Die Europäische Datenschutz-Grundverordnung (DSGVO) regelt seit 2018 die Verarbeitung von personenbezogenen Daten in der EU. Ein Gerichtsurteil weitet den Geltungsbereich nun auch auf Personendaten von EU-Bürgern aus, die in Drittländer transferiert werden. Dies kann für Schweizer KMU bereits bei der Zahlungsabwicklung über internationale Dienstleister oder der Nutzung von Cloud-Services der Fall sein.

Anlass dieses Urteils war der Rechtsstreit von Maximilian Schrems, Jurastudent in Österreich, mit der irischen Aufsichtsbehörde aufgrund der Übermittlung von Personendaten durch Facebook ohne vorliegende Einwilligung der betroffenen irischen Bürger zum Mutterkonzern in die USA. Ein Aussetzen von Datentransfers durch Behörden ist durch das Urteil ab sofort möglich. Die Geldbusse für Facebook bleibt abzuwarten.

Die Kernaussage:

• Die DSGVO findet Anwendung in den USA und in einem Drittland, in dem es aus Gründen der nationalen Sicherheit oder Verteidigung zu einem Zugriff auf Personendaten durch die Geheimdienste dieses Landes kommt. Gemäss DSGVO sind alle Länder ausserhalb der EU und des EWR sog. „Drittländer“, d.h. personenbezogene Daten dürfen nicht ohne Weiteres in diese Länder transferiert werden. Dazu könnte am 1.1.2021 auch UK gehören.
• Das Privacy Shield der USA (vergleichbar mit dem Angemessenheitsbeschluss der EU-Kommission über ein EU-adäquates Datenschutzniveau) ist ab sofort ungültig.
• Die sogenannten Standard Security Clauses (SSC) sind weiterhin gültig, aber ggfs. nur mit zusätzlichen Sicherheitsmassnahmen. In einer Einzelfallprüfung durch den Datenimporteur/-Exporteur muss geprüft werden, ob im Zielland ein der EU gleichwertiges Datenschutzniveau besteht.

Zur internationalen Übermittlung von Personendaten zählen u.a. auch Kreditkartendaten, z.B. aus dem Onlineshop, insbesondere aber auch Daten in der Cloud, sofern der Anbieter in den USA oder in einem anderen Drittland ansässig ist.

 
Der EuGH entscheidet nicht für die Schweiz. Aber, für exportorientierte Unternehmen in der Schweiz bedeutet dies, wie bereits auch vor Safe Harbor, dass sie Exporte von Personendaten aus der Schweiz oder Europa identifizieren und dokumentieren müssen, die sie in Drittstaaten ohne Angemessenheitsbeschluss transferieren. Hinzu kommt die Prüfung aller Datentransfers auf ein der EU gleichwertiges Datensicherheitsniveau, aber auch, ob ein Datenzugriff auf Rechenzentren stattfinden kann und die Datentransfers innerhalb der gesamten Supply Chain.
 

Festzustellen ist, ob Datentransfers nur auf dem Privacy Shield oder den SSC basieren oder ob ein anderer Rechtsgrund zur Anwendung kommt. Das Risiko ist die Aussetzung des Datentransfers, aber auch eine Busse der Aufsichtsbehörde von max. 250‘000 CHF, die an den CEO adressiert wird und ein Strafregistereintrag, der 20 Jahre nicht löschbar ist.

Nach dem Austritt von Grossbritannien (UK) aus der EU endet die Übergangsphase am 31.12.2020. Was Sie in und vor allem nach der Übergangsphase beachten und wie Sie sich vorbereiten müssen, erfahren Sie in diesem Beitrag.

Wann ist der Brexit für ein Schweizer KMU relevant?

• Sie verfügen über eine Niederlassung in UK.
• setzen Dienstleister aus UK zur Ausführung Ihrer Leistungen ein (Warenlieferanten).
• Sie nutzen in UK basierte Cloud/SaaS-Dienste, Onlinemarketing-Tools.

Betroffene Personengruppen:

• Ihre Kund/innen.
• Nutzer/innen Ihrer Onlinedienste oder Websitebesucher.
• Mitarbeiter/innen oder Bewerber/innen bei Onlinebewerbungsdiensten
• Wenn UK zu einem datenschutzrechtlich unsicheren Drittland wird, drohen nach der Übergangsphase in diesen Fällen Datenschutzverstösse. Gemäss DSGVO sind alle Länder ausserhalb der EU und des EWR sog. „Drittländer“, d.h. personenbezogene Daten dürfen nicht ohne Weiteres in diese Länder transferiert werden.

