Die EU-Datenschutzgrundverordnung (DSGVO) gilt ab dem 25. Mai 2018. Die erhöhten Anforderungen an den Umgang mit personenbezogenen Daten werden auch auf Datenverarbeitungen der zahlreichen Schweizer Unternehmen anwendbar sein, die ihr Angebot auf den EU-Endkundenmarkt ausrichten oder deren Datenverarbeitungen auf andere Weise in den (beabsichtigten) breiten Anwendungsbereich der DSGVO fallen. Der komplexe und terminologisch nicht besonders geglückte Text der DSGVO begünstigt Mythen und Missverständnisse. Diese finden teilweise auch Eingang in Publikationen und Empfehlungen von Beratern. Mit diesem Beitrag beleuchten wir zehn Mythen, denen wir in unserer Praxis (namentlich im Rahmen der laufenden DSGVO Compliance-Projekte für Unternehmen in der Schweiz) begegnen, und stellen die entsprechenden Missverständnisse klar.
1. Unter der DSGVO braucht es für alle Verarbeitungen personenbezogener Daten die Einwilligung der betroffenen Personen – FALSCH
Anders als das Schweizer Datenschutzgesetz (DSG) geht die DSGVO konzeptionell vom Grundsatz aus, dass die Verarbeitung personenbezogener Daten verboten ist. Es braucht einen guten Grund (eine sog. Rechtsgrundlage) für die Datenverarbeitung. Die Einwilligung ist nur eine von sechs möglichen Rechtsgrundlagen für die Datenverarbeitung (Art. 6(1) DSGVO).
Bedeutsamer und einfacher handhabbar werden in der Praxis die folgenden Rechtsgrundlagen sein: Notwendigkeit für die Vertragserfüllung; gesetzliche Pflichten, die sich aus dem Recht der EU oder der Mitgliedstaaten (nicht der Schweiz!) ergeben; sowie überwiegende berechtigte Interessen des Verantwortlichen.
2. Für Profiling auf der Grundlage personenbezogener Daten braucht es unter der DSGVO immer eine Einwilligung – FALSCH
Die Verarbeitungsart des Profiling untersteht nur dann erhöhten Anforderungen, wenn das Profiling "rechtliche Wirkungen" für die betroffene Person entfaltet oder diese "in ähnlich erheblicher Weise beeinträchtigt" (Art. 22(1) bzw. 35(3)(a) DSGVO).
Überdies gilt: Nur bei einer äusserst weiten (u.E. zu weiten) Auslegung der entsprechenden Bestimmungen könnte man zum Schluss kommen, dass das "Profiling" für zielgruppenspezifische Werbung oder personalisierte Angebote gemäss DSGVO erhöhten Anforderungen unterliegt, also meist ein Opt-in erfordert und stets eine sog. Datenschutz-Folgenabschätzung notwendig macht.
3. Datenverarbeitungen von Unternehmen in der Schweiz fallen unter die DSGVO, wenn die Unternehmen für Endkunden in der EU Waren liefern oder Dienstleistungen erbringen – FALSCH bzw. UNGENAU
Es kommt nicht auf die Lieferung bzw. die Dienstleistungserbringung an, sondern auf das Angebot von Waren oder Dienstleistungen (entgeltlich oder unentgeltlich) an Endkunden in der EU (oder im EWR). Ein Unternehmen in der Schweiz muss sein Angebot erkennbar auf den EU-Endkundenmarkt ausrichten (z.B. Werbung oder Webshop mit Angeboten, die sich auch an Endkunden in der EU richten), um gemäss Art. 3(2)(a) DSGVO in den Anwendungsbereich der DSGVO zu fallen. Denn ergänzend zu Art. 3(1) DSGVO (Niederlassungsprinzip) statuiert Art. 3(2) DSGVO das Auswirkungsprinzip.
Ein weiterer Anknüpfungspunkt für die Anwendbarkeit der DSGVO ist die Beobachtung des Verhaltens von Individuen, dass in der EU stattfindet (Art. 3(2)(b) DSGVO). Doch selbst bei diesem Anknüpfungspunkt ist eine Ausrichtung auf den EU-Endkundenmarkt erforderlich (spürbare und vorhersehbare Auswirkung auf dem EU-Endkundenmarkt), damit die DSGVO für die entsprechende Verarbeitungstätigkeit (Verhaltensbeobachtung) gilt. Dies entspricht völkerrechtlichen Grundsätzen sowie dem Auswirkungsprinzip, wie es auch unter EU-Wettbewerbsrecht gilt.
