Datenschutz-Compliance im Unternehmen

Transkript

1 Markus Näf Master of Law, Rechtsanwalt Certified Senior Project Manager IPMA Level B Lehrbeauftragter für Informatikrecht und Projektmanagement an der FHS St. Gallen Telefon markus.naef@bratschi-law.ch Datenschutz-Compliance im Unternehmen Unternehmen mussten sich bisher wenig mit Datenschutzfragen beschäftigen und wenn, ging es hauptsächlich um Informatiksicherheit. Die technologische Entwicklung in der Datenverarbeitung mit Outsourcing, Onlineapplikationen, Internetsuchmaschinen oder Big Data -Analysen erfordern aber bereits heute nach dem geltenden Datenschutzgesetz besondere Massnahmen. Mit der anstehenden Revision der Datenschutzgesetzgebung kommen zusätzliche Anforderungen auf die Unternehmen zu. Es stellt sich daher die Frage: Ist Ihr Unternehmen bereits konform mit den aktuellen Datenschutzgesetzen? In einem ersten Schritt ist zu prüfen, welche Daten und Datensammlungen im Unternehmen bearbeitet werden und ob diese überhaupt unter das Datenschutzgesetz (DSG) fallen, da dieses nur Personendaten erfasst. Unternehmen sind aber gut beraten, den Datenschutz in einem weiten Sinne zu betrachten, da oftmals Betriebsdaten die keine Personendaten nach dem Gesetz sind und nicht dem Datenschutzgesetz unterliegen genauso wichtig, wenn nicht wichtiger für das Unternehmen sind. Es gilt diese Betriebsgeheimnisse genauso gut zu schützen, wie es für die Personendaten im Datenschutzgesetz vorgesehen ist. 1. Grundsatz der rechtmässigen Datenbearbeitung Daten dürfen durch Unternehmen oder Privatpersonen nur rechtmässig bearbeitet werden. Das heisst, es müssen (i) die Grundsätze der Datenbearbeitung eingehalten werden (Rechtmässigkeit, Verhältnismässigkeit, Zweckbindung, Transparenz, Sicherheit und Richtigkeit der Daten), (ii) Daten dürfen nicht gegen den Willen der betroffenen Person ohne Rechtfertigungsgrund bearbeitet werden und (iii) besonders schützenswerte Personendaten oder Persönlichkeitsprofile dürfen nicht ohne Rechtfertigungsgrund an Dritte bekannt gegeben werden. Als Rechtfertigungsgründe kommen in der Praxis neben einer gesetzlichen Grundlage für die Datenbearbeitung, ein überwiegendes privates oder öffentliches Interesse in Frage welches aber immer eine Abwägung der Interessen notwendig macht sowie als häufigster Grund die Einwilli- Bratschi Wiederkehr & Buob AG Basel Bern Lausanne St. Gallen Zug Zürich Die vollständige Anwaltsliste finden Sie im Internet unter

