Sonntag, 16. Dezember 2018 1:56 Uhr
Mit dem neuen EU-Datenschutzrecht drohen Bussen bis 100 Millionen Euro oder fünf Prozent des Jahresumsatzes. Selbst Firmen ohne ­Präsenz in der EU ­können davon betroffen sein. (Foto: Rainer Sturm/Pixelio.de)

EU-Datenschutzverordnung

Es drohen hohe Bussen

Vielen Firmen ist der Datenschutz ein Fremdwort. Vorkehrungen haben sich meist auch nicht gelohnt. Das ändert sich mit der EU-Datenschutzverordnung.

 

Text Alex Schweizer


Viele KMU haben noch nie davon gehört: Neue IT-Projekte und Betriebsabläufe, welche die Bearbeitung von Kunden- und Mitarbeiterdaten zum Inhalt haben, müssen datenschutzkonform geplant, implementiert und betrieben werden. Das schreibt das schweizerische Datenschutzrecht vor. Andere Firmen wissen es zwar, verzichten aber aus Kosten-Nutzen-Überlegungen auf eine datenschutzkonforme Planung. Die Folge: Der Datenschutz wird oft auch bei der Implementierung und dem Betrieb nicht eingehalten.
Bisweilen liegt es auch bei den Profis im Argen: den Informatik- und Softwarefirmen, die anspruchsvolle IT-Lösungen realisieren. Zwar bemühen sich viele IT-Firmen um die Einhaltung der technischen Datensicherheit. Bei den datenschutzrechtlichen und organisatorischen Vorkehrungen, die für die Gewährleistung der Datenschutzkonformität ebenso nötig sind, hapert es jedoch häufig. Dies zeigt sich vor allem in der Datenpflege, der systematischen Erfassung, Auswertung und Nutzung von Kundendaten.


Bearbeitungsreglement
Viele Unternehmen müssten von Gesetzes wegen auch ein Bearbeitungsreglement haben, das die interne Organisation sowie das Datenbearbeitungs- und Kontrollverfahren umschreibt. Das Reglement muss Unterlagen über die Planung, die Realisierung und den Betrieb der Datensammlung und eingesetzten Informatikmittel enthalten. Zu dokumentieren sind sämtliche Abläufe und Kontrollen der Datenverarbeitung, von der ersten Erfassung bis zur Vernichtung der Personendaten. Ein solches Datenbearbeitungsreglement muss regelmässig aktualisiert werden. Dem zuständigen Kontrollorgan im Unternehmen und dem Eidgenössischen Datenschutzbeauftragten muss es in einer verständlichen Form zur Verfügung stehen.
Diese datenschutzrechtliche Dokumentationspflicht trifft vor allem jene Unternehmen, die regelmässig Persönlichkeitsprofile von Kunden, Mitarbeitern oder Lieferanten oder besonders schützenswerte Daten wie Gesundheitsdaten bearbeiten und für die keine besonderen gesetzlichen Ausnahmegründe vorgesehen sind. Sie erfasst oft auch die Firmen, die regelmässig Personendaten an Dritte weitergeben. In der Praxis löst diese Dokumentationspflicht immer wieder ungläubiges Staunen aus. «Das haben wir nicht gewusst», «der Aufwand ist viel zu gross», «das macht doch keiner», sind nur einige Argumente, die zur Verteidigung genannt werden. Vor Gericht sind sie irrelevant.


Reputationsrisiken als Hauptmotivation
Die angedrohten Sanktionen und Bussen waren bisher gering. Es lohnte sich für viele Firmen nicht, in datenschutzrechtliche Vorkehrungen zu investieren. Und wo doch in den Datenschutz investiert wurde, geschah dies oft weniger aufgrund der drohenden Bussen und Strafen, sondern eher aufgrund von Reputationsrisiken. Nichts fürchteten viele Unternehmen mehr als kritische Medienberichte über den Missbrauch von Kundendaten, zumindest im Bereich des Datenschutzes. Existenz, Erfolg und langfristiges Überleben im Markt verdanken die Unternehmen ihren Kunden.
Gerade den Kunden ist es wichtig, dass die Unternehmen mit ihren Daten verantwortungsvoll umgehen. Wer möchte schon, dass seine Gesundheitsdaten an den nächstbesten Datenbroker verhökert werden? Und wo sind die Inhaber von Bonus- oder Kundenkarten, die es gerne sehen, wenn ihre elektronischen Einkaufslisten der letzten fünf Jahre mit sämtlichen Vorlieben- und Verhaltensmustern ungefragt bei der Konkurrenz landen würden?