4. Wenn ein Unternehmen in der Schweiz sein Angebot auf den EU-Endkundenmarkt ausrichtet, untersteht das Unternehmen für alle Datenverarbeitungen der DSGVO – FALSCH
Die DSGVO ist jeweils auf konkrete Datenverarbeitungen anwendbar, nicht auf Unternehmen insgesamt. Die Verarbeitung personenbezogener Daten von Mitarbeitern in der Schweiz und Datenverarbeitungen im Zusammenhang mit dem Angebot von Dienstleistungen an Endkunden (Individuen), die sich in der Schweiz befinden, richten sich nach Schweizer Datenschutz- bzw. Arbeitsrecht. Dies gilt selbst dann, wenn Unternehmen in der Schweiz für Datenverarbeitungen im Zusammenhang mit dem Angebot von Dienstleistungen auf dem EU-Endkundenmarkt (oder das Beobachten von Nutzerverhalten, das in der EU stattfindet) der DSGVO unterstehen.
5. Datenverarbeitungen von Unternehmen in der Schweiz fallen unter die DSGVO, wenn diese Unternehmen grenzüberschreitend an EU-Unternehmen outsourcen – FALSCH bzw. UNGENAU
Auftragsverarbeiter in der EU (z.B. Betreiber eines Rechenzentrums in Irland) unterstehen als Auftragsverarbeiter für alle Verarbeitungen von personenbezogenen Daten im Rahmen ihrer Niederlassung der DSGVO (Niederlassungsprinzip). Datenverarbeitungen von Unternehmen in der Schweiz unterstehen aber nicht alleine deshalb der DSGVO, weil das Unternehmen grenzüberschreitend an ein EU-Unternehmen (Auftragsverarbeiter) outsourct.
Anknüpfungspunkt ist die Verantwortung für die konkrete Datenverarbeitung. Unternehmen in der Schweiz müssen sich in Bezug auf Datenverarbeitungen, für die sie unter dem DSG (nicht der DSGVO) verantwortlich sind, an das DSG halten. Dies gilt auch, wenn sie solche Datenverarbeitungen grenzüberschreitend outsourcen.
6. Bei Auftragsverhältnissen braucht es immer eine Auftragsdatenverarbeitungs-Vereinbarung nach Art. 28(3) DSGVO, insb. auch im Verhältnis Klient-Anwalt – FALSCH
Art. 28(3) DSGVO (Verpflichtung zum Abschluss einer Auftragsdatenverarbeitungs-Vereinbarung) will sicherstellen, dass ein "Verantwortlicher" unter der DSGVO die Datenschutzvorschriften auch dann einhält, wenn er einen Dritten ("Auftragsverarbeiter") mit der Durchführung von Verarbeitungstätigkeiten beauftragt, für die er verantwortlich ist und bleibt (Outsourcing von Geschäftsprozessen bzw. Datenverarbeitungs-Tätigkeiten). Verantwortlicher ist, wer den Zweck und die Mittel der Datenverarbeitung festlegt (Art. 4(7) DSGVO). Auftragsverarbeiter ist, wer personenbezogene Daten im Auftrag und nur nach Instruktionen des Verantwortlichen – mithin nicht für eigens festgelegte Zwecke – verarbeitet (Art. 4(8) und Art. 28(3) DSGVO).
Typische Beispiele für Verantwortlicher-Auftragverarbeiter-Beziehung (Outsourcing) i.S.v. Art. 28(1) und (3) DSGVO:
- Eine Bank beauftragt ein Rechenzentrums-Anbieter mit der Speicherung und Bereitstellung ihrer Daten (Outsourcing).
- Ein Unternehmen benützt Microsoft Office 365 oder eine andere cloud-basierte Software (z.B. ein Spesenrückforderungstool für Mitarbeiter).
Begründung: Die Bank/das Unternehmen behält die Kontrolle über die Zwecke der Verarbeitung. Es werden Geschäftsprozesse/Verarbeitungs-Tätigkeiten ausgelagert, für welche die Bank/das Unternehmen verantwortlich ist und auch im Falle eines Outsourcings verantwortlich bleibt.
Typische Beispiele, bei denen keine Verantwortlicher-Auftragsverarbeiter-Beziehung vorliegt und somit auch kein Vertrag im Sinne von Art. 28(3) DSGVO abgeschlossen werden muss:
- Ein Unternehmen beauftragt einen Anwalt mit der Erbringung rechtlicher Dienstleistungen (gibt dabei ggf. den Namen des Mitarbeiters bekannt, den das Unternehmen entlassen will).
