Managing Director I Partner
Janick Tagmann
18. August 2023
Sie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenMir wird sicher nicht langweilig. Viele Klienten kommen auf mich zu und haben Fragen betreffend Risiken und möglichen Veränderungen beim Thema Datenschutz.
Eher weniger, Datenschutz soll die Persönlichkeitsrechte von Bürgerinnen und Bürgern schützen bzw. diese stärken. Das ist in erster Linie ein positives Begehren. Für Unternehmen, Verbände und andere Gesellschaften, welche Daten bearbeiten, machen die strengeren Regeln des revDSG die Sache etwas komplexer.
Auch hier würde ich nicht sagen, dass es vonseiten der Organisationen Befürchtungen oder Ängste gibt. Aber man ist sich bewusst, dass Datenschutz nun auch in der Schweiz ein ernstzunehmendes Thema ist.
Die schweizerische Herangehensweise betreffend Datenschutz ist zwar weiterhin von einem gewissen Pragmatismus geprägt. Eigentlich typisch für die Schweiz. Grundsätzlich ist das Bearbeiten von Daten – mit Ausnahmen – erlaubt. Also im Grunde eine Erlaubnis mit Verbotsvorbehalt. Neu müssen aber auch rein schweizerische NGOs und Verbände gewisse flankierende Massnahmen zum Thema Datenschutz ergreifen wie das Erstellen eines Bearbeitungsverzeichnisses oder einer Datenschutzerklärung. Für Unternehmen, die zumindest partiell auch der DSGVO unterstehen, gilt diese Pflicht bereits seit Inkrafttreten der DSGVO 2018.
Alle Informationen, die einen Rückschluss auf eine Person erlauben. Dazu können auch IP-Adressen gehören (was in der EU klar der Fall ist). Für die Schweiz spreche ich im Konjunktiv, da es unter Umständen – zum Beispiel über einen Fingerprint, der sich mit dem Browser verknüpfen lässt – möglich ist, Rückschlüsse auf die Person zu ziehen.
Im Grundsatz ja. Das Schweizer Datenschutzrecht wird mit der Revision in weiten Teilen der DSGVO angeglichen – insbesondere, was die Governance anbelangt. Das dem Schweizer Konzept zugrunde liegende Konzept, auf welches ich vorhin bereits hingewiesen habe – Erlaubnis mit Verbotsvorbehalt – gilt aber weiterhin. Schaut man in die EU, ist es genau umgekehrt – ein Verbot mit Erlaubnisvorbehalt. Grundsätzlich ist das Bearbeiten von Daten in der EU verboten, ausser es gibt eine Rechtfertigung, etwa eine Einwilligung, eine Bearbeitung zur Erfüllung eines Vertrages oder ein berechtigtes Interesse, dies zu tun.
Ja und nein. Natürlich ist es für den Schweizer Konsumenten wichtig, dass es auch in der Schweiz einen angemessenen Datenschutzstandard gibt, der sich international vergleichen lässt, das will niemand bestreiten. Die DSGVO und das revDSG gehen allerdings aus meiner Sicht teilweise zu weit. Es wird versucht, Übeltäter ins Recht zu fassen. Dabei bürdet man aber gleichzeitig zahlreichen KMUs Aufgaben und Massnahmen auf, die sie kaum stemmen können und die sehr viel Bürokratie zur Folge haben.
Bei einem Export von Daten gilt es danach zu unterscheiden, ob Daten in ein sicheres Drittland exportiert werden.
Dies sind Länder, welche über eine mit dem Schweizer Datenschutzrecht vergleichbare Datenschutzgesetzgebung verfügen, also ein sogenanntes adäquates Datenschutzniveau bieten. Zu bejahen ist das für die EU-Länder, grundsätzlich aber zu verneinen für die USA. Wenn ich als Verband amerikanische File-Hosting-Dienste verwende, ist das natürlich ein Problem. Denn ich exportiere Personendaten aus der Schweiz in die USA.
Es gibt Mechanismen, um solche Aktivitäten rechtskonform zu machen. Die Europäische Kommission hat zwar kürzlich die Angemessenheit des EU-U.S. Data Privacy Frameworks bestätigt, was Datenexporte an zertifizierte Unternehmen erleichtert. Es ist jedoch davon auszugehen, dass das Data Privacy Framework wie die Vorgängerversionen (Privacy Shield, Safe Harbor) vor den europäischen Gerichten angefochten werden wird – wie lange es Geltung haben wird, ist mit anderen Worten unklar. Will man auf Nummer sicher gehen, sind mit dem Anbieter damit weiterhin die sog. Standardvertragsklauseln der Europäischen Kommission abzuschliessen, die auch in der Schweiz akzeptiert sind.
Sie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen«Wesentlich für Verbände, die nicht international agieren, ist erst einmal folgende Frage: Woher kommen meine Daten?»
Das ist theoretisch möglich, allerdings handelt es sich dabei um die Höchststrafe, die von einem Gericht ausgesprochen werden kann. Zu einer Busse in dieser Höhe wird es in der Schweiz wohl nur sehr selten kommen.
Die Straftatbestände des revDSG setzen Vorsatz voraus. Nur wenn beispielsweise vorsätzlich die Mindestanforderungen an die Datensicherheit nicht erfüllt werden bzw. dies in Kauf genommen wird, kann ein Unternehmen überhaupt gebüsst werden.
