Datenschutzrecht Neuerungen im EU-Datenschutzrecht – Auswirkungen auf Schweizer Unternehmen Legal Im Frühjahr 2018 wird die neue EU-Datenschutzgrundverordnung («DSGVO») in Kraft treten. Zudem einigten sich die EU-Kommission und die amerikanische Regierung Ende Februar 2016 auf die Grundzüge eines Rahmenabkommens für den Datentransfer von der EU in die USA. Diese Entwicklungen sind auch für Unternehmen in der Schweiz relevant. EU-Datenschutzgrundverordnung Anwendung auch in der Schweiz Die DSGVO gilt in erster Linie für Unternehmen, welche in einem EU-Mitgliedstaat domiziliert sind, aber nicht nur. Sie gilt auch für Unternehmen mit Sitz ausserhalb der EU, die Personendaten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen oder der Verhaltensüberwachung von Personen mit Wohnsitz in einem EU-Mitgliedstaat bearbeiten. Schärfere Sanktionen Das Durchsetzungs- und Sanktionenregime der DSGVO verstärkt die Sanktionsbefugnisse der Aufsichtsbehörden erheblich. So drohen je nach Schwere der Verstösse Bussen bis zu maximal 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Erweiterter Begriff der Personendaten Als Personendaten gelten jegliche Informationen, gestützt auf die ein Individuum direkt oder indirekt mittels Zuordnung zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung (z.B. IP-Adresse) bestimmt werden kann. Der Begriff wurde bewusst weit gefasst, um möglichst viele Datenarten darunter subsumiert zu können. Insbesondere erweitert die DSGVO den Katalog personenbezogener Daten auf genetische, biometrische und gesundheitsbezogene Daten, wobei für deren Bearbeitung spezifische und strengere Pflichten gelten. Neue Rechte für betroffene Personen Als neue Rechte der betroffenen Personen unter der DSGVO rücken insbesondere das Recht auf Vergessenwerden sowie das Recht auf Datenportabilität in den Fokus. Der Datenbearbeiter ist auf Verlangen der betroffenen Person hin verantwortlich, dass sämtliche relevanten Personendaten gelöscht werden. Es genügt diesbezüglich, dass die betroffene Person ihre einstmals erteilte Einwilligung zurückzieht. Darüber hinaus muss der ursprüngliche Datenbearbeiter, sofern er die betreffenden Daten an Dritte weitergegeben oder veröffentlicht hat, sämtliche Drittbearbeiter über die Geltendmachung des Löschungsrechts informieren. Neu hat die betroffene Peron weiter das Recht, in elektronischer Form kostenfrei sämtliche über sie bearbeiteten Personendaten zu erhalten. Zur Wahrung ihrer Rechte, sieht die DSGVO vor, dass betroffene Personen an ihrem Wohnsitz eine entsprechende Klage erheben können. Datenschutzrecht Januar 2017 Neue Pflichten für Datenbearbeiter Unter bestimmten Voraussetzung müssen Unternehmen einen internen Datenschutzbeauftragten ernennen. Zudem ist jeder Datenbearbeiter ohne Niederlassung in einem EU-Mitgliedstaat, welcher in den Anwendungsbereich der DSGVO fällt, verpflichtet, einen Vertreter in der EU zu ernennen. Im Fall von Datenschutzpannen (Data Breach) ist der Datenbearbeiter verpflichtet, der zuständigen Datenschutzbehörde innert 72 Stunden die Panne zu melden. Verursacht die Datenschutzpanne ein erhöhtes Risiko für die Rechte der betroffenen Person, müssen zudem die von der Datenschutzpanne betroffenen Personen unverzüglich darüber informiert werden. «Privacy by Design» und «Privacy by Default» verpflichten die Datenbearbeiter, die Einhaltung des Datenschutzes bereits mit der Wahl ihrer Mittel und Technik sicherzustellen. Danach sind nur Verfahren einzusetzen, die gewährleisten, dass nur solche Personendaten bearbeitet werden, welche für den spezifischen Bearbeitungszweck notwendig sind und insbesondere nicht mehr