RECHT EU-Datenschutzgrundverordnung – Auswirkungen für Schweizer Unternehmen RA Anselm Filliger N achdem mit dem Paukenschlag vom 6. Oktober 2015 der Gerichtshof der Europäischen Union (EUGH) das zwischen der EU und der USA bestehende «Safe Harbor»-Abkommen ausser Kraft setzte – und der EDÖB in der Folge betreffend das Schweizer «Safe Harbor»-Abkommen ebenfalls der Ansicht war, dass dieses keine genügende Grundlage mehr für einen Datentransfer in die USA bildet – folgte vergangenen Dezember ein weiterer, sich jedoch schon in län- 38 Im Dezember 2015 wurde die endgültige Fassung der Datenschutzgrundverordnung der EU präsentiert. Die nachfolgenden Ausführungen dieses Artikels werden kurz die Neuerungen dieses europäischen Regelwerks und allfällige Konsequenzen für Schweizer Unternehmen skizzieren. gerer Vorbereitung befindender Schritt zu einem stärkeren und strengeren europäischen Datenschutz – und wie beim «SafeHarbor-Entscheid» des EUGH stellt sich die Frage, welche Auswirkungen dies auf den Schweizer Datenschutz und damit auf Schweizer Datenbearbeiter zeitigen wird. Europäischer Datenschutz Ausgangspunkt für die neu geschaffene Datenschutzgrundverordnung war der Gedanke der Harmonisierung der Rechtsgrundlagen für und innerhalb der EU. Bisher wurde der Datenschutz innerhalb der EU insbesondere über die Richtlinie 95/46 verfolgt, wobei jedoch eine entsprechende Umsetzung der Vorgaben dieser Richtlinie in den verschiedenen EU-Ländern aber nicht zwingend einheitlich erfolgen musste. Durch die neue Datenschutzgrundverordnung wird nun ein einheitliches Instrument geschaffen, das eine Harmonisierung der Rechtsgrund- IT business 1/2016 RECHT lagen schafft, was zu einer Erhöhung der Rechtssicherheit führen und dadurch auch den innerhalb der EU stattfindenden grenzüberschreitenden Datenverkehr erleichtern soll – kurz: das Ziel eines einheitlich geregelten und dadurch gestärkten digitalen Binnenmarktes. Auf der anderen Seite sollen diese einheitlichen Regeln aber auch dazu führen, dass der Einzelne innerhalb des Binnenmarktes gleich behandelt wird, er überall den gleichen Schutz geniesst und dem Einzelnen damit mehr Kontrolle über seine Daten verschafft wird (Art. 1 Abs. 1 EU-DSGVO: «This regulation lays down rules relating to the protection of individuals with regard to the processing of personal data and rules relating to the free movement of personal data»). Die vorgenannten Ziele und Ansprüche führen zu Neuerungen und Konkretisierungen, die unter anderem auch neue betriebsinterne Massnahmen von den Unternehmen verlangen. Verstärkung der Rechte der Betroffenen So soll der Einzelne besser informiert werden, was mit seinen Daten überhaupt geschieht – es kommt also zu einem Ausbau der Informationsrechte. Hierzu sieht die neue Verordnung neben den bereits bestehenden Auskunftsrechten der Betroffenen auch eine proaktive Informationspflicht des Datenbearbeiters vor (Art. 14 EU-DSGVO). Dem selben Transparenzgedanken verpflichtet ist die Bestimmung (Art. 12 EUDSGVO), dass die Informationen, die sich auf eine Datenbearbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache («using a clear and plain language») zu übermitteln sind. Allfällige AGB und andere Vertragsdokumente haben also in einer äusserst kundenfreundlichen und leicht verständlichen Sprache verfasst zu sein. Neben diesen erweiterten Transparenzbestimmungen soll zudem das Recht auf Löschung («Recht auf Vergessenwerden») verbessert werden (Art. 17 EU-DSGVO). Förderung des technischen Datenschutzes Nicht gesetzliche Normen allein sollen einen guten Datenschutz garantieren, sondern daneben soll insbesondere vorbeugend ein technischer Datenschutz zur IT business 1/2016 Anwendung kommen (u. a. Möglichkeiten der Anonymisierung). Ganz dem Grundgedanken von