmittel, die Verwendung diverser Cloud-Dienste
und Apps sowie des Internets der
Dinge verstärkt die Rolle eines Datenbearbeiters ein.
Der Bundesrat hat das Eidgenössische Justiz- und Polizeidepartement (EJPD) beauftragt, einen
Vorentwurf für eine Revision des
DSG abzugeben, wobei die Reformen auf der europäischen Ebene
genau mitberücksichtigt werden
sollen.
Die Verantwortung darüber, dass
die Bestimmungen des Datenschutzes eingehalten werden,
liegt bei der AG letztendlich beim
Verwaltungsrat.
››
››
Pikantes Detail für Schweizer Unternehmen: Auch sie können unter Umständen
unter den Anwendungsbereich dieses
europäischen Regelwerks fallen. In der
Schweiz hat der Bundesrat das Eidgenössische Justiz- und Polizeidepartement
(EJPD) beauftragt, bis August 2016 einen
Vorentwurf für eine Revision des DSG
abzugeben, wobei gemäss Medienmit
teilung des EJPD die Reformen auf der
europäischen Ebene ausdrücklich mit
berücksichtigt werden. Nachfolgende
Artikelserie will vorab die Grundzüge des
Schweizer Datenschutzrechts erläutern,
insbesondere die Pflichten des Daten
bearbeiters sowie die Verantwortungsträger innerhalb des Unternehmens bezeichnen sowie gewisse Fallstricke, die durch
ein Unternehmen in Bezug auf Benutzung
von Cloud-Diensten und die grenzüberschreitende Datenbekanntgabe zu beachten sind. In einem folgenden Artikel wird
die Datenschutzgrundverordnung der
EU, ihre Auswirkungen auf Schweizer Unternehmen wie auch die Revision des Datenschutzgesetzes (DSG) beleuchtet.
Bestandteil einer Compliance
Wer Personendaten bearbeitet, trägt die
datenschutzrechtliche Verantwortung
über diese Daten und deren korrekte Be-
51
Recht
Konsument
Konsument
Mitarbeiter
Kunde
Mitarbeiter
KMU
e
sv
Ko
tra
g
Datenbearbeitung
=
Verantwortung
ten
en
um
ns
«V
er
er,
eit
rb
g
ita
tra
,M
r
Ve
en
nd
Ku
rh
Da
an
ten «In
dl
: K ter
un
es
un
ge
de sen
n»
n,
»
M
ita
rb
eit
er
Kunde
n:
Jedes Unternehmen ist damit von Gesetzes wegen Bearbeiter von Personendaten,
sei es auch nur durch das Bearbeiten von
Personendaten der eigenen Mitarbeiter.
Der erlaubte Umgang mit diesen Daten ist
in Art. 328b OR vorgegeben. Betreffend
den korrekten Umgang mit Mitarbeiterdaten sind die meisten Unternehmen
durch längere Erfahrung, eine bekannte
Gesetzgebung sowie Rechtsprechung besser vertraut als mit den Datenbearbeitungen weiterer Personen. So bearbeiten Unternehmen nicht nur die Daten ihrer
Mitarbeiter, sondern auch die Daten ihrer
sprechende datenschutzrechtliche Verantwortung – hier beginnt für viele Unternehmen Neuland in der Compliance.
Abb. 1: Datenschutz als Bestandteil einer Compliance
te
Da
Als Bearbeiten gilt gemäss Art. 3 lit. e DSG
«jeder Umgang» mit Personendaten, unabhängig von den angewandten Mitteln
und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten.
Kunden sowie unter Umständen deren
Mitarbeiter oder die Daten der Kunden
der Kunden und tragen auch hier die ent-
›
arbeitung. Das DSG nimmt gemäss Art. 2
DSG private Personen (d. h. auch juristische Personen), welche Personendaten
bearbeiten, in die Pflicht. Als Personendaten sind gemäss Art. 3 lit. a DSG alle
Angaben zu zählen, die sich auf eine bestimmte oder bestimmbare Person beziehen: Somit auf alle Angaben, die eine Person bestimmbar machen.
Arbeitsvertrag / Weisungen
0R 328b
Mitarbeiter
KMU-Magazin Nr. 9, September 2016
52
Recht
Abb. 2: Verantwortung bei Datenbearbeitung durch Dritte
Datenbearbeitung
Datenbearbeitung
Google
Microsoft
DSG 10a
DSG 10a
KMU
Verantwortung
DSG 10a
Jeder Bearbeiter von Personendaten hat
sicherzustellen, dass die Personendaten
rechtmässig bearbeitet werden, diese Bearbeitung verhältnismässig ist, die Daten
nur zu dem mitgeteilten Zweck bearbeitet
werden und die Bearbeitung für die betroffenen Personen erkennbar ist. Ausserdem hat der Bearbeiter von Personendaten die Richtigkeit der Daten zu gewährleisten und den Betroffenen Auskunft auf deren Anfrage zu erteilen.