Personendaten als notwendig erhoben werden. Schliesslich sind Datenbearbeiter verpflichtet, bei risikobehafteter Datenverarbeitungen, eine datenschutzspezifische Folgenabschätzung (Data Protection Impact Assessment) durchzuführen. Die DSGVO sieht vor, dass die zuständigen Datenschutzbehörden Listen solcher risikobehafteter Datenbearbeitungen, in welchen eine Folgenabschätzung notwendig ist, erstellt. EU-U.S. Privacy Shield Nach der Ungültigkeitserklärung des Safe-Harbor Abkommens zwischen der EU und den USA, sollen neu Datentransfers von der EU in die USA unter dem so genannten EU-U.S. Privacy Shield wieder zulässig sein. Bis heute wurden allerdings erst die Grundzüge des Privacy Shields festgelegt, welche im Wesentlichen so genannte «Principles», «Supplemental Principles» sowie die Angemessenheitsentscheidung der EU Kommission umfassen. Ein Abschluss des Abkommens wird bis im Sommer 2016 angestrebt. Das Privacy Shield stipuliert insbesondere strenge Pflichten für Unternehmen, welche Personalda-ten von EU-Bürgern bearbeiten und in die USA transferieren. Zudem schafft es verschiedene Rechtsbehelfe zum Schutz der Rechte von EU-Bürgern und auferlegt den Behörden die Pflicht zur strengen Durchsetzung und Überwachung der Regeln sowie Sanktionierung von Verletzungen. Einer der wichtigsten Regelungspunkte des Privacy Shields ist schliesslich die Implementierung starker Einschränkungen, Sicherheitsvorkehrungen, Kontrollmechanismen sowie Transparenzpflichten hinsichtlich des Zugriffs auf Personendaten durch U.S.-Behörden. Für den Transfer von Daten aus der Schweiz in die USA ist das Safe Harbor-Abkommen zwischen der Schweiz und den USA zwar nach wie vor gültig. Da das Abkommen jedoch praktisch identisch mit dem für ungültig erklärten EU-U.S. Safe Harbor Agreement ist, besteht seitens der Schweizer Behörden die Aufforderung, zusätzliche Datenschutzgarantien zu implementieren. Es ist davon auszugehen, dass das Safe-Harbor Abkommen zwischen der Schweiz und den USA ähnlich der künftigen Regelung zwischen der EU und den USA angepasst werden wird. Handlungsbedarf für CH-Unternehmen Datenverarbeitende Unternehmen in der Schweiz müssen sich darauf einstellen, dass Datenschutz-Compliance aufgrund der in der EU beschlossenen und in der Schweiz anstehenden Neuerungen eine immer grössere Bedeutung bekommen wird. Aus rechtlicher Sicht ist Unternehmen in der Schweiz deshalb zu empfehlen, dass sie klären, inwiefern sie vom neuen EU-Datenschutzrecht betroffen sind (so genanntes Impact-Assessment) und ob ihre aktuellen Datenschutzmassnahmen den künftigen rechtlichen Anforderungen genügen (z.B. mittels Gap Analysis). Contacts KPMG AG Badenerstrasse 172 Postfach 8036 Zürich kpmg.ch Jörg Kilchmann Rechtsanwalt Partner, Legal Karim Tejani Rechtsanwalt Manager, Legal +41 58 249 35 79 [email protected] +41 58 249 64 77 [email protected] Die hierin enthaltenen Informationen sind allgemeiner Natur und beziehen sich daher nicht auf die Umstände einzelner Personen oder Rechtsträger. Obwohl wir uns bemühen, genaue und aktuelle Informationen zu liefern, besteht keine Gewähr dafür, dass diese die Situation zum Zeitpunkt der Herausgabe oder eine künftige Situation akkurat widerspiegeln. Die genannten Informationen sollten nicht ohne eingehende Abklärungen und professionelle Beratung als Entscheidungs- oder Handlungsgrundlage dienen. © 2017 KPMG AG ist eine Konzerngesellschaft der KPMG Holding AG und Mitglied des KPMG Netzwerks unabhängiger Mitgliedsfirmen, der KPMG International Cooperative (“KPMG International”), einer juristischen Person schweizerischen Rechts. Alle Rechte vorbehalten.
© Copyright 2024 ExpyDoc
