Schwerer Seegang im Datenschutzmeer

Datum: 15.12.2015
Kann der Datenschutz Kurs halten?
Schwerer Seegang im Datenschutzmeer
KMU-Verantwortliche und Datenschutz
von Susanne Hofmann-Hafner und Jan Schreuder
Rasche technologische Entwicklungen in der Kommunikation oder Big Data machen Datenschutz heute weit anspruchsvoller. Die jüngsten Entwicklungen nicht nur in der EU, sondern auch in der Schweiz, lassen neue Unsicherheiten aufkommen und zeigen, dass das Thema ernst zu nehmen ist.
Themen-Nr.: 660.003
Abo-Nr.: 660003
Auflage: 14'453
Argus Ref.: 60051678
Datum: 15.12.2015
Der Europäische Gerichtshof hat Europarats (SEV 108) im Vordergrund,
in seinem Urteil vom 6. Oktober die - da die Schweiz ein Vertragsstaat
2015 entschieden, dass das ist - auch für die Schweiz verbindlich
Safe-Harbor-Regelwerk zwischen der
EU-Kommission und den USA ungültig
ist. Im Anschluss daran hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) entschieden,
dass auch das schweizerische, eigenständige, aber im Grundsatz analoge
Regelwerk keine Gültigkeit mehr hat.
ist. Viel prominenter diskutiert, aber für
die Schweiz grundsätzlich ohne Verbindlichkeit, wird die EU-Datenschutzreform. Mit ihr möchte die EU den Datenschutz stärken. Demnach sollen die
heute noch einzelstaatlich geltenden
Gesetze aufgehoben und ein einziges,
in jedem Mitgliedsland unmittelbar wirZiel von Safe Harbor war es, durch eine kendes EU-Gesetz in Kraft gesetzt werSelbstzertifizierung zu gewährleisten, den, die sogenannte EU-Datenschutzdass die teilnehmenden US-Unterneh- Grundverordnung.
men ein angemessenes Datenschutzniveau einhalten, das dem in der Schweiz Revision des schweizerischen
entspricht. Da die USA im Vergleich Datenschutzgesetzes
zu den Anforderungen des schweize- Auch der schweizerische Gesetzgeber
rischen Datenschutzgesetzes kein an- ist hier aktiv. Das Bundesgesetz über
gemessenes Datenschutzniveau bieten, den Datenschutz soll ebenfalls revidiert
war diese Safe-Harbor-Zertifizierung werden. Einerseits soll das Gesetz an
mitunter Voraussetzung für die daten- den technologischen und gesellschaftschutzkonforme Personendatenüber- lichen Wandel angepasst werden. Das
mittlung in die USA.
Die Einstellung der Anerkennung dieses
Safe-Harbor-Regelwerks hat in den Medien (auch unter dem Stichwort «Facebook-Urteil») grosse Wellen geschlagen
aktuelle Datenschutzgesetz wurde am
9.Juni 1992 vom Parlament verabschie-
det. Seither hat sich die grundsätzli-
che Zielsetzung des Datenschutzgesetzes allerdings nicht verändert. Es dient
und führt zu anhaltender Unsicherheit dem Schutz der Persönlichkeit und der
bei europäischen und schweizerischen Grundrechte von Personen, über die
Unternehmen, die Personendaten in die Daten bearbeitet werden, und dies wird
USA übermitteln, zum Beispiel indem
Google für den E-Mail-Verkehr genutzt
wird oder Daten in einer Cloud gespeichert werden, die sich in den USA befinden.
Dieses aktuelle Ereignis ist allerdings
nur ein Puzzleteil im Rahmen der gegenwärtigen, internationalen und zum
Teil einschneidenden Umwälzungen des
Datenschutzrechts: Es geht im Allgemei-
nen um die derzeit in der Umsetzung
befindlichen Revisionen verschiedener
Datenschutzgesetzgebungen. Auf europäischer Ebene steht dabei die Revision der Datenschutzkonvention des
Themen-Nr.: 660.003
Abo-Nr.: 660003
auch in Zukunft so bleiben. Insbesondere Computerisierung, Internationalisierung und Internet sowie die mobilen
Geräte haben aber zu völlig neuen, vielschichtigen Möglichkeiten geführt, Daten
zu bearbeiten oder zu nutzen. Beispiele
sind die personalisierte Werbung und Big
Data. Dementsprechend hat sich auch
das Bedürfnis der Bevölkerung gewandelt, durch die Datenbearbeitung nicht
in der Persönlichkeit verletzt zu werden.
