Datum: 25.10.2016 Was bedeutet die Revision für die Unternehmen ? Eine Regulierungsfolgenabschätzung zeigt, dass die Revision des Datenschutzgesetzes die Rechte der betroffenen Personen stärken kann. Wie hoch der Umsetzungsaufwand sein wird und ob es für Schweizer Unternehmen zu Wettbewerbsnachteilen im Ausland kommt, hängt stark von der künftigen Ausgestaltung ab. Susanne Hofmann, Michael Adrian Meyer Der Bundesrat hat das Eidgenössische als Datenbearbeiter gegenüber den beJustiz- und Polizeidepartement (EJPD) troffenen Personen, Regelungen zur Datenbeauftragt, ihm bis Ende August 2016 herrschaft und zur unternehmensinternen einen Vorentwurf für eine Revision des Datenschutzorganisation sowie den grenzBundesgesetzes über den Datenschutz überschreitenden Datenverkehr. Auch die (DSG) zu unterbreiten. Dieser soll auch die Normkonzept zur Revision des Datenschutzgesetzes, Bericht der Begleitgruppe Revision DSG vom Datenschutzreformen beim Europarat und 29. Oktober 2014. Der vollständige Bericht ist online verfügbar auf Ejpd.admin.ch. der Europäischen Union berücksichtigen. Um die Auswirkungen der Revision abRegeln zur «guten Praxis», die alternative schätzen zu können, hat das Beratungs- Streitbeilegung, die Datenschutzaufsichtsbehörde, die kollektive Rechtsdurchsetzung in Zusammenarbeit mit B,S,S. Volkswirtund den Geltungsbereich des Datenschutzschaftliche Beratung für das EJPD und das gesetzes hat die RFA untersucht. Staatssekretariat für Wirtschaft (Seco) eine Die mit der Revision beabsichtigten vertiefte Regulierungsfolgenabschätzung Änderungen betreffen sämtliche in der (RFA) vorgenommen. Es wurden eine AnaSchweiz tätigen Unternehmen. Denn wer lyse der relevanten Literatur, eine BeDaten bearbeitet, untersteht dem DatenUnternehmen verschiedener fragung schutzgesetz. Die Unternehmen standen und Gespräche mit Fachpersonen durchdaher im Vordergrund dieser RFA. Wie geführt. intensiv sie allerdings betroffen sind, hängt von diversen Faktoren ab, insbesondere Kosten von der Ausgestaltung unternehmen PricewaterhouseCoopers von der Art und der Menge der ge- abhängig sammelten Daten und in welcher Weise sie Für die RFA wurde die geplante Neu- Daten bearbeiten. Für die RFA wurden die regelung mit dem gegenwärtigen Daten- schweizerischen Unternehmen daher nach schutzgesetz verglichen. Für die Neu- ihrer datenschutzrechtlichen Exponierung regelung stützte man sich auf einen segmentiert und durch die Branche und Bericht der Begleitgruppe Revision Datendie Grösse operationalisiert. schutzgesetz von Oktober 2014 («NormRund 335 000 oder 55,1 Prozent der konzept»)' Dieser stellt die wesentlichen relevanten Unternehmen' sind kleine, vorZiele der Revision dar, enthält aber noch wiegend lokal tätige Firmen, ohne Auskeine konkret ausformulierten Gesetzesartikel, so wie sie im zu erwartenden Gesetzesentwurf enthalten sein werden. Die untersuchten Massnahmen betreffen die Informationspflichten der Unternehmen Themen-Nr.: 660.003 2 Die Summe dieser Unternehmen entspricht nicht der Zahl aller Unternehmen in der Schweiz, da bei der Segmentierung gewisse Ausschlüsse gemacht wurden Abo-Nr.: 660003 Auflage: 2'100 Argus Ref.: 63174896 Datum: 25.10.2016 landsbezug, die keine anderen Daten bearbeiten als Kunden-, Lieferanten- und Mitarbeiterdaten. Beispiele sind die lokale Metzgerei oder Schreinerei (Segment A). Rund 265000 oder 43,5 Prozent machen Unternehmen aus, die innerhalb der der elektronisch durchgeführten Unternehmensbefragung quantitativ und qualitativ unzureichend waren; auf eine gesamtwirtschaftliche Hochrechnung der Auswirkungen auf Unternehmen musste daher verzichtet werden. Die Gründe des Schweiz und auch international mittels unzureichenden Datenrücklaufs liegen Einsatz von Web-IT-Technologien oder zunächst in der Komplexität des zu Cloud-Dienstleistungen