Nachdem die EU-Datenschutzgrundverordnung (DSGVO) nun mehr als ein Jahr in Kraft ist, können erste Aussagen darüber gemacht werden, welche Umsetzungsthemen die betroffenen Unternehmen am meisten beschäftigt haben. Im Gegensatz zur EU scheint in der Schweiz die Revision des DSG mehr oder minder stillzustehen. Dieser Blogbeitrag gibt ein kurzes Update zum Stand der Umsetzung der DSGVO sowie zur Revision des DSG in der Schweiz.

Im Zusammenhang mit dem Inkrafttreten der DSGVO herrschte grosse Rechtsunsicherheit, wann ein Schweizer Unternehmen unter den Anwendungsbereich fällt.

Ein Jahr DSGVO

Ein Jahr nach Inkrafttreten der DSGVO sind zwar immer noch zahlreiche Unklarheiten über die konkrete Auslegung wichtiger Bestimmungen offen, andererseits kann aber auch bereits auf einige Publikationen von Aufsichtsbehörden und auch auf Gerichtsurteile zurückgegriffen werden, die in wichtigen Fragen etwas mehr an Rechtssicherheit gebracht haben. Einige dieser Themen werden im Folgenden kurz erläutert. Da die DSGVO im Juli 2018 von den Ländern des EWR übernommen wurde, gelten die folgenden Aussagen auch, wenn beispielsweise Daten von Personen in Liechtenstein bearbeitet werden.

Wer fällt unter die DSGVO?

Im Zusammenhang mit dem Inkrafttreten der DSGVO herrschte grosse Rechtsunsicherheit, wann ein Schweizer Unternehmen unter den Anwendungsbereich fällt. Viele Unternehmen meinten, dass sie stets die DSGVO einzuhalten hätten und auch unter die Strafbestimmungen der DSGVO fallen würden, sobald sie Daten von EU-Bürgern bearbeiten würden. Andere vertraten die Auffassung, dass sie auch unter die DSGVO fallen, wenn sie einen Dienstleister aus dem EWR beiziehen. Wiederum andere befürchteten, dass sie unter die DSGVO fallen, wenn sie Grenzgänger beschäftigen.

Der Europäische Datenschutzausschuss (EDSA) publizierte im November 2018 einen Entwurf einer Leitlinie zum räumlichen Anwendungsbereich der DSGVO, der erheblich dazu beitrug, dass gewisse dieser Befürchtungen ausgeräumt werden konnten. Der Entwurf der Leitlinie stellt insbesondere klar, dass Unternehmen mit Sitz ausserhalb der EU nicht bereits deshalb unter die DSGVO fallen, weil sie einen Dienstleister (Auftragsbearbeiter) in der EU beiziehen. Zudem stellt der EDSA klar, dass eine Verhaltensbeobachtung, die zu einer Unterstellung unter die DSGVO führen würde, eine gewisse Intensität der Datenbearbeitung voraussetzt und daher nicht bereits mit dem Einsatz eines einzelnen Cookies gegeben ist. Zudem wird auch festgehalten, dass die Beschäftigung von Arbeitnehmern kein Angebot von Waren und Dienstleistungen darstellt und daher nicht zu einer Unterstellung unter die DSGVO führt.

Obwohl der Wortlaut von Art. 3 Abs. 2 DSGVO klar besagt, dass ein Unternehmen ohne Niederlassung in der EU dann direkt unter die DSGVO fällt, wenn es „betroffenen Personen“ in der EU Waren oder Dienstleistungen anbietet, gehen immer noch viele Unternehmen davon aus, dass sie auch dann unter die DSGVO fallen, wenn sie im Zusammenhang mit der Erfüllung von B2B-Verträgen Personendaten bearbeiten. Das sogenannte Marktortprinzip des Art. 3 Abs. 2 DSGVO ist aber auf den Business to Consumer Bereich ausgerichtet und führt daher nur im B2C-Bereich zu einer direkten Unterstellung unter die DSGVO. Erfolgt die Bearbeitung von Daten von Personen, die sich in der EU befinden, aber in Erfüllung eines B2B-Vertrages, greift das Marktortprinzip nicht. In diesem Fall wird das Schweizer Unternehmen zwar meist von seinem EU-Vertragspartner vertraglich zur Einhaltung von wesentlichen Grundsätzen der DSGVO verpflichtet werden, eine direkte Anwendbarkeit der DSGVO inklusive von dessen Strafbestimmungen, ist aber nicht gegeben.

Es darf aber nicht ausser Acht gelassen werden, dass ein Schweizer Unternehmen auch dann unter die DSGVO fallen kann, wenn es eine Niederlassung im EWR hat, wobei der Niederlassungsbegriff sehr weit ausgelegt wird und nicht nur juristische Personen erfasst.

Verantwortlicher, Auftragsverarbeiter oder gemeinsam Verantwortliche?

Eine wohl sehr häufig unterschätzte Problematik ist die Festlegung, ob das Unternehmen im Hinblick auf eine Datenbearbeitung die datenschutzrechtliche Rolle des „Verantwortlichen“ (Controller) oder die des „Auftragsverarbeiters“ (Processor) innehat. Die Unterscheidung ist von grosser praktischer Bedeutung, da der Verantwortliche den Grossteil der datenschutzrechtlichen Pflichten erfüllen muss.

