Neues EU-Datenschutzgesetz: Wie Schweizer Kleinunternehmen und Marketingagenturen betroffen sind

Die neue EU-Datenschutzgrundverordnung (DSGVO) tritt am 28. Mai 2018 in Kraft. Sie betrifft auch alle Schweizer Unternehmen, die Daten von EU-Bürgern besitzen. Ab Mai 2018 sind sie verpflichtet, ihre Datenschutzmassnahmen an die neuen Regelungen anzupassen. Die business campaigning GmbH hat Michèle Forster, Rechtsanwältin und Partnerin der Zürcher Anwaltskanzlei Frick Nafz Bieri, gefragt, welche konkreten Anpassungen in Schweizer Firmen und insbesondere in Marketing- und Kommunikationsagenturen vorgenommen werden müssen.

Warum gibt es ein neues europäisches Datenschutzgesetz?

Seit dem Beginn des Digitalzeitalters rückt der Schutz der persönlichen Daten der Bürger immer stärker in den Fokus. Jeder, der im Internet surft, in sozialen Netzwerken kommuniziert oder online einkauft, hinterlässt automatisch eine Datenspur. Viele Firmen – allen voran Internet-Giganten wie Facebook, Google oder Amazon – agieren als aktive Datensammler, um mit immer detaillierteren Informationen über ihre Nutzer und Kunden die eigenen Geschäftsmodelle zu optimieren. Das neue europäische Datenschutzgesetz zielt darauf ab, die Rechte der EU-Bürger im Hinblick auf die Kontrolle ihrer persönlichen Daten auszubauen. Für Unternehmen soll der Zugang zu personenbezogenen Daten schwerer werden.
Wesentliche Neuerungen bestehen beispielsweise darin, dass Internetnutzer künftig vom Verarbeiter das Löschen ihrer persönlichen Daten fordern können und Datenschutzverletzungen bei der Datenschutzbehörde des EU-Landes, in dem sie ihren Wohnsitz haben, melden können – letzteres auch dann, wenn sich der Verursacher der Verletzung ausserhalb der EU befindet. Für Unternehmen folgt daraus, dass sie sich neuen Herausforderungen im Hinblick auf die Qualität, die Komplexität und den Schutz von Personendaten stellen müssen. Generell gilt, dass die Erhebung und Verarbeitung personenbezogener Daten nach den Grundsätzen von Rechtmässigkeit, Zweckbindung, Richtigkeit, Speicherbegrenzung und Datenminimierung sowie auf Einwilligung, Integrität und Transparenz beruhen müssen. Betroffene Personen besitzen in Bezug auf ihre Daten ein volles Auskunftsrecht, können die Einschränkung oder das Unterlassen der Verarbeitung ihrer Daten fordern oder diese an Dritte übertragen. Zudem haben sie künftig einen Rechtsanspruch darauf, dass Entscheidungen über persönliche Belange nicht auf der Grundlage einer automatischen Datenverarbeitung beruhen.

Welche Schweizer Unternehmen sind durch die DSGVO betroffen?

Das neue EU-Datenschutzgesetz besitzt extraterritoriale Wirkung, sofern die Daten von Bürgern der Europäischen Union betroffen sind. Es gilt auch dann, wenn die Verarbeitung dieser Daten durch die Unternehmen selbst oder einen Auftragsverarbeiter nicht in der EU, sondern beispielsweise in der Schweiz erfolgt. Die DSGVO bezieht sich auf Daten, die gespeichert und verarbeitet werden, um Kunden innerhalb der EU Produkte und Dienstleistungen anzubieten oder dazu dienen, sie zu beobachten und beispielsweise ihr Kaufverhalten zu analysieren. De facto betrifft sie alle Schweizer Unternehmen, die Daten von Personen besitzen, die in der EU ihren Wohnsitz haben. Die Unternehmensgrösse und das Vorhandensein einer Niederlassung in der EU spielen hierfür keine Rolle. Das einzige Kriterium dafür, ob ein Unternehmen sich in seinem Datenschutz nach der DSGVO zu richten hat, besteht darin, ob Personendaten von EU-Bürgern verarbeitet werden. Dabei kann es sich um die Daten von Kunden, potentiellen Kunden, Mitarbeitern und anderer personenbezogenen Datenbestände handeln. Differenzierungen nach der Unternehmensgrösse und damit Vorteile für KMUs betreffen lediglich Teilbestimmungen wie die Bestellung eines internen Datenschutzbeauftragten oder die Erfüllung einer lückenlosen Dokumentationspflicht.
Die «Economiesuisse» gibt an, dass das Gesetz auch für Firmen gilt, die mittels digitaler Anwendungen das Verhalten der Besucher ihrer Webseite oder der Nutzer von Smartphone-Apps untersuchen. Zudem fallen durch Newsletter-Automationen und interaktive Kommunikationstools fast automatisch Daten an, die auch von internationalen Kunden und Seitenbesuchern stammen. Hiervon sind die weitaus meisten Schweizer KMUs und insbesondere Marketing- und Kommunikationsagenturen betroffen, die häufig grosse Datenbestände von EU-Bürgern besitzen.