Lawrence Lessig entsprechend, dass im Cyberraum der geschaffene «Code» und die entsprechende Architektur das eigentliche (Natur-)Gesetz darstellt – und hier entsprechende Normen die Gestaltung dieser Architektur im Sinne des Datenschutzes beeinflussen sollen. Insbesondere dahingehend, dass es damit zu einer «privacy by design and by default» kommt (Art. 23 EU-DSGVO). Überwachung der Datenschutzcompliance Die vorstehend beschriebenen Pflichten führen auch dazu, dass die DatenschutzCompliance für die Datenbearbeiter ausgeweitet wird. Die Überwachung derselben kann von einem betriebsinternen Datenschutzbeauftragten übernommen werden (Art. 35 EU-DSGVO): Dieser hat dann die Aufgabe, die entsprechenden Massnahmen im Unternehmen einzuführen und zu kontrollieren. Die Pflicht zur Ernennung eines solchen betriebsinternen (aber dennoch unabhängigen) Datenschutzbeauftragten trifft insbesondere Unternehmen, deren Kerntätigkeit in der Verarbeitung von Personendaten besteht. Höhere Strafen Die Nichteinhaltung der entsprechenden Vorgaben der Datenschutzgrundverordnung kann zu empfindlichen Strafen führen. So ist bei bestimmten Verstössen eine Strafe von bis zu EUR 20 Mio. oder 4 % des (gesamten weltweiten) Jahresumsatzes vorgesehen (Art. 79 f. EU-DSGVO). Was hat das mit der Schweiz zu tun? Grundsätzlich hat die neue Datenschutzgrundverordnung der EU keine direkte Einwirkung auf Schweizer Datenbearbeiter. Zu beachten sind aber die folgenden zwei Punkte: Der räumliche Anwendungsbereich der Datenschutzgrundverordnung Erstens: Die Verordnung sieht in Art. 3 eine bedeutsame Erweiterung des räumlichen Anwendungsbereiches vor. Nach dieser Be- stimmung sind nicht nur Datenbearbeiter innerhalb der EU der Verordnung unterstellt, sondern auch ausländische Datenbearbeiter können unter die Bestimmungen der Datenschutzgrundverordnung fallen: insbesondere dann, wenn der betreffende Datenbearbeiter Personendaten von in der EU ansässigen Personen bearbeitet. Sobald ein ausländischer Datenbearbeiter unter die Bestimmung von Art. 3 EU-DSGVO fällt, hat er zudem einen entsprechenden Vertreter innerhalb der EU zu bestellen (Art. 25 EU-DSGVO), welcher in einem der EUMitgliedstaaten niedergelassen sein muss und als Anlaufstelle für sämtliche Anfragen im Zusammenhang mit der Verarbeitung personenbezogener Daten dient. Revision des DSG Zweitens: Neben der vorstehend beschriebenen Ausweitung des räumlichen Anwendungsbereichs der EU-Datenschutzgrundverordnung und den daraus folgenden Konsequenzen ist ebenfalls zu beachten, dass auch wenn das Recht der EU in der Schweiz nicht direkt anwendbar ist, der Schweizer Gesetzgeber dennoch eine Anpassung an das (Datenschutz-)Recht der EU suchen wird, um nicht in den Augen der EU als nicht datenschutzkonforme – und damit vom digitalen Binnenmarkt ausgeschlossene – Insel zu gelten. So hat das EJPD in seiner Medienmitteilung vom April 2015 betreffend die kommende Revision des Schweizer Datenschutzgesetzes (DSG) ausdrücklich darauf hingewiesen, dass die Reformen auf europäischer Ebene berücksichtigt werden. Das EJPD wurde vom Bundesrat beauftragt, bis spätestens Ende August 2016 einen Vorentwurf für eine Revision des DSG vorzustellen. Zu ergreifende Massnahmen Die Datenschutzgrundverordnung tritt per Anfang 2018 in Kraft. Die entsprechenden Schweizer Unternehmen, die unter den räumlichen Geltungsbereich der Verordnung fallen, haben damit zwei Jahre Zeit, nach den vorgängig vorzunehmenden Abklärungen die entsprechenden Massnahmen zu implementieren. Für die übrigen Unternehmen gestaltet sich der Zeitplan noch nicht so dicht, da noch nicht abzusehen ist, wann das revidierte DSG in Kraft treten wird – umsichtige Unternehmen stellen sich jedoch auch schon vorab auf die kommenden Änderungen und Anforderungen ein. ■ 39