- Eine Versicherung beauftragt einen Arzt mit der Erstellung eines Gutachtens betreffend einen Anspruch einer Versicherten.
Begründung: Selbst wenn die Rechtsdienstleistung/die Expertise vom Klienten initiiert wird und der Klient dem Anwalt personenbezogene Daten (z.B. eines Mitarbeiters) offenlegt, ist und bleibt der Anwalt in Bezug auf die Verarbeitung solcher Daten zum Zweck der Rechtsberatung verantwortlich – und zwar nach Massgabe der für ihn geltenden beruflichen Pflichten (der Klient hingegen bleibt verantwortlich für die Verarbeitung der Daten zu seinen Zwecken – z.B. Durchführung des Arbeitsverhältnisses nach Massgabe arbeitsvertraglicher und datenschutzrechtlicher Pflichten).
7. Die DSGVO bringt einheitliche Regeln für den Umgang mit Personendaten in der ganzen EU – FALSCH
Die DSGVO enthält zahlreiche (gegen 70) Öffnungsklauseln – freiwillige und obligatorische. Freiwillige Öffnungsklauseln erlauben es Mitgliedstaaten, in ihren die DSGVO konkretisierenden und ergänzenden Datenschutz- oder anderen Gesetzen Ausnahmen und Abweichungen von bestimmten Vorschriften der DSGVO vorzusehen. Zum Beispiel:
- Art. 88(1) DSGVO erlaubt es den EU-Mitgliedsstaaten (in gewissen Schranken), spezifischere Vorschriften für den Umgang mit personenbezogenen Daten im Beschäftigungskontext zu erlassen.
- Art. 23 DSGVO erlaubt es Mitgliedstaaten (in gewissen Schranken), Ausnahmen oder Beschränkungen insbesondere hinsichtlich der Informationspflichten (Art. 12–14 DSGVO) sowie der Auskunfts-, Berichtigungs-, Beschränkungs-, Löschungs- und Widerspruchsrechte (Art. 15 ff.) zu erlassen. Deutschland hat im revidierten Bundesdatenschutzgesetz (BDSG) eingehend davon Gebrauch gemacht (§§ 32 ff. BSDG).
- Art. 37(4) DSGVO ermöglicht es Mitgliedstaaten, auch in anderen als den in Art. 37(1) DSGVO genannten limitierten Fällen die Pflicht zur Ernennung eines Datenschutzbeauftragten vorzusehen. Deutschland hat davon Gebrauch gemacht. Unter dem revidierten BDSG müssen Unternehmen (wie bis anhin) immer dann einen Datenschutzbeauftragten ernennen, wenn mindestens zehn Mitarbeiter ständig personenbezogene Daten automatisiert verarbeiten (was auf die meisten Unternehmen mit zehn oder mehr Mitarbeitern zutrifft).
8. Aufsichtsbehörden werden bei Verstössen gegen die DSGVO immer eine Geldbusse von bis zu EUR 20 Mio. oder 4% des weltweit erzielten Jahresumsatzes verhängen – FALSCH
Anstelle von (oder zusätzlich zu) Geldbussen können Aufsichtsbehörden Unternehmen auch verpflichten, sog. Abhilfemassnahmen zu treffen – z.B. den Verantwortlichen zu warnen oder zu verwarnen; diesen anzuweisen, Auskunfts- oder Löschungsbegehren nachzukommen, oder aber bestimmte Datenverarbeitungsrechte zu gewähren. Vor allem in der Anfangsphase ab dem 25. Mai 2018 werden viele Aufsichtsbehörden vordringlich solche Massnahmen ergreifen und damit auch zur weiteren Sensibilisierung für Datenschutz-Compliance beitragen wollen. Dabei werden Sie berücksichtigen, ob ein Unternehmen bereits auf gutem Weg zur Compliance ist – die vordringlichsten Umsetzungsmassnahmen also getroffen und mit anderen begonnen hat.