Gemäss Definition der DSGVO ist derjenige der Verantwortliche, der über die Zwecke und Mittel der Datenverarbeitung entscheidet, wohingegen der Auftragsverarbeiter die Daten nur im Auftrag und für die Zwecke des Verantwortlichen bearbeitet. Dabei kann ein Unternehmen sowohl die Rolle des Verantwortlichen einnehmen (z.B. betreffend die eigenen Mitarbeiterdaten) als auch die Rolle des Auftragsverarbeiters (betreffend die Daten, die es als Dienstleistung für seine Kunden bearbeitet).

Spätestens, wenn es um die Frage geht, welches der beteiligten Unternehmen als Verantwortlicher über die Datenbearbeitung in einer Datenschutzerklärung informieren und Anfragen von betroffenen Personen auf Auskunft, Berichtigung oder Löschung beantworten muss, muss die Rolle geklärt werden. Dabei kann es durchaus sein, dass beide Unternehmen gemeinsam für die Datenbearbeitung verantwortlich sind und diese Pflichten daher auch gemeinsam erfüllen müssen. Denkbar ist dies beispielsweise, wenn mehrere Unternehmen eines Konzerns gemeinsam Daten in ein CRM-System speisen und auch gemeinsam nutzen. Der EuGH vertrat die Auffassung, dass ein Unternehmen, das eine Facebook-Fanpage betreibt, gemeinsam mit Facebook für die Datenbearbeitungen durch Facebook verantwortlich sei – und damit auch für allfällige Datenschutzverletzungen, die Facebook begeht. Liegt ein Controller-Processor Verhältnis vor, dann muss der Verantwortliche durch den Abschluss eines Auftragsverarbeitungsvertrages nach Art. 28 DSGVO insbesondere sicherstellen, dass sein Dienstleister die Daten nur zweckmässig und weisungsgebunden verarbeitet. Bei einer gemeinsamen Verantwortung müssen die beiden Parteien hingegen durch den Abschluss eines Vertrages nach Art. 26 DSGVO festlegen, wer welche datenschutzrechtlichen Pflichten erfüllt. Einen solchen Vertrag bietet Facebook seit dem genannten EuGH-Urteil seinen Kunden an.

Die Frage, wann ein Unternehmen als Auftragsverarbeiter zu qualifizieren ist, wird in der Praxis kontrovers diskutiert. Eine, insbesondere durch deutsche Aufsichtsbehörden vertretene, extensive Auslegung sowie ein übervorsichtiges Verhalten von Unternehmen führte im Verlauf des letzten Jahres dazu, dass viele Dienstleister von ihren Kunden aufgefordert wurden, Verträge nach Art. 28 DSGVO zu unterzeichnen, sobald sie Zugriff auf Personendaten hatten. In diesem Punkt wäre etwas mehr Klarheit noch wünschenswert.

Stand der Revision des DSG

Obwohl der Entwurf und die Botschaft zum revidierten Datenschutzgesetz des Bundes bereits am 15. September 2017 publiziert wurden, sind die parlamentarischen Beratungen immer noch nicht abgeschlossen. Im Januar 2018 beschloss das Parlament, den Entwurf in zwei Phasen zu beraten, wobei zuerst die Bestimmungen für den öffentlichen Bereich und erst anschliessend diejenigen für den privaten Bereich behandelt werden sollten. Die Bestimmungen des öffentlichen Bereichs wurden durch das sogenannte „Schengen-Datenschutzgesetz“ umgesetzt, welches auf den 01. März 2019 in Kraft getreten ist. Es ist als Übergangsgesetz gedacht und enthält die für die Integration des Schengen-Besitzstands notwendige Anpassung der schweizerischen Gesetzgebung an das europäische Recht. Der Entwurf des DSG wird gemäss einer Medienmitteilung des Parlaments voraussichtlich in der Herbstsession im Nationalrat behandelt. Es bleibt zu hoffen, dass das revidierte DSG im Jahr 2020 in Kraft treten wird, zumal dann auch die EU wiederum darüber entscheiden wird, ob die Schweiz über eine angemessene Datenschutzgesetzgebung verfügt.

Rückblickend kann aber auch gesagt werden, dass viele Schweizer Unternehmen eine pragmatische Vorgehensweise im Zusammenhang mit der Umsetzung von datenschutzrechtlichen Anforderungen gewählt haben. Im Hinblick darauf, dass der Entwurf des revidierten DSG in einem sehr grossen Teil gleich oder ähnlich ist wie die DSGVO, entschieden viele Unternehmen, sich bereits jetzt an das künftige Recht zu halten. Dies führt heute zur erstaunlichen Situation, dass ein Gesetz, das im Parlament offenbar sehr kontrovers diskutiert wird, in der Schweizer Wirtschaft schon längst umgesetzt wird. Es bleibt zu hoffen, dass bis zum Inkrafttreten keine wirklich gravierenden Änderungen mehr vorgenommen werden, es sei denn, es werden heute bereits bekannte Schwachstellen bereinigt.