Merkblatt für Schweizer Unternehmen

Transkript

1 Merkblatt für Schweizer Unternehmen Aussicht auf die Gesetzesänderungen in der Schweiz und EU und dessen Auswirkungen auf den Alltag in der Wirtschaft Die Europäische Datenschutzgrundverordnung (EU-DSGVO) wird am 25. Mai 2018 in Kraft treten und sich auf viele Unternehmen in der Schweiz direkt auswirken. Parallel dazu gleicht der Bundesrat das Schweizer Recht, insbesondere das Datenschutzgesetz (DSG), an die Entwicklung in der EU und im Europarat an. Damit wird sichergestellt, dass die freie Datenübermittlung zwischen Schweizer Unternehmen und solchen in der EU weiterhin möglich bleibt. Mit der Revision des DSG werden die Daten der Bürgerinnen und Bürger besser geschützt. Vor dem aktuellen Hintergrund können die Ziele der Revision des schweizerischen Datenschutzgesetzes wie folgt zusammengefasst werden: Mehr Transparenz für Privatpersonen - Verbesserter Schutz der Daten für die Bürgerinnen und Bürger - Informationspflicht über die Erhebung der Personendaten Grössere Unabhängigkeit für den Datenschutzbeauftragten - Grössere Unabhängigkeit und Erweiterung der Kompetenzen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Für Schweizer Wirtschaft wichtig - Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts, zur Einhaltung der Verpflichtungen aus den Schengenabkommen. - Die Anpassung an das europäische Recht bildet die Voraussetzung dafür, dass die Europäische Kommission die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt und die grenzüberschreitende Datenübermittlung weiterhin möglich bleibt. 1

2 Übersicht Datenschutzrecht EU und Schweiz Themen Inhalt Beispiele, Rechtsfolge, Massnahme, Ausnahmen Was ist Gegenstand und Ziel der neuen EU-DSGVO? Kein Handlungsbedarf - Art. 1 E-DSG - Die EU-DSGVO enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. - Ausserdem schützt sie die Grundrechte und Grundfreiheiten von natürlichen Personen (insbesondere Recht auf Schutz personenbezogener Daten). Vergleich E-DSG: - Auch im E-DSG stehen der Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden, im Vordergrund. - Das E-DSG soll neu ausschliesslich dem Schutz natürlicher Personen dienen und nicht auch noch dem Schutz der Unternehmen. Ist die EU-DSGVO auf unser Unternehmen anwendbar? - Art. 2 DS-GVO - Art. 3 DS-GVO - Art. 2 E-DSG Die EU-DSGVO gilt (sachlicher Anwendungsbereich): - Für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten; - Für nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind. Die EU-DSGVO gilt (räumlicher Anwendungsbereich): - Soweit eine Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. - Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden (Kriterium der Niederlassung), durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn: o Betroffenen Personen in der Union Waren oder Dienstleistungen angeboten werden (Kriterium des Zielmarktes). Niederlassung in der EU Bearbeitung personenbezogener Daten im Zusammenhang mit Tätigkeit einer europäischen Zweigstelle eines CH-Unternehmens in EU Auftragsbearbeiter Bearbeitung personenbezogener Daten für ein Schweizer Unternehmen durch Auftragsverarbeiter in EU 2

3 Einwilligung - Art. 7 DS-GVO - Art- 5 Abs. 6 E-DSG Welche datenschutzrechtlichen Grundsätze/Prinzipien der EU-DSGVO muss ich beachten? - Art DS-GVO - Art E-DSG o Datenverarbeitung im Zusammenhang damit steht, das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. - Verantwortlicher muss nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. - Widerrufsrecht der betroffenen Person Vergleich E-DSG (aktives Einwilligen): Ist die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information, freiwillig und eindeutig erteilt wird. Für die Bearbeitung von besonders schützenswerten Personendaten und das Profiling muss die Einwilligung ausdrücklich erfolgen. Folgende übergeordnete Prinzipien der Datenverarbeitung sind einzuhalten: Rechtmässige Bearbeitung nach Treu und Glauben und Transparenz: Die personenbezogenen Daten müssen rechtmässig, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Zweckbindung: Die personenbezogenen Daten müssen für die ursprünglich festgelegten Zwecke erhoben werden. Der Zweck muss dabei eindeutig bestimmt sein, genannt werden und legitim sein. Datenminimierung: Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Mass beschränkt sein. Richtigkeit: Die erhobenen personenbezogenen Daten müssen richtig und erforderlichenfalls auch auf dem neusten Stand sein. Es müssen zudem Massnahmen getroffen werden, damit unrichtige Daten unverzüglich gelöscht oder berichtigt werden. Zielgruppe in der EU Bearbeitung personenbezogener Daten von Personen mit Aufenthalt in der EU durch ein Unternehmen mit Sitz in der Schweiz. 3