2 gung der betroffenen Person. Werden Daten bearbeitet, welche die betroffene Person selbst allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat, liegt in der Regel keine Persönlichkeitsverletzung vor. 2. Checkliste Datenschutz Compliance Mit der folgenden Checkliste kann der aktuelle Datenschutzstandard im Unternehmen anhand von zehn Punkten überprüft werden. 1. Sind im Unternehmen alle Datensammlungen mit den dazugehörigen Bearbeitungsprozessen dokumentiert und jeweils einer verantwortlichen Person zugewiesen? 2. Ist im Unternehmen dokumentiert an welchen Standorten (in welchen Ländern), welche Kategorien von Daten übermittelt, gespeichert oder bearbeitet werden? a) Bestehen grenzüberschreitende Datenflüsse in Länder ohne angemessenen Datenschutz und sind diese vertraglich oder auf andere Weise abgesichert und falls notwendig dem Eidgenössischen Datenschutz und Öffentlichkeitsbeauftragten (EDÖB) gemeldet? b) Bestehen grenzüberschreitende Datenflüsse in Länder ohne angemessenen Datenschutz zu Konzerngesellschaften und sind diese vertraglich abgesichert und dem EDÖB gemeldet? 3. Sind alle internen und externen Datenbearbeitungen durch Dritte vertraglich geregelt? 4. Hat das Unternehmen über Datenbearbeitungen, wo erforderlich, transparent informiert? a) Bestehen Einwilligungen für das sammeln, bearbeiten oder weitergeben von besonders schützenswerten Personendaten sowie von Persönlichkeitsprofilen und wurde der EDÖB gemäss gesetzlicher Vorgabe darüber informiert. b) Wurden die notwendigen Einwilligungen für die Datenbearbeitung durch betroffene Personen nach korrekter Aufklärung und explizit erteilt? c) Besteht ein Datenbearbeitungsreglement für diese Daten? 5. Werden die Grundsätze der Datenbearbeitung (Rechtmässigkeit, Verhältnismässigkeit, Zweckbindung, Transparenz und Richtigkeit der Daten) eingehalten und sind die Anwender im Unternehmen über diese Grundsätze geschult? 6. Werden die Vorgaben für die Datensicherheit (Zutritts- und Zugriffskontrollen, Protokollierung, Verschlüsselung, Back-up, Disaster Recovery Planning, Dokumentation, Kontrollen) umgesetzt, um unberechtigte Zugriffe, Veränderungen oder Löschungen von Daten zu verhindern und entsprechen diese Massnahmen dem aktuellen Stand der Technik? Seite 2 6

3 7. Sind die Verantwortlichkeiten und die Prozesse für das Auskunftsrecht von Personen über die Daten gespeichert werden im Unternehmen geregelt? 8. Besteht eine Übersicht über die anwendbaren weiteren gesetzlichen Bestimmungen zur Datenbearbeitung (Berufsgeheimnis, Amtsgeheimnis, Aufbewahrungspflichten, Archivierung) sowie eine Dokumentation über alle notwendigen und erfolgten Meldungen als auch Registrierungen beim EDÖB? 9. Unterliegt das Unternehmen ausländischen Datenschutzbestimmungen aufgrund von Standorten im Ausland, Datenbearbeitung im Ausland, Datensammlungen von Ausländern, etc. 10. Bestehen umfassende Datenschutzklauseln in Verträgen mit Dritten? 3. Folgen der non-compliance Erfahrungsgemäss können Unternehmen nicht alle Fragen mit einem überzeugenden Ja beantworten. Während die technischen Aspekte der Datensicherheit meist durch die Informatik geregelt werden, sind für den Umgang mit Daten meist die Fachabteilungen zuständig. Ohne eine klar zugewiesene Verantwortlichkeit für die Datenschutz Belange werden diese meist nur punktuell wahrgenommen. Auch wenn das Defizit erkannt wird, kann es aus unserer Erfahrung nicht einfach rasch in einem Projekt gelöst werden, da der Datenschutz in allen Bereichen des Unternehmens eine Rolle spielt und fast jeden Prozess und jede IT-Anwendung betrifft. Bei der Verletzung von Datenschutzvorschriften kann das Unternehmen einerseits von der betroffenen Person wegen der Verletzung von Persönlichkeitsrechten nach Art. 28 ZGB belangt werden und andererseits können die Verantwortlichen wegen der Verletzung der Informations- und Mitwirkungspflichten nach Art. 34 DSG gebüsst werden oder es kommen die Strafbestimmungen bei der Verletzung des Berufsgeheimnisses oder anderer Berufsgesetze zum Tragen. 4. Datensammlungen und Datenkategorien Während für Personendaten 1 die allgemeinen Bearbeitungsgrundsätze des Datenschutzgesetzes Anwendung finden, bestehen für die Beschaffung, Bearbeitung, Übermittlung sowie die Weitergabe an Dritte von besonders schützenswerten Personendaten oder von Persönlichkeitsprofilen erhöhte Anforderungen an die Information der betroffenen Person sowie die Pflicht zur Registrierung beim EDÖB. 1 Personendaten sind alle Angaben (Daten), die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 Bst. a DSG). Seite 3 6