die Kundendaten revidierenden Datenschutzgesetzes. Zuetwa für Marketing oder Marktanalysen dem scheint die Sensibilität der Mehrheit bearbeiten. In diese Gruppe fallen einer- der schweizerischen Unternehmen beseits alle kleinen und mittleren Unter- treffend Datenschutz eher gering zu sein. nehmen, welche ihre Kundenkontakte Dies gilt nicht nur bezüglich der Revision, primär über elektronische Kanäle voll- sondern auch hinsichtlich der heute ziehen. Andererseits gehören auch alle bereits geltenden Rechtslage. grossen Unternehmen dazu und Unter- Kosten bei Informationspflichten nehmen, die mit vielen sensitiven und Datenherrschaft Personendaten arbeiten. Beispiele sind Internetversandhändler, Banken, Arzt- Die Unternehmen des Segments A werden praxen, Anwälte und grosse Detailhändler nur von wenigen Handlungspflichten (Segment B). Vergleichsweise gering ist der Anteil der Unternehmen, deren Kerngeschäft die Datenbearbeitung ist und die ihr Geld im Wesentlichen mit Daten verdienen, wie beispielsweise Big-Data- tangiert. Deshalb werden sie durch die Revision auch vergleichsweise gering belastet. Allerdings haben einige Fachpersonen im Rahmen der Fachgespräche vorgebracht, dass kleinere und mittlere und Cloud-Dienstleister, Profiler oder Unternehmen (KMU) bei gleicher DatenWeb-2.o-Firmen (Segment C). Dies trifft bearbeitungstätigkeit stärker von den auf rund 8000 kleine bis grosse Unter- datenschutzrechtlichen Verpflichtungen betroffen sind als grosse Unternehmen. nehmen zu (1,4%). Für jedes Unternehmen ist das bislang Denn ihnen fehle heute tendenziell die noterreichte datenschutzrechtliche Niveau wendige Compliance-Infrastruktur, welche ausschlaggebend dafür, welche Aus- im Verhältnis zu grossen Unternehmen wirkungen die Datenschutzrevision mit zudem teurer sei. Eine wesentliche Besich bringen wird. Unternehmen, die dem lastung für das Segment A wird aufgrund Thema Datenschutz bereits heute ent- der erweiterten Informationspflichten ersprechende Aufmerksamkeit widmen und wartet. Die Unternehmen müssen dabei entsprechende Standards erreicht haben, die betroffenen Personen aktiv darüber werden die geplanten Massnahmen mit informieren, dass sie Personendaten beverhältnismässig geringerem Aufwand schaffen und was der Zweck davon ist. Wie umsetzen können. Vor dem Hintergrund, sie dies tun müssen, ist noch offen. Auch dass mit der Revision die Durchsetzung eine generelle Form mittels allgemeiner datenschutzrechtlicher Vorgaben gestärkt Geschäftsbedingungen wird diskutiert. wird, ist es möglich, dass Unternehmen Mehrheitlich wird diese Handlungspflicht mit geringerem Datenschutzniveau dem von den Fachpersonen als nicht besonders Thema nun mehr Relevanz beimessen. kostenintensiv erachtet, vorausgesetzt, die Anzumerken ist, dass die Daten aus Unternehmen können mittels genereller Themen-Nr.: 660.003 Abo-Nr.: 660003 Auflage: 2'100 Argus Ref.: 63174896 Datum: 25.10.2016 Erklärung auf ihrer Website oder mit AGB richtigen oder löschen, zu exorbitanten informieren. Die Kosten werden allerdings Kosten führen. beträchtlich, wenn jede Person einzeln Mehr Rechte bedeuten weniger informiert werden muss. Zusätzlich soll neu auch darüber Gratisdienstleistungen informiert werden, wie die Daten be- Wie bereits das aktuelle sieht auch das gegenDatenschutzgesetz Person neu das Recht auf Auskunft, durch über den Personen, deren Daten bewelche Angaben und Mechanismen es zu arbeitet werden, keine Verpflichtungen, einer gewissen Bonitätseinschätzung von sondern vielmehr eine Stärkung vor. Die Banken oder Ratingagenturen gekommen befragten Fachpersonen gehen davon ist. Wie hoch die Kosten sind, darüber sind aus, dass die geplanten Massnahmen gesich die Fachpersonen uneinig. Auch hier eignet sind, die betroffenen Personen zuhängen die Auswirkungen von der Aus- mindest