Zudem: Bei den EUR 20 Mio. (bzw. EUR 10 Mio.) oder 4% (bzw. 2%) des weltweit erzielten Jahresumsatzes handelt es sich um Maximalbussen. Die effektiven Bussen haben die Aufsichtsbehörden nach Massgabe der Bedingungen für die Verhängung von Geldbussen zu berechnen. Massgebend für die Berechnung sind Art, Schwere und Dauer des Verstosses. Zudem sind insbes. der Umfang und der Zweck der betreffenden Datenverarbeitungen sowie die Kategorie der betroffenen Daten und die Anzahl betroffener Personen zu berücksichtigen (Art. 83(2) DSGVO).
Aufgrund der beschränkten Ressourcen der Aufsichtsbehörden ist überdies davon auszugehen, dass die private Durchsetzung von Rechten unter der DSGVO (über die Regeln zur Sicherstellung des fairen Wettbewerbs auch unter Konkurrenten) an Bedeutung gewinnen wird. Die DSGVO ermächtigt ausserdem qualifizierte Verbände, im Auftrag von betroffenen Personen zu klagen.
9. Unter der DSGVO müssen alle Unternehmen einen Datenschutzbeauftragten ernennen – FALSCH
Unternehmen (Verantwortliche und Auftragsverarbeiter) müssen unter der DSGVO nur dann einen Datenschutzbeauftragten ernennen, wenn sie im Rahmen ihrer Kerntätigkeit umfangreiche und systematische Verhaltensbeobachtung betreiben oder umfangreiche Verarbeitungen besonderer Kategorien von Daten vornehmen (Art. 37(1) DSGVO).
Zu beachten: Es ist Mitgliedstaaten erlaubt, die Ernennung eines Datenschutzbeauftragten auch in anderen Fällen vorzuschreiben (vgl. oben zum Mythos 7). Ausserdem empfiehlt sich die freiwillige Ernennung eines Datenschutzbeauftragten (oder einer für das im Unternehmen für das Datenmanagement im Allgemeinen verantwortlichen Person), um die unter der DSGVO sehr umfangreichen Dokumentations- und Rechenschaftspflichten zu erfüllen und implementierte Richtlinien und Prozesse etwa für die Beantwortung von Auskunfts- und Löschungsbegehren oder für Data Breach-Meldungen zu betreuen).
10. Gegenüber Unternehmen in der Schweiz wird der EDÖB die DSGVO durchsetzen – FALSCH
Für die Durchsetzung der Rechte und Pflichten aus der DSGVO gegenüber Unternehmen in der Schweiz sind die gemäss DSGVO (Art. 55) zuständigen Datenschutzaufsichtsbehörden in den EU-Mitgliedstaaten zuständig – nicht der EDÖB. Zu beachten: Praktisch können Aufsichtsbehörden der EU-Mitgliedsstaaten Geldbussen gegenüber Unternehmen in der Schweiz ohne Kooperationsabkommen zwischen der EU und der Schweiz kaum durchsetzen. Immerhin sind Unternehmen in der Schweiz aber (mit wenigen Ausnahmen) verpflichtet, einen Vertreter in der EU zu ernennen, wenn die DSGVO aufgrund des Auswirkungsprinzips (Art. 3(2) DSGVO) auf ihre Datenverarbeitungen anwendbar ist (Art. 27 DSGVO). Aufsichtsbehörden können dem Vertreter Verfügungen gegen das vertretene Unternehmen zustellen und so den Weg über die internationale Rechts- oder Amtshilfe vermeiden.
Fazit:
Der DSGVO kommt das Verdienst zu, den Umgang mit personenbezogenen Daten und die Datensicherheit zum Thema auf den Chefetagen von Unternehmen gemacht zu haben. Die hohen Bussendrohungen mögen ihren Teil dazu beigetragen haben. Der Verordnungstext ist kein Musterbeispiel eines einfach zu verstehenden Rechtsaktes. Er lädt zu zahlreichen Fehlinterpretationen ein, von denen wir vorstehend nur eine kleine Auswahl aus unserer Praxis dargestellt haben.
Real ist (unabhängig von der Rechtslage) das Unbehagen von Mitarbeitern und Konsumenten gegenüber dem Umgang mit ihren Daten bei digitalen Geschäftsmodellen. Compliance-Projekte sollten daher nicht nur unter dem Stern der DSGVO-Regeln stehen (und minutiös analysieren, in welchen Anwendungsfällen Datenverarbeitungen von Unternehmen in der Schweiz der DSGVO unterstehen). Vielmehr geht es darum, dem Vertrauen von Kunden und Mitarbeitern in Unternehmen Rechnung zu tragen und dieses nicht aufs Spiel zu setzen.
Autor: Rolf Auf der Maur