4 Die besonders schützenswerten Personendaten 2 sind im Datenschutzgesetz abschliessend definiert und entsprechend kann festgestellt werden, ob solche Daten im Unternehmen bearbeitet werden. Anders sieht es bei den Persönlichkeitsprofilen 3 aus, da moderne Technologien und auch das Internet über eine Sucheingabe mit Namen eine Vielzahl von Informationen über eine Person liefert, womit jeweils bereits eine Abgrenzung notwendig wird, ob ein Persönlichkeitsprofil vorliegt. 5. Datenbearbeitung durch einen Dritten Das Datenschutzgesetz lässt eine Bearbeitung von Personendaten durch Dritte unter vier Voraussetzungen zu: 1. Es braucht dazu eine entsprechende Vereinbarung; 2. Der Dritte darf die Daten nur so bearbeiten, wie es der Auftraggeber selbst tun dürfte; 3. Keine gesetzliche oder vertragliche Geheimhaltungsplicht darf es verbieten; 4. Der Auftraggeber muss sicherstellen, dass der Dritte die Datensicherheit gewährleistet. Eine Auftragsbearbeitung liegt nur vor, wenn die Bearbeitung nur für die Zwecke des Auftraggebers erfolgt, nicht aber für eigene Zwecke des Auftragbearbeiters oder von einem Dritten. Nur in diesem Fall besteht ein sogenanntes Bekanntgabeprivileg, das heisst die Rechtsfolgen die mit der Bekanntgabe an Dritte verbunden sind, werden nicht ausgelöst. Bearbeitet der Auftragbearbeiter die Daten auch für eigene Zwecke oder für Dritte, ist eine Registrierung der Datensammlung sowie eine Information der betroffenen Personen notwendig und bei besonders schützenswerten Personendaten oder bei Persönlichkeitsprofilen eine Einwilligung oder eine Rechtfertigung bei der Datenweitergabe. Konzerngesellschaften gelten ebenfalls als Dritte und es ist entsprechend bei einer konzerninternen Datenbearbeitung zwingend eine schriftliche Datenbearbeitungsvereinbarung abzuschliessen. 6. Datenübermittlung ins Ausland Die Datenübermittlung ins Ausland ist mit den heutigen Internetanwendungen und Cloud-Lösungen eher die Regel als die Ausnahme. So speichern Dienste wie Drop-Box, Microsoft Office365 oder GoogleDrive Daten in Rechenzentren in Europa oder auch in den USA. Das Datenschutzgesetz macht über die Zulässigkeit der Datenübermittlung eine Negativabgrenzung: Personendaten dürfen nicht ins Ausland übermittelt werden, wenn durch eine Übermittlung die Persönlichkeit der betroffenen Person gefährdet würde, namentlich weil im Land eine Gesetzgebung fehlt, die einen angemessenen Schutz der Daten und der Persönlichkeit gewährleistet 2 3 Besonders schützenswerte Personendaten sind Daten über (i) die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, (ii) die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, (iii) Massnahmen der sozialen Hilfe und (iv) administrative oder strafrechtliche Verfolgungen und Sanktionen (Art. 3, Bst. c DSG). Ein Persönlichkeitsprofil ist eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt (Art. 3, Bst. d DSG). Seite 4 6