formal dabei zu unterstützen, gestaltung der Auskunftspflicht ab. Zu- ihre informationellen Selbstbestimmungsdem können die Unternehmen durch die rechte besser ausüben zu können. Dazu Auskunftsrechte verbesserte Pflicht zur Berichtigung oder Löschung dienen von Daten stark belastet werden (aufgrund gegenüber datenbearbeitenden Unterder sogenannten Datenherrschaft): Ver- nehmen, erhöhte Transparenz und Nachlangt eine Person von einem Unternehmen vollziehbarkeit beispielsweise in Bezug die eigenen Daten zu berichtigen oder gar auf Methoden der Datenbearbeitung und zu löschen, muss das Unternehmen dafür Datenauswertung, das neu vorgesehene sorgen, dass die betroffenen Daten nicht Recht, die eigenen Daten von einem Ort nur bei ihm, sondern auch bei allen anderen oder Dienst zu einem anderen zu beUnternehmen berichtigt werden, an die es wegen (Datenportabilität), sowie die ausdie Daten weitergegeben hat. Ein solcher gebauten Durchsetzungsmöglichkeiten Prozess kann bei den Unternehmen aller datenschutzrechtlicher Ansprüche. Inwieweit die betroffenen Personen Segmente einen erheblichen Aufwand bewirken. Betroffen sind allerdings nur künftig aus den Neuerungen konkret Nutzen ziehen, wird vor allem davon abFirmen, die Daten an Dritte weitergeben. Die Unternehmen der Segmente B und hängen, welche Bedeutung die Individuen C sind gegenüber den Unternehmen des dem Schutz der eigenen Daten beimessen. Segments A vergleichsweise stark be- In diesem Zusammenhang können datenVoreinstellungen troffen. Entscheidend wird auch hier sein, sch utzfreu ndl iche wie der Gesetzgeber die im Normkonzept (Privacy by Default) zu einem wichtigen arbeitet werden. Zum Beispiel hat eine revidierte enthaltenen Absichten, welche Basis für diese RFA waren, im Gesetzesentwurf umsetzen wird. Stark betroffen werden die datenexponierten Segmente B und C von der oben beschriebenen Massnahme zur Datenherrschaft sein. Die Erfüllung Instrument des Datenschutzes werden. Demgegenüber ist damit zu rechnen, dass Unternehmen folglich weniger Daten sammeln und bearbeiten können und weniger unentgeltliche Dienstleistungen wie beispielsweise Gratis-E-Mail-Dienste dieser Pflicht innerhalb des Unternehmens mehr anbieten. kann mit den heutigen Kosten verglichen Marktzugang werden. Hingegen kann die Pflicht, sicher- im Ausland be- wahren zustellen, dass auch sämtliche weiteren Unternehmen die erhaltenen Daten be- Die Gespräche mit den Fachpersonen Themen-Nr.: 660.003 Abo-Nr.: 660003 Auflage: 2'100 Argus Ref.: 63174896 Datum: 25.10.2016 zu den Auswirkungen auf die Gesamtwirtschaft fokussierten vor allem auf das Thema Wettbewerb. Auf internationaler Ebene könnten für die Schweiz aus zwei Gründen gravierende Wettbewerbsnachteile resultieren: einerseits, wenn die Schweiz aus Sicht der EU den Status eines Landes mit adäquatem Datenschutzniveau verlieren würde, und andererseits, wenn Datenschutzregelungen nur in der Schweiz gelten würden oder restriktiver wären als in der EU und so zu Mehrkosten führen Susanne Hofmann Leiterin Legal Compliance Switzerland, PricewaterhouseCoopers, Zürich würden. Innerhalb der Schweiz werden die vorgesehenen Verpflichtungen mehrheitlich als wettbewerbsneutral eingestuft, da alle Unternehmen des gleichen Segments gleich betroffen sind. Demgegenüber blieb in der RFA noch unklar, inwieweit der gestärkte Datenschutz insgesamt zu einem Wettbewerbsvorteil für ein einzelnes Unternehmen führen könnte. Einige Fachpersonen vermuten denn auch, der verbesserte Datenschutz könnte das Vertrauen der Privatpersonen erhöhen und in der Folge zu einer gesteigerten Bereit- Michael Adrian Meyer Mitarbeiter Legal Compliance, PricewaterhouseCoopers, Basel schaft führen, Daten preiszugeben. Themen-Nr.: 660.003 Abo-Nr.: 660003 Auflage: 2'100 Argus Ref.: 63174896
© Copyright 2024 ExpyDoc