Grosse Anforderungen an eine korrekte
Compliance stellen dabei insbesondere
die Zweckbindung der Bearbeitung gemäss Art. 4 Abs. 3 DSG, wonach die Daten nur so bearbeitet werden dürfen, wie
es den Betroffenen mitgeteilt wurde oder
für diese erkennbar ist, sowie die Einhaltung der Verhältnismässigkeit. Die Einhaltung und Kontrolle dieser Grundsätze
stellt die Datenschutz-Compliance dar.
Datenbearbeitung durch Dritte
Datenbearbeitung
Salesforce
Daten werden von den Unternehmen
häufig gar nicht mehr selber bearbeitet,
sondern diese Bearbeitung wird bewusst
(aber auch unbewusst) an Dritte delegiert. Jede Nutzung eines Cloud-Diens-
Schritte einer Datenschutz-Compliance
Erster Schritt einer DatenschutzCompliance: Übersicht über die
Bearbeitungen schaffen
Primär hat das Unternehmen Klarheit und
Transparenz darüber zu verschaffen, welche Daten von welchen Personen es überhaupt bearbeitet. Es stellen sich Fragen wie:
Welche Personendaten bearbeiten wir?
Von wo haben wir diese Daten?
Was machen wir mit diesen Daten?
Überspannen wir eine allfällige Einwilligung? Liegt überhaupt eine solche vor?
Speichern wir die Daten, löschen wir
diese? Wo sind diese gespeichert? Wann
werden die Daten gelöscht? Etc.
Und schliesslich: Leiten wir diese Daten
an einen Dritten weiter?
››
››
››
››
››
››
KMU-Magazin Nr. 9, September 2016
Zweiter Schritt einer DatenschutzCompliance: Übersicht über die
Bearbeiter verschaffen
Sobald für ein Unternehmen ersichtlich ist,
dass es seine Daten durch Dritte bearbeiten
lässt, hat es umgehend einen Überblick
über die bestehende Vertragslage zu erstellen. Unter anderem folgende Fragen sind zu
beantworten:
Wer macht was mit unseren Daten?
Welche Verträge liegen vor?
Was erlauben wir dem Dritten?
Wie überbinden wir ihm die uns obliegenden Pflichten?
Wo befindet sich der Dritte?
Kommt es zu einem Datentransfer ins
Ausland? Falls ja: Wie legitimieren wir
diesen Transfer?
››
››
››
››
››
››
Dritter Schritt einer DatenschutzCompliance: Übersicht über die
Verantwortungen schaffen
Der Verwaltungsrat trägt die letztendliche
Verantwortung über die Organisation der
Gesellschaft sowie die Einhaltung der Gesetze:
Aufzeigen der Prozesse
Verantwortliche Personen benennen
Unter anderem Einsetzung eines betrieblichen Datenschutzbeauftragten
Organisationsreglemente, IT-Nutzungsreglemente, u. U. Datenbearbeitungsreglemente
Jeder Mitarbeiter ist in seinem Bereich
für die Einhaltung des Datenschutzes verantwortlich.
Schulungen der Mitarbeiter
››
››
››
››
››
››
53
Recht
tes, jede Nutzung einer App durch ein
Unternehmen stellt eine Datenbearbeitung durch einen Dritten dar. Die Aus
lagerung von Datenbearbeitungen an
Dritte ist gemäss Art. 10a DSG erlaubt.
Wichtig und zentral ist jedoch Folgendes: Wer als Datenbearbeiter gilt, trägt
weiterhin die datenschutzrechtliche Verantwortung für die korrekte Bearbeitung
dieser Daten.
So hält Art. 10a DSG fest, dass das Bearbeiten von Personendaten durch einen
Dritten zulässig ist, es dazu aber einen
Vertrag braucht, der sicherstellt, dass die
Daten vom Dritten nur so bearbeitet werden, wie der Auftraggeber es selbst tun
dürfte (Zweckgebundenheit der Datenbearbeitung); und keine gesetzliche oder
vertragliche Geheimhaltungspflicht es
verbietet. Oft benutzen Unternehmen die
Dienste von Salesforce um ihren Kundenstamm zu verwalten, als E-Mail-Lösung
entscheidet man sich unter Umständen
für G-Mail und man bezieht die Rechenpower von Microsoft Azure.
Datentransfer ins Ausland
Insbesondere bei den vorgenannten Beispielen wird ersichtlich: Oft wird die
Datenbearbeitung nicht nur an Dritte
ausgelagert, sondern es kommt zu einem
grenzüberschreitenden Datentransfer.
Ein solcher ist nur innerhalb der Vor
gaben von Art. 6 DSG zulässig. Nach Art.
6 Abs. 1 DSG können Personendaten ins
Ausland bekannt gegeben werden, wenn
das Zielland eine Gesetzgebung ausweist,
die einen angemessenen Schutz der Persönlichkeit der betroffenen Personen gewährleistet.
Weist das Zielland keinen angemessenen
Schutz aus, ist eine Datenlieferung nur
noch unter den Voraussetzungen von Art.
6 Abs. 2 DSG möglich. Nach dieser Bestimmung ist ein Transfer unter anderem
möglich, wenn der Empfänger durch eine
hinreichende Garantie, die einen angemessenen Schutz gewährleistet, also insbesondere durch Vertrag, in die Pflicht
genommen wird. Denkbar ist auch, dass
die betroffene Person im Einzelfall eingewilligt hat.