Was müssen Schweizer Firmen angesichts der neuen Rechtslage unternehmen?

Jedes Schweizer Unternehmen sollte in den kommenden Monaten klären, ob es von der DSGVO betroffen ist. In diesem Fall müssen sie sich zunächst einen Überblick über sämtliche in ihrem Besitz befindlichen Personendaten verschaffen: Welche Daten sind vorhanden? Wie, wo, von wem und warum werden sie erhoben und bearbeitet? Ausserdem sind bestehende Datenschutzmassnahmen und die entsprechenden Prozesse zu dokumentieren, anhand der existierenden datenschutzrechtlichen Vorgaben zu überprüfen und Lücken bei deren Einhaltung zu ermitteln.
Im nächsten Schritt geht es darum, Massnahmen zu ergreifen, um die Vorschriften des neuen EU- Datenschutzgesetzes umzusetzen. Folgende künftig gesetzlich vorausgesetzten Prozeduren sind besonders wichtig.

  • Umsetzung der Informationspflichten, beispielsweise durch Datenschutzerklärungen und das Einholen von Einwilligungen zur Datenverarbeitung.
  • Prüfung der inhaltlichen, organisatorischen und technischen Grundlagen der Datenverarbeitung, Implementierung entsprechender Schutzmassnahmen.
  • Abschluss und Anpassung von Verträgen mit Auftragsverarbeitern.

Die DSGVO sieht vor, dass Auftragsverarbeiter künftig ausschliesslich auf vertraglicher Grundlage tätig werden dürfen. Zu prüfen ist, ob sie für die rechtskonforme Verarbeitung von Personendaten hinreichende Garantien – beispielsweise durch ein Datenschutzsiegel oder vergleichbare Zertifikate – leisten können.

  • Festlegung interner Prozesse, um die Rechte der Betroffenen an ihren Daten sicherzustellen.

Hier geht es insbesondere um das Recht auf Information, Auskunft, Berichtigungen oder Löschung personenbezogener Daten sowie das Recht auf Widerspruch gegen die Verarbeitung von Personendaten.

  • Implementierung von Prozessen bei Verletzungen des Datenschutzes.

Das neue EU-Gesetz schreibt vor, dass Datenschutzverletzungen künftig innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden sind. Bei einem hohen Risiko von Persönlichkeitsverletzungen durch die Nutzung und Verarbeitung von Daten sind auch die Betroffenen darüber zu informieren. Hierdurch erhöht sich naturgemäss auch das Risiko von Reputationsschäden für Unternehmen. Sinnvoll ist, das Thema Datenschutz umfassend in die Planung der Krisenkommunikation von Firmen einzubeziehen.

  • Sicherstellung der lückenlosen Dokumentation von Datenbearbeitungen.

Hierbei handelt es sich um eine Pflicht, die durch die DSGVO für alle Unternehmen mit mehr als 250 Mitarbeitern zwingend vorgeschrieben ist. Firmen mit weniger als 250 Mitarbeitern sind von dieser Vorgabe befreit, wenn sie nur gelegentlich personenbezogene Daten bearbeiten, damit keine besonderen Risiken verbunden sind und die Bearbeitung sich nicht auf besonders sensible Personendaten – beispielsweise Gesundheitsdaten – bezieht.

  • Bestellung eines Datenschutzbeauftragten.

Ein Datenschutzbeauftragter muss künftig in allen Firmen tätig werden, die Daten von EU-Bürgern besitzen. Unternehmen mit mehr als 250 Mitarbeitern sind verpflichtet, einen internen Datenschutzbeauftragten zu bestellen. In kleineren Firmen kann diese Aufgabe auch ein externer Berater übernehmen. In Konzernen kann ein Datenschutzbeauftragter die gesamte Unternehmensgruppe betreuen.

  • Bestellung eines Vertreters in der EU.

Schweizer Unternehmen ohne Niederlassung in der EU, die dort Waren oder Dienstleistungen anbieten oder Verhaltensbeobachtungen durchführen, müssen einen EU-Vertreter bestellen. Ausnahmen von dieser Regel gelten, wenn die Datenbearbeitung nur gelegentlich erfolgt, keine besonderen Risiken birgt und keine besonders sensiblen Daten davon betroffen sind.

  • Das Vornehmen einer Datenschutzfolgen-Abschätzung (DSFA).

