Datenschutz für KMU: Bereit für das verschärfte EU-Datenschutzrecht ab Mai 2018?
Schweizer Firmen unterliegen auch ohne Niederlassung in der EU dem EU-Datenschutzrecht, wenn sie personenbezogene Daten von in der EU ansässigen Kunden bearbeiten. Und der Countdown für die Datenschutz-Compliance läuft: Am 25. Mai 2018 läuft die Übergangsfrist ab und das EU-Gesetz mit direkter Wirkung auf Schweizer Unternehmen muss umgesetzt sein, ansonsten drohen drastische Strafen.
Datenschutz-Compliance als Business-Risiko
Der Zweck des Datenschutzes, nämlich der Schutz von personenbezogenen Daten, ist Unternehmen als gesetzliche Pflicht bestens bekannt. Schwieriger und deutlich unklarer ist für Firmen allerdings die Beantwortung der Frage, was man tun muss, um die Herausforderungen der Schweizer Gesetze und neu auch der EU-Datenschutzgrundverordnung (DSGVO, bzw. General Data Protection Regulation (GDPR) einzuhalten. Insbesondere Kleine und Mittlere Unternehmen (KMU), die nur eine kleine oder gar keine Rechtsabteilung haben, sind mit dem abstrakten Thema und den Anforderungen rasch überfordert. Viele haben vorerst abgewartet und die Umsetzung konkreter Massnahmen vor sich hergeschoben oder nur ein absolutes Minimum gemacht.
In Zukunft könnte sich eine passive Haltung in Sachen Datenschutz aber rächen: Die möglichen Geldbussen für Verstösse wurden drastisch auf bis zu 4 Prozent des weltweiten Umsatzes pro Verstoss oder bis zu 20 Millionen Euro erhöht, wobei bei Konzernverhältnissen der Umsatz der gesamten Unternehmensgruppe herangezogen wird. Auch der Schweizer Gesetzesentwurf des neuen Datenschutzrechts sieht einen strafrechtlichen Sanktionskatalog mit Bussen bis zu 500 000 Franken vor. Zukünftig dürften Datenschutzrisiken also nicht nur Image und Reputation betreffen, sondern können aufgrund der Bussgeldhöhe zu einem signifikanten unternehmerischen Risiko werden.
Welche Schweizer Firmen werden von der EU-DSGVO erfasst?
Die territoriale Auslegung der EU-DSGVO ist überaus umfassend und erfasst nicht nur Grossunternehmen, sondern jede Firma, Behörde und auch gemeinnützige oder sonstige Organisationen, die personenbezogene Daten von Personen aus der EU bearbeitet. Folglich sind auch Schweizer Unternehmen davon betroffen. So fällt beispielsweise darunter, wer
- Kunden aus dem EU-Raum hat und diesen dort Waren/Dienstleistungen anbieten;
- einen Online-Handel (einen Webshop) betreibt, der sich auch an EU-Bürger richtet, indem die Preise auch in Euro angegeben sind oder der Versand ins Ausland angeboten wird;
- einen Cloud- oder einen Outsourcing-Partner im EU-Raum hat, der personenbezogene Daten speichert und bearbeitet;
- Dienstleistungen wie eine Service-Hotline für Kunden in der EU betreibt.
Umgekehrt formuliert sind Schweizer Firmen nur dann nicht erfasst, wenn sie nur Daten von Personen aus der Schweiz in der Schweiz bearbeiten oder EU-Bürgern nur innerhalb der Schweiz Produkte und Dienstleistungen anbieten.
In einer vernetzten, global agierenden Welt wird folglich die grosse Mehrheit aller Schweizer Unternehmen unter den Anwendungsbereich der EU-DSGVO fallen. Lediglich Firmen, die nur regional oder explizit nur national agieren, unterstehen einzig dem Schweizer Datenschutzrecht.
Revision des Schweizers Datenschutzgesetzes
Das geltende Schweizer Datenschutzgesetz (DSG) wird derzeit revidiert und sollte frühestens im Herbst 2018 in Kraft treten, sofern kein Referendum ergriffen wird. Die Schweiz wird ihr Recht an die EU-Datenschutzgrundverordnung anpassen und die Bestimmungen inhaltlich übernehmen und an gewissen Stellen in Form eines „Swiss Finish“ möglicherweise sogar noch verschärfen. Einzelheiten wird der Bundesrat im Herbst 2017 bekannt geben. In jedem Fall sollten Unternehmen bereits heute die Überprüfung ihrer Datenschutz-Governance ins Auge fassen.
Massnahmen zur Erreichung der Datenschutz-Compliance
Schweizer Unternehmen sind gut beraten, die verbleibende Zeit der Übergangsfrist in Anspruch zu nehmen, um die europäischen Datenschutznormen rechtzeitig umzusetzen. Zum Schutz der personenbezogenen Daten und zur Vermeidung von Geldstrafen oder Reputationsschäden sollten folgende Sofortmassnahmen in Angriff genommen werden:
- Daten-Inventur
Durchführung einer Bestandesaufnahme der im Unternehmen gesammelten personenbezogenen Daten. Kategorisierung in personenbezogene Daten und besonders schützenswerte Daten (Gesundheitsdaten, politische Haltung, Hautfarbe, sexuelle Orientierung, etc.). - System-Analyse
Analyse, auf welchen Systemen, Datenbanken, Programmen und Datenträgern Personendaten zu finden sind. Dabei sind sämtliche Clouds, Server, CRM, Logistiksoftware, ERP, Smartphones/PC/Tablets von Mitarbeitern, etc. einzubeziehen. - Dokumentation und Verwaltung
Erstellung eines Verzeichnisses aller Verarbeitungstätigkeiten. Auflistung, welche Abteilungen und Mitarbeiter Zugriffsrechte auf die Personendaten besitzen. Hinweisen, wenn personenbezogene Daten an ein Land ausserhalb der EU übermittelt werden. Dokumentation darüber, ob Personendaten, welche nicht mehr gebraucht werden, gelöscht oder nur archiviert werden. - Technisch-organisatorische Massnahmen
Prüfen der internen und externen Sicherheitsmassnahmen. Verbesserungsmassnahmen der IT-Sicherheit zum Schutz aller digitalen Systeme (Cloud, Datenbanken, etc.) vor Hackern, Malware oder Datendiebstahl und kontrollieren Sie auch die die physische Sicherheit Ihrer Datenarchive (Zugang zu Räumlichkeiten, Archiven und Geräten). - Datenschutzbeauftragter
Prüfen, ob ein interner oder extern beigezogener Datenschutzbeauftragen eingesetzt werden soll, der als Ansprechperson und Experte die Entscheidungsträger im Unternehmen bei der Vornahme der Veränderungen begleitet. Dieser Experte hat auch Datenschutzfolgeabschätzungen und die Implementierung von Prozessen zur Meldung von Datenschutzverletzungen zu begleiten.
Schaffen Sie heute die Grundlagen, um für die neuen Standards im Datenschutz bereit zu sein. SNPlegal unterstützen und begleiten Sie gerne dabei. Kontaktieren Sie uns für mehr Informationen und fordern Sie unsere Beratung an:
Ihre Spezialisten:
Peter K. Neuenschwander
Simon T. Oeschger
Michael Widmer
Chantal Bise