Wer Daten ins Ausland bekannt gibt, zum
Beispiel durch Nutzung eines auslän
dischen Cloud-Dienstes, hat damit nicht
nur Art. 10a DSG, sondern auch die
Vorgaben von Art. 6 DSG zu kennen und
einzuhalten. Insbesondere ist hier von
Schweizer Unternehmen zu beachten,
dass infolge des Urteils des EUGH vom
6. Oktober 2015 betreffend Ungültigkeit
des «Safe Harbor»-Abkommens der EU
mit den USA der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftrage
(EDÖB) verlauten liess, dass das entsprechende «Safe Harbor»-Abkommen der
Schweiz mit den USA ebenfalls keine genügende Rechtsgrundlage mehr für einen
Datentransfer in die USA darstellt.
Nach diesem Abkommen konnten sich
US-Unternehmen selber zertifizieren und
sich damit nach US-Recht verpflichten,
die im «Safe Harbor»-Abkommen aufgestellten Bedingungen einzuhalten, womit
ein Transfer zu diesen Unternehmen erlaubt war. Obwohl streng rechtlich gesehen das Schweizer «Safe Harbor»-Abkommen noch immer Bestand hat – der EDÖB
hat nicht die Kompetenz, dieses ausser
Kraft zu setzen –, ist es den betroffenen Unternehmen aus Risikoüberlegungen dringend empfohlen, von der Ungültigkeit des
Abb. 3: Verantwortung beim Datentransfer ins Ausland
Datenbearbeitung
Google Apps
Datenbearbeitung
DSG 6
Teamdrive
DSG 6
USA
EU
CH
CH
KMU
Verantwortung
CH
DSG 6
USA
Datenbearbeitung
Salesforce
KMU-Magazin Nr. 9, September 2016
54
Recht
«Safe Harbor»-Abkommens auszugehen
und schon jetzt den Datentransfer in die
USA auf andere Weise zu legitimieren. In
Deutschland wurden denn auch Unternehmen, die die Rechtmässigkeit ihres
Datentransfers nach dem Urteil des EUGH
weiterhin lediglich auf das «Safe Harbor»Abkommen stützen wollten, gebüsst.
Zwischen der EU und den USA fanden im
Anschluss an dieses Urteil Verhandlungen
über einen «Privacy Shield» statt, der
das «Safe Harbor»-Abkommen ersetzen
sollte. Von Datenschützern wurde aber
Kritik laut und der «Privacy Shield» lediglich als ein «Safe Harbor» 2.0 bezeichnet,
weshalb es zu Neuverhandlungen kam.
Die danach ausgearbeitete Fassung ist
noch nicht öffentlich und wird jetzt durch
die Mitgliedstaaten (Artikel-31-Ausschuss)
geprüft. Es bleibt abzuwarten, ob dieser
«Privacy Shield» zustande kommt und die
Schweiz sich diesem Schild unterstellen
wird.
Verantwortung über Compliance
Die Verantwortung darüber, dass die Bestimmungen des Datenschutzes eingehalten werden, liegt bei der AG letztendlich
beim Verwaltungsrat. Er hat nach Art.
716a Abs. 1 Ziff. 5 OR die Oberaufsicht
und die mit der Geschäftsführung betrauten Personen auf die Befolgung der Gesetze, Statuten, Reglemente und Weisungen zu kontrollieren. Nach Art. 716a Abs. 1
Ziff. 2 OR hat er infolge seiner Aufgabe
der Festlegung der Organisation auch
dafür zu sorgen, dass entsprechende Organisations- und Verantwortungsreglemente vorhanden sind, die auch erst eine
korrekte Berichterstattung an den Verwaltungsrat ermöglichen.
Es ist an ihm, die Organisation seiner
Gesellschaft so aufzusetzen, dass etwa
ein IT-Nutzungsreglement erlassen wird,
welches verbindlich festhält, dass der
Einsatz von Cloud-Diensten, Apps oder
privaten Handys und Tablets von Mitarbeitenden einer Abklärung und Bewilligung bedarf. Gerade die Generation Y ist
im Privaten mit der Nutzung von Apps
KMU-Magazin Nr. 9, September 2016
und Cloud-Diensten bestens vertraut. Ein
fliessender Übergang zur geschäftlichen
Nutzung ist gang und gäbe – kann aber
zu Verletzungen der Datenschutzcompli-
ance führen. Für Verstösse dieser «Schatten-IT» bleibt letztendlich der Verwaltungsrat (resp. die Geschäftsführer der
GmbH) verantwortlich. «
Porträt
Anselm Filliger
Rechtsanwalt
Anselm Filliger, MLaw, ist Rechtsanwalt bei der Advokatur Sury AG. Sie ist beratend sowie prozessierend tätig,
insbesondere in den Bereichen Datenschutz, Vertragsmanagement und -durchsetzung, Compliance in Businessprozessen sowie Legal Risk Management.
Kontakt
[email protected]
www.dieadvokatur.ch
KMU-Magazin Nr. 9, September 2016

Download Report