Die DSFA ist ein neues Instrument, das mit dem Inkrafttreten des EU-Datenschutzgesetzes rechtsverbindlich wird. Sie ist vorzunehmen, wenn sensible Personendaten erhoben werden oder die Datenerhebung und Verarbeitung dazu dient, die Persönlichkeit, die Fähigkeiten, Leistungen und das Verhalten von Personen zu bewerten. In solchen Fällen muss der Datenschutzbeauftragte die besonderen Risiken in Bezug auf die Rechte und Freiheiten der Betroffenen prüfen und dazu Stellung nehmen, ob die Verarbeitung dieser Daten rechtens ist. Für den Einsatz von Big Data oder Profiling-Aktivitäten ist eine DSFA als Vorabprüfung zwingend vorgeschrieben. Zu einer DSFA gehören eine systematische Beschreibung der geplanten Datenverarbeitungsprozesse, die Bewertung ihrer Notwendigkeit und Verhältnismässigkeit sowie der Massnahmen, die zur Abwendung von damit verbundenen Risiken getroffen werden.
Langfristig geht es darum, die nachhaltige Umsetzung der implementierten Datenschutzmassnahmen und Prozesse abzusichern sowie generell ein Bewusstsein für datenschutzrechtliche Belange zu erzeugen. In den Unternehmen sind hierfür verantwortliche Personen zu benennen und natürlich auch mit ausreichenden Ressourcen auszustatten.

Was müssen Marketing- und Kommunikationsagenturen beachten?

Für die meisten Marketing- und Kommunikationsdienstleister lohnt es sich nicht, eine eigene Infrastruktur für das E-Mail- und Leadmanagement zu entwickeln. Bei der Erhebung und Verarbeitung von Daten sind sie folglich auf Drittanbieter angewiesen. Bei ihrer Auswahl muss künftig auch die DSGVO-Kompatibilität ihrer Geschäftspraxis eine Rolle spielen – insbesondere Garantien, dass diverse Datensicherungsgebote eingehalten werden. Hierzu gehören Zutritts-, Zugriffs- und Weitergabekontrollen sowie Trennungsgebote respektive die ausschliesslich zweckgebundene Verwendung von Daten. Auch für Marketing- und Kommunikationsagenturen gilt, dass eine Auslagerung der Datenverarbeitung in Zukunft nur auf einer vertraglichen Grundlage anhand von Standardvertragsklauseln und mit ausreichenden Datenschutzgarantien des Auftragnehmers erfolgen darf. Auftragsverarbeiter dürfen solche Tätigkeiten nur dann an weitere Dienstleister – sogenannte Sub-Sub-Akkordanten – weitergeben, wenn dafür eine schriftliche Genehmigung des Verantwortlichen des beauftragenden Unternehmens vorliegt.
Auch für die Planung und Ausgestaltung einzelner Kampagnen müssen Marketing- und Kommunikationsdienstleister weitere Vorgaben des neuen EU-Datenschutzgesetzes beachten. Für Werbe- Mailings, Newsletter oder Nurture-Kampagnen sind ein Impressum, ein Datenschutzhinweis sowie eine Widerrufsmöglichkeit – beispielsweise über einen Abmeldelink – unverzichtbar. Für eine werbliche Kontaktaufnahme benötigen Unternehmen immer den Nachweis der aktiven, ausdrücklichen, bewussten und freiwilligen Einwilligung des Empfängers. Michèle Forster empfiehlt Agenturen hier, sich grundsätzlich über ein Double-Opt-in-Verfahren abzusichern. Ausserdem sollten Unternehmen ihre Kunden und Werbekontakte vollständig und verständlich über alle Aspekte der Erhebung und Verarbeitung ihrer Daten informieren.

Wie werden Verstösse gegen das EU-Datenschutzgesetz geahndet?

Unternehmen, die sich nicht nach den Vorgaben des neuen EU-Datenschutzgesetzes richten, müssen ab dem 28. Mai 2018 mit empfindlichen Strafen rechnen. Laut Michèle Forster werden Verstösse gegen die DSGVO mit einer Geldstrafe von bis zu vier Prozent des Jahresumsatzes bis zum Maximalbetrag von 20 Millionen Euro sanktioniert.

Als ein Fazit: Auf den ersten Blick kommen auf Schweizer Unternehmen durch die Umsetzung des europäischen Datenschutzgesetzes aufwändige Veränderungen zu, in der Praxis dürften die Folgen für KMUs und auch für Marketing- und Kommunikationsagenturen jedoch überschaubar sein. Davon auszugehen ist, dass in den meisten Unternehmen die Grundlagen für einen DSGVO-konformen Umgang mit Personendaten bereits vorhanden sind. Nicht umsonst hat auch die EU-Kommission der Schweiz bereits im Jahr 2016 bescheinigt, dass ihre Datenschutzgesetzgebung und ihr Datenschutzniveau den Regelungen des EU-Rechts entsprechen, so dass einem Datenaustausch keine rechtlichen Hindernisse entgegenstehen. Zudem können KMUs im Hinblick auf die Dokumentation ihrer Datenverarbeitung, die Bestellung eines Datenschutzbeauftragten oder eines EU-Repräsentanten Erleichterungen in Anspruch nehmen.

Cyrill Altorfer, business campaigning Team

Wie gefiel dir dieser Beitrag?
Please wait...
Fragen oder Anregungen?
Zu den Kommentaren (0)
Passende Themen
Kommentare (0)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich stimme zu.

This site uses Akismet to reduce spam. Learn how your comment data is processed.