4 Integrität (Vertraulichkeit): Personenbezogene Daten müssen in einer Art und Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet. Darunter fällt vor allem der Schutz vor unbefugter/unrechtmässiger Verarbeitung und vor unbeaufsichtigtem Verlust sowie Zerstörung durch geeignete technische und organisatorische Massnahmen. Speicherbegrenzung: Personenbezogene Daten sollen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Vergleich E-DSG: - Rechtmässige Bearbeitung, Treu und Glauben, Zweck der Bearbeitung muss erkennbar sein und eingehalten werden, Vernichtung oder Anonymisierung, wenn Bearbeitung nicht mehr erforderlich, Vergewisserung der Richtigkeit der Daten, Einwilligung ist erforderlich. Wer ist dafür verantwortlich, dass die Verarbeitung gemäss den Bestimmungen des EU-DSGVO erfolgt? - Art 24 DS-GVO i.v.m. Art. 4 7 DS-GVO - Art. 7ff. E-DSG Verantwortung des für die Verarbeitung Verantwortlichen - Beim Verantwortlichen handelt es sich um eine natürliche oder juristische Person, Behörde, Einrichtung oder anderer Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. - Gemäss Art. 24 DS-GVO setzt der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintretenswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Massnahmen um, um sicherzustellen und den Nachweis dafür zu erbringen, dass die Verarbeitung gemäss der EU-DSGVO erfolgt. Vergleich E-DSG: - Vergleiche Art. 7ff. E-DSG 4

5 Welche Pflichten habe ich als Verantwortlicher und Auftragsverarbeiter nach der EU-DSGVO? EU-DSGVO (nicht abschliessend): - Art. 24 DS-GVO - Art. 25 DS-GVO - Art. 27 DS-GVO - Art. 28 DS-GVO - Art. 30 DS-GVO - Art. 31 DS-GVO - Art. 32 DS-GVO - Art. 33 DS-GVO - Art. 34 DS-GVO - Art. 11 E-DSG - Art E-DSG Verantwortung des für die Verarbeitung Verantwortlichen (Art. 24): - Der Verantwortliche muss zu Beginn einer Bearbeitung (von Personendaten) die Wahrscheinlichkeit und den Grad der Gefährdung der Rechte und Freiheiten von Personen objektiv beurteilen. Datenschutz durch Technikgestaltung sowie datenschutzfreundliche Voreinstellungen (Art. 25): - Privacy by desing: Die Grundsätze des Datenschutzes müssen bereits bei der technischen Ausgestaltung berücksichtigt werden. - Privacy by default: Datenschutzfreundliche Voreinstellung bei den Produkten und Dienstleistungen. Verzeichnis von Verarbeitungstätigkeiten (Art. 30): - Die Verantwortlichen oder ihre Vertreter sind verpflichtet ein Register der unter ihrer Verantwortung ausgeführten Bearbeitungstätigkeiten (in elektronischer Form) zu führen. Datenschutzfolgeabschätzung (Art. 35): - Hat die Bearbeitung von personenbezogenen Daten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge, so sieht die EU-DSGVO die Vornahme einer Datenschutz-Folgenabschätzung vor. Weitere Pflichten (Art. 13, Art. 15 und Art. 32ff.): - Weiter besteht eine Informationspflicht, sofern personenbezogene Daten erhoben worden sind, oder durch Dritte an das Unternehmen gelangt sind - Den betroffenen Personen ist jederzeit und unentgeltlich Auskunft über die Verarbeitung ihrer Daten zu gewähren - Sicherheit der Bearbeitungsvorgänge (angemessen organisatorische und technische Massnahmen treffen um ein Risiko angemessenes Schutzniveau zu gewährleisten) - Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten - Benennung eines Datenschutzbeauftragten - Kontrollmechanismen und - systeme innerhalb seiner Einrichtung etablieren, um sicherzustellen, dass die Konformität der Bearbeitung während des gesamten Vorgangs gewährleistet ist - Unternehmen mit weniger als 250 Beschäftigten sind mit einigen Ausnahmen von der Pflicht ein Verzeichnis zu führen ausgenommen (vgl. Art DS-GVO) - In bestimmten Fällen ist eine Datenschutz-Folgenabschätzung obligatorisch (vgl. Artikel 35 3 DS-GVO). Die inhaltlichen Mindestanforderungen sind in Artikel 35 7 aufgeführt. - Benennung eines Datenschutzbeauftragten ist in 3 Fällen zwingend, und zwar 1) für Behörden oder öffentliche Stellen, 2) für Unternehmen, die Bearbeitungen, die eine regelmässige und systematische Überwachung erfordern, 3) für 5

