Sponsored Post

Unternehmensbeitrag / Interview

Neue EU-Datenschutz-Grundverordnung in der Schweizer KMU-Praxis: Der Weg als Ziel?

Von Martin Frey LL.M. Fürsprecher SwissLegal (Aarau) AG, Carol S. Rothenfluh Mlaw Rechtsanwältin SwissLegal (Zürich) AG · 2018

Die beiden Anwälte von SwissLegal, Martin Frey und Carol Simona Rothenfluh, täglich mit Umsetzungsfragen der neuen Verordnung seitens ihrer Mandanten konfrontiert, geben Einblick in die Welt des Datenschutzes.

Datenschutz geht alle an!

Seit dem 25. Mai 2018 gilt das neue Datenschutzregime – ist die Welt heute eine andere?

C. Rothenfluh: Jein. An der Art und Weise, wie Daten bearbeitet werden dürfen, hat sich nicht viel geändert. Jedoch bringt die DSGVO eine Reihe von weiteren Pflichten mit sich, die für Unternehmen – gerade wegen des Gebots der Transparenz – mehr Aufwand bedeuten. Dazu zählt beispielsweise die Rechenschaftspflicht bei der Datenbearbeitung: Das KMU muss dokumentieren können,
dass die Daten rechtmässig und zweckgebunden bearbeitet werden und die Daten vor dem Zugriff Unbefugter geschützt sind. Auch hat sich das Bewusstsein für einen sorgfältigen Umgang mit Personendaten erhöht.

Ist die Panik, die aus verschiedenen Richtungen verbreitet wird, gerechtfertigt?

M. Frey: Keinesfalls! Die Panik kommt daher, dass nicht-konformes Verhalten mit drakonischen Strafen belegt werden kann und dementsprechend von verschiedener Seite die Angst geschürt wird. Respekt, nicht Panik, kommt auch daher, dass die neue DSGVO vor allem US-Firmen wie Apple, Google und Microsoft ins Visier nimmt, aber gleichzeitig auch kleine Betriebe in der Schweiz mit vergleichsweise wenig Auslandbezug reguliert. Viele solcher Firmen sind mit dieser Ausgangslage überfordert. Dabei ist zu beachten, dass die DSGVO in erster Linie sicherstellen will,
dass Unternehmen ihre Datenflüsse und –bearbeitungen kennen sowie einen verantwortungsvollen Umgang mit sensi­blen Daten pflegen. Der Fokus der europäischen Datenschutzbehörden wird nicht darauf liegen, Schweizer KMU systematisch zu büssen.

Womit sind KMU am meisten beschäftigt?

C. Rothenfluh: Wir haben festgestellt, dass sich viele KMU gar nicht bewusst waren, dass sie neben ihrer Rolle als Verantwortliche auch als Datenbearbeiter im Sinne des Schweizer und gegebenenfalls auch ausländischen Datenschutzrechts gelten können. Datenschutz betrifft alle administrativen Prozesse, bei denen personenbezogene Daten in irgendeiner Form bearbeitet werden.
In einem ersten und wichtigen Schritt müssen KMU daher die für sie geltenden Vorschriften richtig einordnen und anschliessend eruieren, ob, wo und wie Handlungsbedarf besteht. Sobald etabliert, funktioniert unserer Erfahrung nach der Umsetzungsprozess firmenintern gut und auch konstruktiv – er bedeutet jedoch viel Fleissarbeit für alle Beteiligten.

Was zeichnet ein gutes Datenschutzprogramm aus?

M. Frey: Nach dem Grundsatz «Know your Customer» geht es darum, ein auf das KMU zugeschnittenes Massnahmenpaket zu schnüren, die verschiedenen Unternehmensebenen anzusprechen und die internen Stakeholder an den Tisch zu bringen. Der «Tone from the top» der Führungs- und Unternehmenskultur, bekannt aus dem Compliance-Bereich, bildet das Fundament und bestätigt die Wahrnehmung auf höchster Ebene. Weiter ist zu empfehlen, sich eine Übersicht über die Bearbeitungstätigkeiten zu verschaffen, also ein Daten-Inventar, aus dem sich weitere Fokusthemen ergeben. Zudem sind die wichtigsten Prozesse und Verantwortlichkeiten,
zum Beispiel zur Auskunftserteilung oder im Falle einer Datenschutzpanne, zu definieren, die externe Kommunikation über die Website mittels einer Datenschutzerklärung zu adressieren und intern eine Richtlinie zu erstellen. Ganz wichtig ist auch die Sensibilisierung der Mitarbeitenden über Schulungen. Datenschutz geht alle an!

