Auswirkungen der EU DSGVO auf Schweizer Unternehmen

Größe: px

Ab Seite anzeigen:

Download "Auswirkungen der EU DSGVO auf Schweizer Unternehmen"

Anneliese Baumhauer
vor 7 Jahren
Abrufe

1 Auswirkungen der EU DSGVO auf Schweizer Unternehmen Nicole Beranek Zanon, RA lic. iur., Exec. MBA HSG

2 2 AGENDA 1. Ausgangslage in der Schweiz 2. Räumlicher Geltungsbereich der EU-DSGVO 3. Übersicht über die massgeblichen Änderungen der EU DSGVO gegenüber der Richtlinie 4. Compliance 5. Zusammenfassung

3 3 1 Ausgangslage in der Schweiz

4 4 1/1 Risikobasierter Ansatz Abwägung der Unternehmensrisiken (nicht identisch mit der Folgenabschätzung) Non-Compliance versus Nutzen Beurteilung der Konsequenzen einer Non- Compliance

5 5 1/2 Sanktionen Gerichtskosten Anwaltskosten Schadenersatz Genugtuung Gerichtskosten Anwaltskosten Schadenersatz Genugtuung Busse bis CHF Strafregistereintrag Verwaltungs -rechtliche Gerichtskosten Anwaltskosten Schadenersatz Genugtuung Busse + Compliance

6 6 1/3 Reputationsschaden Reputationsschaden lässt sich nicht bemessen und kann ein Unternehmen ruinieren Wird oft in Kauf genommen Wird je nach Branche vom Kunden verziehen

7 7 1/4 Wie weiter mit diesem Ansatz Neue EU Datenschutz-Grundverordnung: Was nun? Funktioniert der Risiko-Ansatz noch? Bussen der EU DSGVO (und ev. des neuen DSG?) sind drakonisch! Ist die EU DSGVO überhaupt auf uns anwendbar?

8 8 2 Räumlicher Geltungsbereich EU-DSGVO

9 9 2/1 Räumlicher Geltungsbereich des DSG Datenschutzrecht = öffentliches Recht = Territorialitätsprinzip, durchbrochen durch Auswirkungsprinzip (Google Street View Fall) Strafrechtlichen Bestimmungen sind öffentliches Recht = Territorialitätsprinzip (Art. 3 ff. StGB), mit Ausnahmen (Art. 4 ff. StGB, Steuerstrafrecht) Privatrechtliche Bestimmungen (z.b.. Art. 28 f. ZGB, Art. 9 UWG, Art. 46 FDV) können nach Staatsvertrag oder IPRG auch zur Anwendung fremdländischen Rechts führen

10 10 2/2 Räumlicher Geltungsbereich EU DSG VO Art. 3 EU DSGVO (1) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. (2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von in der Union aufhältigen betroffenen Personen durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung a) dazu dient, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist; b) der Beobachtung ihres Verhaltens dient, soweit ihr Verhalten in der Europäischen Union erfolgt (3) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen an einem Ort, der völkerrechtlich dem nationalen Recht eines Mitgliedstaats unterliegt.

11 11 2/3 EU Auswirkungsprinzip EU-Niederlassung bezieht alle Verarbeitungen mit ein, welche durch eine Person veranlasst oder vorgenommen werden, die in der EU als Datenverantwortlicher oder Auftragsdatenverarbeiter niedergelsassen ist Personendaten von betroffenen Person mit Aufenthalt in EU Anknüpfung an Aufenthalt der Person und Art der Nutzung der personenbezogenen Daten Für Angebot von Waren und Dienstleistungen Zur Beobachtung des Verhaltens

12 12 2/4 EU Auswirkungsprinzip Definition von Angebot Waren / Dienstleistungen noch durch Auslegung zu ermitteln Anknüpfungspunkt ist die Ausrichtung des Angebotes an in der EU ansässige Personen Erwägung 23 EU-DSGVO «Damit einer Person der gemäß dieser Verordnung gewährleistete Schutz nicht vorenthalten wird, sollte die Verarbeitung dieser Verordnung unterliegen, wenn die Verarbeitung dazu dient, diesen Personen gegen Entgelt oder unentgeltlich Waren oder Dienstleistungen anzubieten.» «können andere Faktoren wie die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, und/oder die Erwähnung von in der Union aufhältigen Kunden oder Nutzern darauf hindeuten»

13 13 2/5 EU Auswirkungsprinzip Analogie zum Konsumentenschutz Tendenz im Bereich des Konsumentenschutzes deutet auf extensive Auslegung hin Entscheid BGH Urteil vom ; Half-Life 2 : «weil die Beklagte ihre Geschäftsbedingungen dadurch in Deutschland verwendet hat, dass sie auf den von ihr in Deutschland angebotenen CD-Roms auf ihre auf ihrer Internetseite eingestellten Geschäftsbedingungen hingewiesen hat.» Entscheid OGH Österreich vom ; mobil.de: «ist zu prüfen, ob vor einem möglichen Vertragsschluss mit dem Verbraucher aus diesen Websites und der gesamten Tätigkeit des Gewerbetreibenden hervorgeht, dass dieser mit Verbrauchern, die in einem oder mehreren Mitgliedstaaten, darunter dem Wohnsitzmitgliedstaat des Verbrauchers, wohnhaft sind, in dem Sinne Geschäfte zu tätigen beabsichtigte, dass er zu einem Vertragsschluss mit ihnen bereit war.»

