«Datenschutz ist nicht so schwierig»

Die neuen Regeln in Europa – und die Folgen für Schweizer Firmen.

Die neue Datenschutz-Grundverordnung der Europäischen Union kommt, was müssen Schweizer Firmen beachten? (Bild: Pixabay)

Ab dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung der Europäischen Union. Diese vereinheitlicht den Datenschutz der Bürgerinnen und Bürger und versucht, den Schutz zu erhöhen. Erklärtes Ziel der EU ist es, der Datensammelwut vieler Unternehmen aus dem Silicon Valley Steine in den Weg zu legen. So wird unter anderem die Beweislast umgekehrt, und die Bussen werden drastisch erhöht. Zudem gilt die Grundverordnung extraterritorial, das heisst, auch Firmen in der Schweiz und in den USA können in der EU zur Rechenschaft gezogen werden.

Was heisst das nun für Schweizer Firmen? Was müssen sie im Hinblick auf die neue europäische Datenschutz-Grundverordnung beachten? influence hat bei David Rosenthal, Co-Leiter der IT-Rechtsberatung der Zürcher Anwaltskanzlei Homburger, nachgefragt.

Was ist neu an der Datenschutz-Grundverordnung?
David Rosenthal: Die EU will ihr Datenschutzrecht verstärkt im Ausland durchsetzen und setzt, um es salopp zu formulieren, auf Abschreckung und Papierkrieg – ganz nach dem Giesskannenprinzip. Abschreckung, weil Bussen von bis zu 4% des Jahresumsatzes vorgesehen sind, und Papierkrieg, weil etliche neue Dokumentations- und Informationspflichten geschaffen wurden. Das eigentliche Ziel, ein einheitliches Datenschutzrecht für die EU zu verfassen und Google, Facebook und Co. an die Kandare zu nehmen, wurde nicht erreicht, respektive ist schon längst erreicht.

Warum?
Weil wegen der politischen Uneinigkeit auf europäischer Ebene den einzelnen EU-Mitgliedstaaten immer noch sehr viel Gestaltungsraum überlassen bleibt, von der Aufsicht bis zu 71 Stellen in der Grundverordnung, zu der die Mitgliedstaaten eigene Regeln erlassen dürfen. Der Aufwand zur Einhaltung des Gesetzes steigt also massiv. Google & Co. müssen sich zwar auch an dieses halten, haben es aber meiner Meinung nach nicht schwerer als bisher. Für sie galten faktisch schon bisher strengere Regeln. Gleichzeitig haben sie es einfacher als viele andere Unternehmen, mit den betroffenen Personen in Kontakt zu treten, etwa wenn es um die Erfüllung der neuen Informationspflichten geht. Sie sind ja mit allen Personen online ständig in Kontakt.

Welches sind die Folgen für die Schweizer Unternehmen?
Manche sind von der Datenschutz-Grundversorgung nicht direkt betroffen – allen Unkenrufen zum Trotz. Wer jedoch davon erfasst wird, wird sich an all ihre Regeln halten müssen. Will heissen:

  • Inventar aller Datenbearbeitungen erstellen
  • Prozesse für die Meldungen von Verletzungen der Datensicherheit einrichten
  • Verträge mit Providern anpassen, die Datenschutzerklärungen komplett überarbeiten
  • Weisungen und Verträge allenfalls auch, und
  • die Einhaltung des Datenschutzes dokumentieren.
  • So gut wie möglich bis zum 25. Mai 2018.


Und wer nicht davon betroffen ist: Die Schweiz wird mit der Anpassung des Bundesgesetzes zum Datenschutz in eine ähnliche Richtung gehen, vermutlich ab 2019. Mit etwas mehr Vernunft als die EU, hoffe ich aber.

Der Betrieb einer Webseite reicht schon, um unter die Datenschutz-Grundverordnung zu fallen?
Nein, das genügt noch nicht. Wer aber permanente Cookies einsetzt, also Besucher über mehrere Besuche hinweg verfolgt, der muss die oben genannten Dinge bei diesen Daten beachten. Das wird auch für solche gelten, die es Dritten wie Facebook oder Google erlauben, auf ihren Seiten solche Sachen zu machen. Richtig heikel wird das etwas später mit einem anderen EU-Datenschutzgesetz, das in der Pipeline ist: die ePrivacy-Verordnung. Sie löst eine gleichlautende Richtlinie ab, gilt zusätzlich zur Datenschutz-Grundverordnung, sieht die gleichen Bussen vor wie die Datenschutz-Grundverordnung und soll solche Third Party Cookies von einer Einwilligung abhängig machen. Viele Medienhäuser sehen jetzt schon grosse Teile ihres Online-Werbegeschäftes bachab gehen. Das gilt dann auch für Schweizer Unternehmen.

Und Unternehmen, die Newsletter versenden, zu welchen man sich via Webseite anmelden kann?
Auch diese fallen unter die genannten EU-Regeln, in jedem Fall unter die ePrivacy-Verordnung und entsprechend unter die Datenschutz-Grundverordnung, wenn es um das Anbieten von Produkten und Dienstleistungen in der EU geht oder ein Tracking der Empfänger erfolgt. Das bedeutet: Unternehmen müssen die neuen Informations- und Dokumentationspflichten der Grundverordnung einhalten, können sonst aber grundsätzlich weitermachen wie bisher. Wichtig ist, dass eine Abmeldung jederzeit möglich ist und alles offengelegt wird, was gemacht wird, beispielsweise wenn ein Profil erstellt wird, wer wann die Mail öffnet. Ein Double-Opt-In braucht es rechtlich streng genommen nicht – ich empfehle es aber. Viele Mail-Provider verlangen das sowieso, und es erleichtert den Beweis, dass jemand eingewilligt hat.

Brauchen die Unternehmen einen Datenschutzbeauftragten?
Einen formellen Datenschutzbeauftragten, wie ihn die Datenschutz-Grundverordnung definiert, brauchen die wenigsten Unternehmen in der Schweiz. Aber ich rate jedem Unternehmen, jemanden zu bestimmen, der Anlaufstelle in Sachen Datenschutz ist. Das muss kein Spezialist sein. Datenschutz ist nicht so eine schwierige Sache. Wer Freude am Thema hat, wird sich schnell reinfinden. Ich habe einige Formulare entwickelt, die derzeit getestet werden und demnächst kostenlos zur Verfügung stehen. Damit können Firmen ihre Datenschutz-Compliance in weiten Bereichen auch ohne Spezialisten beurteilen. Ich bin überzeugt, dass es mit etwas Einsatz funktionieren wird. Und dort, wo die Firmen nicht weiterkommen, gibt es inzwischen ja etliche Berater, die sich die Hände reiben ob dem neuen Geschäft, das ihnen die Gesetzesanpassungen beschert. Ob der Datenschutz damit wirklich besser wird, werden wir sehen.

Autor: Patrick Blaser 


Bundesgesetz über den Datenschutz
Aktuell berät die staatspolitische Kommission des Nationalrates eine Revision des Datenschutzgesetzes (DSG), welche in einer breiten Vernehmlassung zweimal überarbeitet und an die Notwendigkeiten der DSGVO angepasst worden ist. Zurzeit herrscht die politische Idee vor, das DSG in zwei Schritten anzupassen: So soll die aufgrund der Schengen-Verträge aus Sicht der Kommission dringlich notwendige Anpassung vorab und die Totalrevision des DSG erst danach angegangen werden. Das Parlament nimmt zurzeit also Tempo aus der eigentlich dringenden Gesetzesrevision.