 

Nun drohen horrende Bussen
Die Firmen haben oft nur in den Datenschutz investiert, um den guten Ruf zu wahren. Das wird sich in naher Zukunft ändern. Der Grund ist die neue Europäischen Datenschutzverordnung, die bereits 2015 unter Dach und Fach sein soll und für viele schweizerische Unternehmen relevant sein wird. Diese sieht geradezu horrende Bussen vor: Laut dem Entwurf der EU-Datenschutzverordnung müssen Unternehmen künftig für Datenschutzverletzungen bis zu 5 Prozent ihres weltweiten Jahresumsatzes oder bis 100 Millionen Euro an die datenschutzrechtlichen Aufsichtsbehörden abliefern, je nachdem welcher der Beiträge höher ist.
Abgesehen von der Busse, kann jede Person, die wegen einer Datenschutzverletzung Schaden erlitten hat, vom verantwortlichen Unternehmen Schadenersatz verlangen. Sind aufgrund einer Nachlässigkeit beim Datenschutz gar hunderte oder tausende von Kunden betroffen, wird es richtig teuer. Solche Bussen werden sich nur wenige Firmen leisten können. Das ist aber nicht der einzige Alptraum.


Datenschutz-Folgeabschätzungen
Künftig werden Unternehmen in der EU voraussichtlich auch mit Bussen zu rechnen haben, wenn sie vorgängige Datenschutz-Folgeabschätzungen unterlassen, die im neuen europäischen Datenschutzrecht vorgeschrieben sind. Eine Folgeabschätzung wird meistens dann not­wendig sein, wenn die Datenverarbeitungsvorgänge, die für ein IT-Projekt oder ein Geschäftsmodell geplant sind, konkrete Risiken für die betroffenen Personen wie Kunden und Mitarbeiter bergen. Enthalten muss die Folgeabschätzung mindestens eine Beschreibung der geplanten Verarbeitungsvorgänge, eine Bewertung der Risiken für die Privatsphäre der betroffenen Personen und die geplanten Abhilfemassnahmen, Garantien und Sicherheitsvorkehrungen. Bei besonders heiklen Bearbeitungsvorgängen muss eine Einwilligung von der datenschutzrechtlichen Aufsichtsbehörde eingeholt werden. Damit wird sichergestellt, dass die geplante Datenverarbeitung in Übereinstimmung mit dem EU-Datenschutzrecht steht. In einfacheren Fällen soll die Ansicht des Datenschutzbeauftragten im Betrieb genügen.


Neues Datenschutzrecht gilt auch für Schweizer Firmen
Das neue EU-Datenschutzrecht wird auch für viele Schweizer Firmen gelten. Einerseits dann, wenn sie in der EU Handel betreiben oder mit Firmen in Europa Personendaten austauschen. Andererseits sieht die EU-Datenschutzverordnung auch eine räumliche Ausdehnung des europäischen Datenschutzrechts auf Nicht-EU-Länder vor. Die europäische Verordnung soll selbst dann gelten, wenn ausländische Firmen ohne EU-Niederlassung Daten von EU-Bürgern verarbeiten, um diesen in der EU Waren oder Dienstleistungen anzubieten, oder wenn die Datenverarbeitung der Beobachtung von Unionsbürgern dient. Firmen, die in der Schweiz Daten von europäischen Kunden bearbeiten, müssen daher künftig – neben dem schweizerischen Datenschutzrecht – auch die EU-Datenschutzverordnung einhalten, selbst wenn sie in der EU keine Präsenz haben.
Deshalb kann sich Datenschutzkonformität durchaus lohnen. Welche Firma möchte schon eine Busse von bis zu fünf Prozent des Umsatzes an die Aufsichtsbehörden bezahlen müssen?


Der Autor
Dr. iur. Alex Schweizer, LL.M. ist Inhaber der Firma Schweizer Privacy Law. 
Sie ist spezialisiert auf Datenschutz- und Informatikrecht. 
www.privacylaw.ch


VZH