6 - Pflicht zur Benennung eines Vertreters, für Verantwortlichen oder deren Auftragsbearbeiter, der nicht in der EU niedergelassen ist. - Verzeichnis der Bearbeitungstätigkeiten, Accountability (Art. 11 E-DSG) - Informationspflicht des Verantwortlichen (Art. 17 E-DSG) bei der Beschaffung von Daten - Informationspflicht auch bei automatisierter Datenverarbeitung (Art. 19 E-DSG) - Datenschutz-Folgeabschätzung (sog. Privacy Impact Assesment PIA): Falls erhöhtes Risiko für Persönlichkeit der betroffenen Person (Art. 20 E-DSG) - Meldung bei Datenschutzverletzung an den EDÖB und gegebenfalls an die betroffene Person; (Art. 22 E-DSG) - Die Ernennung eines Datenschutzberaters bleibt auch im E-DSG freiwillig Unternehmen, die sensible Datenbearbeitungen durchführen - Eine der wichtigsten Neuerungen ist die Verankerung des Grundsatzes der Rechenschaftspflicht ( accountability ) des Verantwortlichen (vgl. Art. 5 2 DS-GVO), wonach dieser die Einhaltung der allgemeinen Grundsätze (vgl. Art. 5 1 DS- GVO) aktiv nachweisen können muss. 6

7 Was habe ich bei Zuwiderhandlungen gegen das DSG oder die EU- DSGVO zu befürchten? - Art. 58 DS-GVO - Art. 82 DS-GVO - Art. 83 DS-GVO - Art. 84 DS-GVO - Art. 54ff. E-DSG Welche Aufsichtsbehörden gibt es? Wo sind ihre Aufgaben/Befugnisse geregelt? - Art.51ff. DS-GVO Vergleich E- DSG CH: - Art. 39 ff. E-DSG Die Aufsichtsbehörde kann folgende abschreckende Massnahmen veranlassen (Art. 58): - Mahnungen - Verwarnungen - Förmliche Bekanntmachungen - Vorübergehende oder dauerhafte Beschränkung der Bearbeitung Geldbussen: Als letztes Mittel hat die Aufsichtsbehörde das Recht auch Geldbussen von bis zu 20 Millionen Euro oder 4 Prozent ihres weltweiten Jahresumsatzes zu verhängen. In Art. 83 DS-GVO sind die Bedingungen aufgelistet, welche bei der Bestimmung der Höhe der Strafe berücksichtigt werden müssen. Wer wird bestraft? - Unternehmen (Verantwortlicher oder ein Auftragsverarbeiter) Vergleich mit DSG und E-DSG: - Die EU-DSGVO gesteht im Gegensatz zum aktuellen schweizerischen DSG den Aufsichtsbehörden zu, selbst Geldbussen zu verhängen, wenn die Voraussetzungen erfüllt sind. - Sowohl beim DSG als auch beim E-DSG werden im Gegensatz zur EU-DSGVO nicht Unternehmen, sondern natürliche Personen sanktioniert (Bussen bis zu 250'000 Franken). In der EU ist die jeweilige Aufsichtsbehörde des Landes im Sinne von Art. 55 DS-GVO zuständig. Jede Aufsichtsbehörde muss die in Art. 57 DS-GVO dargelegten Aufgaben erfüllen. Die Befugnisse sind in Art. 58 DS-GVO dargelegt. Vergleich DSG und E-DSG: Die Aufsichtsbehörde in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Im Vergleich zum bisherigen DSG sollen zukünftig die Kompetenzen der Aufsichtsbehörde verstärkt werden - Anpassungen in Art. 40 ff. VE-DSG: - Erweiterung der Untersuchungsmittel der EDÖB - Eröffnung einer Untersuchung - Verfügen von vorsorglichen Massnahmen - Verfügungskompetenz Sanktionen gemäss Art. 83 DS-GVO Bei formalen oder materialen Verstössen gegen Art DS-GVO Jede Aufsichtsbehörde muss sicherstellen, dass die für Verstösse gegen die EU-DSGVO verhängten Sanktionen wirksam, verhältnismässig und abschreckend sind. 7