Andererseits ist sich der schweizerische
Gesetzgeber der Entwicklungen auf europäischer Ebene bewusst, die in einem
neuen Gesetz angemessen berücksich-
Auflage: 14'453
Argus Ref.: 60051678
Datum: 15.12.2015
tigt werden sollen. Vor diesem Hinter-
durch eine Informationsflut überforgrund hat der Bundesrat das Eidgenösdert werden.
sische Justiz- und Polizeidepartement > Verbesserung der Datenkontrolle
im Frühling 2015 beauftragt, die entspreund -herrschaft: Die Kontrolle und
chende Gesetzesvorlage bis Ende Audie Herrschaft über einmal bekannt
gust 2016 auszuarbeiten. Auch wenn der
gegebene Daten sind ein wichtiger
neue Gesetzestext heute noch nicht im
Aspekt. Dazu gehören auch die ErWortlaut vorliegt, so sind dennoch die
leichterungen in der RechtsdurchsetStossrichtung und die wichtigsten Konzung und neue Mittel der kollektiven
zepte bekannt:
Rechtsdurchsetzung.
> Früheres Greifen des Datenschutzes: > Stärkung der Datenschutz-AufsichtsIm Rahmen einer Gesamtkonzeption
behörde: Die Aufsichtsmechanismen
sollen allfällige Datenschutzprobleme,
sowie die Stellung der Datenschutz-
soweit sinnvoll und möglich, schon
Aufsichtsbehörde als solche sollen
bei der Entwicklung neuer Technogestärkt werden. Die Aufsichtsbelogien festgestellt und geprüft werhörde soll zudem mit zusätzlichen
den. Damit soll verhindert werden,
Kompetenzen ausgestattet werden.
dass bestehende Datenschutzprob- > Sanktionen: Die Sanktionen bei Verlerne lediglich nachträglich durch Korletzung von datenschutzrechtlichen
rekturprogramme behoben werden
Vorgaben sollen gegenüber dem
(Vertiefung des Konzepts «Privacy
heute eher milden System deutlich
by Design»). Daneben sollen datengriffiger ausgestaltet werden.
schutzfreundliche Technologien gefördert werden.
Auswirkungen für KMU
> Verstärkte Sensibilisierung der be- Wie einleitend erwähnt, wurde auch
troffenen Personen: Die von Daten- das bis anhin geltende Safe-Harborbearbeitungen betroffenen Personen Regelwerk zwischen der Schweiz und
sollen stärker für die mit den techno- den USA ausser Kraft gesetzt. KMU, die
logischen Entwicklungen einherge- Personendaten aus der Schweiz in die
henden Risiken für den Persönlich- USA übermitteln, zum Beispiel E-Mail
keitsschutz sensibilisiert werden.
oder Cloud in den USA) und diese Über> Erhöhung der Transparenz: Die Trans- mittlung bis anhin auf das Safe-Harborparenz in Bezug auf die Datenbearbei- Regelwerk abgestützt haben und sich
tungen soll erhöht werden, insbeson- damit datenschutzkonform verhielten,
dere in den komplexen Konstellationen müssen sich umorganisieren. Der EDÖB
neuer Technologien, in denen Daten- verlangt von den betroffenen Unternehbearbeitungen weder für die Betrof- men, die notwendigen Anpassungen bis
fenen noch für den Eidgenössischen Ende Januar 2016 vorzunehmen und
Datenschutzbeauftragten (EDÖB) empfiehlt, beim Datenaustausch mit
ohne Weiteres erkennbar sind. Dabei US-Unternehmen vertragliche Garantien
muss aber im Auge behalten werden, im Sinne des Datenschutzgesetzes zu
dass die betroffenen Personen nicht
Themen-Nr.: 660.003
Abo-Nr.: 660003
Auflage: 14'453
Argus Ref.: 60051678
Datum: 15.12.2015
Datenaustausch mit US-Unternehmen verlangt nach
vertraglichen Garantien im Sinne des Datenschutzgesetzes.
'
Das
Das Safe-Harbor-Regelwerk
Safe-Harbor-Regelwerk ist
ist in
in Turbulenzen
Turbulenzen geraten.
geraten.