5 (Art. 6 Abs. 1 DSG). Der EDÖB veröffentlicht auf seiner Internetseite eine Liste der Länder mit gleichwertigem Datenschutz. Dazu gehören alle Länder der EU, jedoch nicht die USA. Für die USA galt bis vor kurzem das Safe Harbour Agreement als vertragliche Datenschutzregelung, die jedoch mit dem Entscheid des Europäischen Gerichtshofs im Oktober 2015 als ungenügend qualifiziert wurde. Entsprechend kommen entweder die Einwilligung der betroffenen Person oder eine vertragliche Vereinbarung mit hinreichenden Garantien für einen angemessenen Schutz der Daten im Ausland als Rechtfertigung für die Datenübermittlung in Frage. Der EDÖB veröffentlicht dazu auf seiner Webseite einen Mustervertrag dafür. Der EDÖB ist über den Abschluss einer solchen vertraglichen Datenschutzvereinbarung zu informieren. Dies gilt auch bei der Datenübermittlung in Länder ohne angemessenen Datenschutz innerhalb von Konzerngesellschaften. Bestehen besondere gesetzliche Vorschriften zum Schutz der Personendaten, wie im Bankgengesetz, Anwaltsgesetz, Arztgeheimnis, Gesundheitsgesetz etc., ist eine Datenübermittlung ins Ausland vermutungsweise nicht zulässig. Mit der Einwilligung der betroffenen Person nach einer Aufklärung über die bestehenden Risiken, kann eine solche Übermittlung zulässig sein, ist aber im Einzelfall zu prüfen. 7. Meldungen an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) Der EDÖB führt ein Register der Datensammlungen mit dem Ziel der Transparenz, damit Personen gegenüber Unternehmen ihre Auskunftsrechte geltend machen können. Unternehmen müssen Datensammlungen anmelden, wenn sie regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeiten oder regelmässig Personendaten an Dritte bekannt geben. Weiter müssen vertragliche Vereinbarungen zur Sicherstellung des Datenschutzes bei der Datenübermittlung in Länder ohne angemessenen Datenschutz an den EDÖB gemeldet werden. Unternehmen können von der Meldepflicht befreit werden, wenn sie einen betrieblichen Datenschutzbeauftragten ernennen und diesen dem EDÖB melden oder wenn sie über eine entsprechend registrierte Datenschutzzertifizierung verfügen (Art. 11a DSG). 8. Umsetzung Aus unserer Beratungspraxis empfehlen wir ein stufenweises Vorgehen, um den Datenschutz und die Einhaltung der Datenschutzvorschriften im Unternehmen sicherzustellen: 1. Zuweisung der Verantwortlichkeit für den Datenschutz, allenfalls Ernennung eines betrieblichen Datenschutzbeauftragten; 2. Inventar der Datensammlungen und Datenkategorien sowie deren Speicherorte anlegen; 3. Einhalten der formalen gesetzlichen Vorgaben, durch Abschluss von Datenbearbeitungsvereinbarungen innerhalb des Konzerns oder mit den externen Datenbearbeitern; Seite 5 6

6 4. Melden der Datenübermittlungsverträge mit Ländern ohne angemessenen Datenschutz, der Datensammlungen sowie des betrieblichen Datenschutzbeauftragten an den EDÖB; 5. Erstellen von Datenbearbeitungsreglementen für die Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen und sicherstellen der Informationspflichten; 6. Umsetzung von vertraglichen Datenschutzbestimmungen; 7. Erfassen und Anpassen der laufenden Änderungen (Gesetzesrevisionen, Ausländische Datenschutzbestimmungen etc.). 9. Fazit Datenschutz ist kein einmaliges Vorhaben, sondern eine laufende Aufgabe! Bratschi Wiederkehr & Buob AG ist eine führende Schweizer Anwaltskanzlei mit über 75 Anwältinnen und Anwälten in den Wirtschaftszentren der Schweiz, bietet schweizerischen und ausländischen Unternehmen und Privatpersonen professionelle Beratung und Vertretung in allen Bereichen des Wirtschafts-rechts, im Steuerrecht und im öffentlichen Recht sowie in notariellen Angelegenheiten. Basel Lange Gasse 15 CH-4052 Basel Telefon Fax Bern Bollwerk 15 Postfach CH-3001 Bern Telefon Fax Lausanne Avenue Mon-Repos 14 Postfach 5507 CH-1002 Lausanne Téléfone Téléfax St. Gallen Vadianstrasse 44 Postfach 262 CH-9001 St. Gallen Telefon Fax Zug Industriestrasse 24 CH-6300 Zug Telefon Fax Zürich Bahnhofstrasse 70 Postfach CH-8021 Zürich Telefon Fax Bratschi Wiederkehr & Buob AG, Vervielfältigung bei Angabe der Quelle gestattet Seite 6 6