14 14 2/6 EU Auswirkungsprinzip Analogie Konsumentenschutz Möglichkeit der Lieferung an Adressen im Ausland Lieferungskosten Lieferungsbedingungen Möglichkeit zur Nutzung der Dienstleistung im Ausland Preise in einer fremden Landeswährung aufgeführt Bestehen von verschiedenen länderspezifischen Webseiten Anbieten der Webseite in einer Nicht-Amtssprache Auflistung von internationalen Kontaktdaten Aufführung von internationalen Zahlungsverbindungen Nutzung von Werbediensten auf ausländischen Webseiten Anfahrtswege auch für ausländische Kunden aufgeführt

15 15 2/7 Auf einen Blick!! Datenverantwortlicher: Datenverarbeiter: Daten von (Ansässigkeit): Anwendbarkeit EU-DSGVO: Grundlage: EU dito EU Ja Art. 3 Abs. 1 EU CH EU Ja Art. 3 Abs. 1 EU CH CH Ja Art. 3 Abs. 1 CH EU CH Ja Art. 3 Abs. 1 CH - CH Nein CH - EU Ja* Art. 3 Abs. 2 (*) vorbehältlich dass Waren oder Dienstleistungen an in der EU ansässige Personen angeboten werden oder ein Verhalten beobachtet wird

16 16 3 Übersicht Änderungen EU-DSGVO zur Richtlinie

17 17 3/1 Neue Regelungen der EU-DSGVO Artikel: Thema: Was ist neu: Art. 6/7 EU-DSGVO Neukonzeption der Einwilligung Art. 17 EU-DSGVO Recht auf Löschung - Jederzeitige Nachweis der Einwilligung muss möglich sein - Einwilligung kann jederzeit widerrufen werden - Koppelungsverbot - Kann von betroffenen Personen jederzeit geltend gemacht werden - Löschung muss ohne unangemessene Verzögerung geschehen Art. 25 EU-DSGVO Privacy by Design - Datenschutz bereits bei der Planung von Verarbeitungen - Risikoanalyse im Einzelfall notwendig Art. 27 EU-DSGVO Bestellung eines Vertreters - In Fällen, von Art. 3 Abs. 2 EU DSGVO

18 18 3/2 Neue Regelungen der EU-DSGVO Artikel: Thema: Was ist neu: Art. 35 EU-DSGVO Datenschutz- Folgenabschätzung Anknüpfende Plicht zur Konsultation der Aufsichtsbehörde Dokumentations- und Nachweispflichten DSMS ratsam Art. 37 EU-DSGVO Art. 30 EU-DSGVO Art. 33 EU - DSGVO Art. 8 EU-DSGVO - Eingeschränkte Benennung - Verarbeitungsschritte Meldepflichten - Meldung bei Verlust von Personendaten innert 72 Stunden Datenschutzbeauftragter Dokumenationspflichten Jugendschutzbestimmungen - Prozesse betreffend Altersüberprüfung aufsetzen

19 19 4 Compliance

20 20 4/1 Warum lohnt es sich, compliant zu sein? Vermeidung von drakonischen Geldbussen Geldbussen > 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes möglich bei Verstössen gegen wesentliche Grundsätze der DSGVO Geldbussen > 20 Mio. Euro oder > 4% des weltweiten Jahresumsatzes möglich Aufsichtsbehörden müssen Bussen verhängen Risikoansatz auch hier wieder hilfreich, nur haben sich die Risiken erhöht, weshalb sich Investitionen in Datenschutz- Compliance Projekte lohnen.

21 21 4/2 Datenschutz-Compliance in 11 Schritten 1. Datenschutzstrategie 2. Abschätzung Auswirkungen und Definition Handlungsfelder 3. Datenverzeichniss anlegen/ergänzen 4. Überprüfung der Prozesse zur Wahrung der Rechte Betroffener wie Auskunftsbegehren, Löschungsprozess und Widerruf 5. Dokumentationen erstellen 6. Einwilligung 7. Jugendschutzbestimmungen 8. Prozess der Meldung überprüfen 9. Privacy by Design + Folgeabschätzung dokumentieren und Prozess aufsetzen 10. Datenschutzbeauftragter 11. Überarbeitung bestehender Verträge

22 22 5 Zusammenfassung

23 23 5 Zusammenfassung EU DSGVO unumgänglich für Schweizer Unternehmen Falls neues DSG nicht gleichwertig, wird die EU den Standard setzen Hoffentlich wird aber das neue DSG die EU Normen nicht überschiessen Hoffentlich bleibt der EDÖB weiterhin pragmatisch und lösungsorientiert

24 Thank you for your attention!

Ähnliche Dokumente

DSGVO und DSG-Revision Datenschutz im Wandel. GVD-Anlass vom 28. Juni 2018 Zacharias Zwahlen, Rechtsanwalt

DSGVO und DSG-Revision Datenschutz im Wandel Zacharias Zwahlen, Rechtsanwalt Agenda 1. Inhalt des Datenschutzes 2. Personendaten 3. Ziele des «neuen» Datenschutzes 4. Übersicht DSGVO 5. Übersicht DSG-Revision