Susanne
Hofmann-Hafner
ist Leiterin Datenschutz bei PwC Schweiz.
www.pwc.ch
www.pwc.ch
Jan Schreuder
Partner Cybersecurity
Cybersecurity bei
bei PwC
PwC Schweiz
Schweiz ..
www.pwc.ch
www.pwc.ch
Themen-Nr.: 660.003
Abo-Nr.: 660003
Auflage: 14'453
Argus Ref.: 60051678
Datum: 15.12.2015
vereinbaren (Art. 6 Abs. 2 lit. a DSG). Damit soll ein angemessenes Schutzniveau
vonseiten der US-Unternehmen gewähr-
leistet werden. Dadurch wird zwar das
Problem des unverhältnismässigen
(US-)Behördenzugriffs nicht gelöst, allerdings kann das Datenschutzniveau
auf diese Weise etwas verbessert werden. Weiter müssen betroffene Personen entsprechend klar und umfassend
informiert werden, insbesondere im Hinblick auf mögliche Behördenzugriffe.
da keine betroffenen Personen wie Kunden oder Mitarbeiter je einen Anspruch
geltend gemacht haben und auch die zu
befürchtenden Strafen eher bescheiden
sind -, wird aufgrund des aus der Revision fliessenden Anpassungsbedarfs einigen Aufwand betreiben müssen.
In jedem Fall aber werden datenbearbeitende Unternehmen, angesichts
der kommenden Stärkung der Datenschutzaufsichtsbehörde und der Indi-
vidualrechte der betroffenen Personen
Derzeit laufen zwischen der EU und den sowie der Verschärfung bei den SankUSA Verhandlungen zur Neu- respektive tionen, in Zukunft mit höheren adminisWiederanerkennung eines angepass- trativen und organisatorischen Kosten
ten Safe-Harbor-Regelwerks. Auch der konfrontiert sein. Datenschutz-CompliEDÖB hat sich geäussert, sich an die- ance, wie sie heute vielfach bei grössen Verhandlungen zu beteiligen. So- seren international aufgestellten Unterlange aber kein neues Übereinkommen nehmen existiert, wird künftig auch für
ausgehandelt ist, bleibt das vormalige KMU ein hoch prioritäres Thema. Daher
ausser Kraft. Momentan ist nicht abseh- empfiehlt es sich, dem Datenschutz im
bar, wann mit dem Abschluss der Ver- Unternehmen bereits heute hohen Stelhandlungen zu rechnen ist oder ob diese lenwert einzuräumen und die vorzunehüberhaupt zielführend sein werden.
Revision des Datenschutzgesetzes
Das schweizerische Datenschutzgesetz
gilt bereits heute für alle natürlichen und
juristischen Personen, die Personendaten bearbeiten, dementsprechend auch
für KMU. Damit ist klar, dass auch KMU
die Revision im Blick halten und sich auf
die kommenden Änderungen einstellen
müssen.
menden Anpassungen in strategischer
und organisatorischer Hinsicht früh anzugehen. Solche Überlegungen können
gleichzeitig dazu dienen, die aktuell geltenden Vorgaben in adäquater Weise
umzusetzen.
Ein solches Vorhaben setzt in jedem
Fall eine genaue Risikoeinschätzung
und Standortbestimmung voraus, also
konkret die Analyse der Datenbearbei-
Wer bereits heute die Vorgaben des tung im Unternehmen. Dabei ist beiDatenschutzgesetzes einhält und bei- spielsweise zu untersuchen, über wel-
Themen-Nr.: 660.003
spielsweise die notwendigen organisa-
che Personen Daten gesammelt werden,
torischen Strukturen geschaffen hat,
wird die Neuerungen leichter meistern
können. Wer allerdings zum heutigen
Zeitpunkt die Vorgaben des Daten-
zum Beispiel Kunden, Lieferanten, Ar-
schutzgesetzes nicht entsprechend umsetzt - zum Beispiel weil die Verletzung
von datenschutzrechtlichen Vorgaben
nicht als grosses Risiko qualifiziert wird,
zu erkennen, wie die Daten fliessen; so
etwa wenn Dritte involviert sind, möglicherweise weil gewisse Betriebsfunktionen ausgelagert werden, Buchhaltung
Abo-Nr.: 660003
beitnehmer, oder welche Daten generell
bearbeitet werden, wie Personalien oder
Vertragsgeschichte. Wichtig ist auch
Auflage: 14'453
Argus Ref.: 60051678
Datum: 15.12.2015
oder Personalwesen sind Beispiele. Da-
ran anschliessend muss ermittelt werden, ob dieser Dienstleister allenfalls im
Ausland angesiedelt ist, und falls ja, wo.
Gestützt auf diese Risikoeinschätzung
können die relevanten Massnahmen definiert werden, deren Einhaltung datenschutzkonformes Verhalten sicherstellt.
Auf diese Weise sind KMU optimal in der
Lage, die heutigen Vorgaben des Datenschutzes einzuhalten und der kommenden Revision ruhigen Gewissens entge-
genzusehen.
Themen-Nr.: 660.003
Abo-Nr.: 660003
Auflage: 14'453
Argus Ref.: 60051678

Download Report