Worauf legen Sie den Fokus in Ihrer Beratung?

C. Rothenfluh: Für uns ist wichtig, den Datenschutz zusammen mit dem Kunden adressatengerecht und pragmatisch anzugehen. Bei der Umsetzung setzen wir kundenspezifische Prioritäten,
um dadurch dem KMU einen auf seine Grösse und seine Geschäftstätigkeit angepassten Vorgehensvorschlag zu unterbreiten. Wir helfen dem KMU einen internen Prozess aufzustellen,
der zum Ziel hat, dass die Datenbearbeitung sicher und gesetzeskonform abläuft. Datenschutz wird so in die Compliance-Struktur des Unternehmens integriert.

Wo lauern Datenschutzverstösse?

C. Rothenfluh: Es handelt sich vor allem um Online-Fälle: unzureichende Informationen in Datenschutzerklärungen oder fehlende beziehungsweise fehlerhafte Einwilligungen wie zum Beispiel der Einsatz von technischen Tools zur Verarbeitung von Personendaten ohne Einwilligung der Betroffenen. Man wird sicher auch vermehrt von Datenpannen und -diebstahl hören, das heisst von Daten, die aufgrund eines Lecks oder Angriffs ungewollt publik werden.
Der Schutz vor Cyber-Risiken geht Hand in Hand mit dem Datenschutz.

Gilt es bei der grenzüberschreitenden Datenbearbeitung etwas Besonderes zu beachten?

M. Frey: Es geht um Fragestellungen wie: Liegt eine sogenannte Auftragsdatenverarbeitung vor? Wie ist die Rollenverteilung der Parteien? In welchem Land werden die Daten bearbeitet, und werden die entsprechenden Garantien eingehalten? Mit anderen Worten geht es um eine korrekte vertragliche Ausgestaltung und regelmässige Überprüfung der Bearbeitung.

Und was gilt in Bezug auf Grossbritannien nach Brexit oder Liechtenstein?

M. Frey: Grossbritannien wird zum Drittstaat und eine Datenübermittlung erfolgt nicht mehr innerhalb der EU. Falls UK ein angemessenes Schutzniveau bietet – wovon wir ausgehen – sind keine zusätzlichen Garantien nötig. Die DSGVO wird voraussichtlich Ende Juli 2018 ins
EWR-Abkommen übernommen und gilt ab dem Zeitpunkt im ganzen EWR-Raum, also auch in Liechtenstein.

Der Eidgenössische Datenschutzbeauftragte verwendet WhatsApp – ein gutes Zeichen für Pragmatismus?

C. Rothenfluh: Ja, so scheint es. Es zeigt wohl auch, dass sich in der heutigen Zeit nur die berühmte eierlegende Wollmilchsau zu 100 Prozent im Einklang mit der neuen DSGVO verhalten und gegen Datenmissbräuche wappnen kann. Aber: Datenschutz ist ernst zu nehmen und der Umgang mit sensitiven Daten muss bewusst und kontrolliert erfolgen.

Also Datenschutz als Chance. Richtig?

M. Frey: Genau mit dieser Einstellung sollte das KMU das Thema angehen: motiviert, die Datenflüsse im Griff zu haben, den Schutz von Personendaten als kontinuierliches Projekt zu sehen – denn erst die Praxis wird in vielen Bereichen eine Konkretisierung vornehmen – sowie alle notwendigen Interessenabwägungen mutig

Im Interview

Carol S. Rothenfluh
Mlaw
Rechtsanwältin
SwissLegal (Zürich) AG

Martin Frey
LL.M.
Fürsprecher
SwissLegal (Aarau) AG

Zum Unternehmen

SwissLegal ist ein schweizweiter Verbund von neun Anwaltskanzleien (neu:* ab September 2018 mit zwei zusätzlichen Standorten in der Romandie vertreten). Wir beraten in Wirtschaftsrecht, Privatrecht, Steuerrecht sowie Bau- und Immobilienrecht mit unterschiedlichen Schwergewichten und weiteren Spezialisierungen an den jeweiligen Standorten. 

Weitere Informationen finden Sie unter
www.swisslegal.ch