Publiziert am: 04.05.2018

Es drohen Risiken für die Reputation

DSGVO – Die EU schärft den Datenschutz auch für Schweizer Unternehmen. Am 25. Mai 2018 tritt eine neue Verordnung in Kraft. Sie betrifft praktisch sämtliche Geschäftsvorgänge einer Unternehmung.

Der Datenschutz in Europa steht vor grundlegenden Reformen. In der EU wird am 25. Mai 2018 eine neue Verordnung in Kraft treten: Ein einheitliches Datenschutz­niveau soll der 
Digitalisierung von Wirtschaft und Gesellschaft Rechnung tragen. Die verschärften Vorschriften sind auch für Schweizer Unternehmen relevant.

Ab 25. Mai verbindlich

Nicht erst seit den jüngsten Enthüllungen möglicher Datenschutzverletzungen im Umfeld von Social-Media-Plattformen steht der Schutz persönlicher Daten in Politik und Medien hoch im Kurs. Die EU hat sich mit der neuen Datenschutzgrund­verordnung (DSGVO) bereits vor 
geraumer Zeit ein neues Regelwerk gezimmert, das am 25. Mai 2018 verbindlich wird. In der im Parlament hängigen Revision des Datenschutzgesetzes (DSG) wird die Schweiz das europäische Schutzniveau soweit wie nötig übernehmen, damit grenzüberschreitende Datenübermittlungen weiterhin einfach möglich sind. 
Ungeachtet des Verlaufs der DSG-­Revision wird die europäische Verordnung bereits mit Inkrafttreten für viele Schweizer Unternehmen direkt anwendbar sein. Betroffene sind sich nicht immer bewusst, dass der Schutz personenbezogener Daten praktisch sämtliche Geschäftsvor­gänge einer Unter­nehmung betrifft.

DSGVO für viele Schweizer 
Unternehmen relevant

Das europäische Datenschutzrecht wird für Schweizer Unternehmen zunächst für den Fall einer Datenbearbeitung durch eine Niederlassung in der EU relevant, unabhängig davon, ob die Verarbeitung tatsächlich dort stattfindet. Weiter beansprucht die DSGVO bei ausländischen Unternehmen (auch ohne Nieder­lassung) Geltung, wenn sie Personen in der EU Waren oder Dienstleistungen anbieten (z. B. im Internet) oder das Verhalten dieser Personen (z. B. auf der eigenen Website) beobachten. Auch die grenzüberschreitende Beauftragung Dritter mit der Daten­bearbeitung (sog. Auftragsdatenbearbeitung) wird regelmässig zu einer (extraterritorialen) Anwendbarkeit der DSGVO führen, wenn beispielsweise ein deutsches Unternehmen ein solches in der Schweiz mit der Bearbeitung von Kundendaten beauftragt. Die Beurteilung der Anwendbarkeit kann sich im Einzelfall als schwierig erweisen.

Mehr Rechte und Pflichten

Die neuen Rahmenbedingungen bauen zwar auf den bisherigen Grundsätzen des Datenschutzes (Rechtmässigkeit, Zweckbindung, Transparenz, Datenminimierung, Datensicherheit etc.) auf. Gleichzeitig werden Rechte bzw. Pflichten der betroffenen Personen und Unternehmen erheblich ausgebaut. So werden die formalen und inhaltlichen Anforderungen an die Einwilligung der betroffenen Personen deutlich erhöht. Unternehmen haben künftig ein detailliertes Datenbearbeitungsverzeichnis zu führen und müssen in der Lage sein, die Einhaltung der relevanten Grundsätze nachzuweisen. Ferner sind bei besonders heiklen Bearbeitungen Datenschutz­folge­abschätzungen vorzunehmen oder gar Datenschutzbeauftragte bzw. -vertreter in der EU zu bezeichnen. Bei Datenschutzverletzungen besteht gegebenenfalls eine Informationspflicht. Dementsprechend stärkt die Verordnung die Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung, Widerspruch, Über­tragung etc.

Umgang mit Risiken

Datenschutzverletzungen stellen zunehmend relevante unternehmerische Risiken dar. Es drohen nicht nur hohe Bussen oder zivile Ansprüche der Betroffenen. Wie die Praxis zeigt, bestehen mit zunehmender Sensi­bilisierung auch erhebliche Reputa­tions­risiken. Unternehmen tun gut daran, den neuen Herausforderungen im Rahmen der Corporate Gover­nance rechtzeitig und angemessen zu begegnen.

Matthias Amgwerd, Partner, 
Burkhalter Rechtsanwälte Bern/Zürich