Wesentlich für Verbände ist erst einmal folgende Frage: Woher kommen meine Daten? Hier gilt das sogenannte Prinzip der Transparenz der Datenbeschaffung, darüber ist in einer Datenschutzerklärung zu informieren.
Falls man als Verband – zum Beispiel über ein Formularfeld auf der eigenen Webseite – Daten selbst erhebt, gilt das Prinzip des Opt-in. Das bedeutet, dass die Person, die ihre E-Mail-Adresse auf der Webseite des Verbandes angibt, das Einverständnis für die Zustellung eines Newsletters geben muss, z.B. durch Anklicken eines entsprechenden Häkchens.
Auch bei der Datenweitergabe braucht es eine Zustimmung der betroffenen Personen oder ein berechtigtes Interesse des Datenbearbeiters. Ein Beispiel: Eine NGO gibt Adressdaten einer anderen NGO weiter, dieser Schritt muss unter der Einwilligung der Kunden passieren, es sei denn, sie könne dafür ein überwiegendes Interesse geltend machen. Dies muss im Einzelfall abgeklärt werden und kann nicht allgemein beantwortet werden. Wie vielerorts verbreitet sollten aber Einwilligungen nicht über die Datenschutzerklärung eingeholt werden, denn darin informiert ein Unternehmen über ihre Datenbearbeitungen – der Nutzer muss dieser aber nicht zustimmen.
Hier ist zu unterscheiden: In der Schweiz ist die Verwendung von Cookies grundsätzlich zulässig, man muss jedoch in der Privacy-Policy darüber informieren, dass sie eingesetzt werden. Die schweizerische Cookie-Regelung ist im Fernmeldegesetz (FMG) geregelt. Demnach ist das «Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung […] nur erlaubt, […] wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert sowie darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.» Ein Cookie-Pop-up allerdings ist nach schweizerischem Recht nicht nötig. Es reicht, wenn Cookies über die Browsereinstellungen deaktiviert werden können. Unter EU-Recht wiederum ist für die Verwendung gewisser Cookies – z.B. solcher zum Tracken der Besucher – ein Einverständnis der Nutzer notwendig. Dafür werden Webseiten mit den mühseligen Cookie-Banner versehen. Massgeblich ist hier, ob eine Webseite nur auf den Schweizer Markt oder auch auf den europäischen ausgerichtet ist. Wenn also ein Unternehmen mit Sitz in der Schweiz ihr Angebot auch auf den Europäischen Markt ausrichtet, braucht es einen Cookie-Banner, welcher der DSGVO standhält, obwohl das unter Schweizer Recht nicht notwendig wäre.
«Für nur auf die Schweiz ausgerichtete Webseiten genügt in der Regel die Aufklärung in der Privacy-Policy. Es braucht kein Cookie-Pop-Up.»
Ist das zum Beispiel die Parlaments-E-Mail-Adresse eines Politikers, die öffentlich publiziert wurde, kann man abwägen und davon ausgehen, dass dadurch eine implizite Zustimmung gegeben wurde. Der Politiker darf also mit Informationen bedient werden.
Sobald man grosse Mengen an Personendaten kauft, diese also nicht über die eigene Webseite inklusive Einwilligung der Kunden erhalten hat. Hier muss abgeklärt werden, ob mir der Verkäufer diese Mailadressen überhaupt verkaufen und ich diese nutzen darf.
«Geht man konform mit den Bestimmungen der DSGVO, ist man gut aufgestellt für die Revision des DSG.»
Ja, ab September sind Verletzungen der Datensicherheit so schnell wie möglich dem Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). zu melden, wenn sie voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der vom Vorfall betroffenen Personen führen. Nur schon um die kurze Frist einhalten zu können, sollten sich Unternehmen Gedanken dazu machen, wie sie im Fall der Fälle vorgehen würden.
Geht man konform mit den Bestimmungen der DSGVO, ist man gut vorbereitet für die Revision des DSG.
Sinnvoll ist es, sich darüber Gedanken zu machen, wie und wo genau Personendaten erhoben und verwendet werden. Nehmen wir zum Beispiel Google Applikationen oder Asana, die viele auch dafür verwenden, um zum Beispiel HR-Dossiers abzuspeichern. Das kann problematisch sein. Hier steht man vor der Frage: Haben wir einen Auftragsdatenverarbeitungsvertrag? Gibt es eine genügende Basis für einen Datenexport für die von mir verwendeten Apps? Haben wir, falls nötig, die Zustimmung der Betroffenen?
«Sinnvoll ist es, sich darüber Gedanken zu machen, wie und wo genau Personendaten erhoben und verwendet werden.»
Nach unserer Einschätzung hört sich das als mehr Arbeit an, als es tatsächlich ist und lässt sich mit etwas Pragmatismus bewältigen. Die Anbieter von Cloud-Plattformen sind gut vorbereitet; die meisten verfügen über akzeptable Vertragsvorlagen, welche ohne weiteres zur Verfügung gestellt werden.
Richtig, sobald ich Services auslagere und ein Dritter im meinem Auftrag Daten bearbeitet, braucht es solche Verträge.
18. August 2023
Nicht jeder, der aus dem Rahmen fällt, war zuvor im Bilde. Jetzt anmelden für den BERTA-Newsletter und informiert bleiben.