Wenn die EU-Kommission UK zu einem datenschutzrechtlich sicheren Drittland wie bspw. die Schweiz erklärt, müsste der Angemessenheitsbeschluss im Rekordtempo erfolgen. Passiert das nicht, müssen Sie sich um das Datenschutzniveau selbst kümmern.

UK wird ohne Angemessenheitsbeschluss datenschutzrechtlich von der EU abgeschnitten und muss wie Russland, China… behandelt werden. Aber auch dann gibt es Möglichkeiten, Datentransfers und die Zusammenarbeit mit britischen Unternehmen datenschutzrechtlich sicher zu regeln, wie durch

• Vertraglich erforderliche Datentransfers
• Einwilligungen von Betroffenen
• Sonstige Garantien (Binding-Corporate-Rules..)

Wir empfehlen, Datenverarbeitungsprozesse, Datenschutzerklärungen, Einwilligungen und Auskunftsverfahren bezüglich der Übermittlung von Personendaten zu überprüfen. Seien Sie vorbereitet, dass UK sein sicheres Datenschutzniveau verlieren kann.

Die DSGVO wird im schweizerischen DSG verankert. Am 24. September 2020 hat der Nationalrat auch den lange umstrittenen schärferen Profiling-Regeln (des SR) zugestimmt und damit einen Absturz der Vorlage verhindert. Der nun angenommene Kompromissvorschlag bei den Profiling-Regeln bedeutet, dass zwischen «normalem» Profiling und Profiling mit «hohem Risiko» unterschierden wird. Für Letzteres ist eine ausdrückliche Einwilligung der Betroffenen nötig.

Der vorliegende Gesetzesentwurf hat das Ziel, den Datenschutz zu stärken – wodurch?

• Verbesserung der Transparenz in der Datenbearbeitung, Kontrollmöglichkeiten der betroffenen Personen
• Erhöhung des Verantwortungsbewusstsein z.B. durch die Verpflichtung, bereits bei der Planung von neuen Datenverarbeitungssystemen die Einhaltung der Datenschutzvorschriften zu berücksichtigen. Schulungen der Mitarbeiter sollen auch das Gefahrenbewusstsein von Cyberangriffen stärken.
• Erleichterung des internationalen Datentransfer
• Förderung und Entwicklung neuer Wirtschaftszweige im Bereich Digitalisierung 
• Aufsicht über die Einhaltung der Datenschutznormen durch den EDÖB.

Die EU-DSGVO liefert nicht nur den Anlass sondern auch die notwendige Unterstützung zur Reflexion über neue Grundsätze in puncto Datensicherheit, um das Business zukunftssicher aufzustellen in einer digitalisierten Welt. Die DSGVO ist bereits in vielen Unternehmen als “best practice” anerkannt und eine der wesentlichsten Voraussetzungen für das Vertrauen der Benutzer in das Internet – im Zusammenspiel mit der Einführung innovativer internetbasierter Dienste in einer globalen Wirtschaft wird somit das Wirtschaftswachstum unterstützt. 

​

Implementieren Sie die DSGVO Compliance in Ihrem Unternehmen. Sie ist Ihr Wettbewerbsvorteil gegenüber Ihren Mitbewerbern.

Das Urteil des EuGH vom 1. Oktober 2019 in der Rechtssache C-673/17 (Planet49) besagt folgendes und bedeutet für Sie:

• Erfolgt die Speicherung/Erhebung von Informationen aus Cookies auf Grundlage einer Einwilligung, stellt ein voreingestelltes Ankreuzkästchen keine wirksame Einwilligung dar.
• Eine Opt-Out-Lösung stellt demzufolge auch keine wirksame Einwilligung dar.
• Eine Soft-Opt-In („weitersurfen“) stellt keine wirksame Einwilligung dar.
• Es macht es keinen Unterschied, ob es sich um personenbezogene, oder anonymisierte Daten (die gespeichert/erhoben werden) handelt.
• Die Einwilligung muss für den konkreten Fall erteilt werden.
• Dienstanbieter müssen gegenüber dem Nutzer hinsichtlich der Cookies u. a. Angaben zu den Zwecken, zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen

(Richtlinienkonforme Auslegung von § 15 Abs. 1 TMG und § 15 Abs. 3 TMG (BGH Urteil v. 16.05.2017, Az.: VI ZR 135/13 bzw. BGH Beschluss v. 05.10.2017 I ZR 7/16)

Stress am Arbeitsplatz durch zu geringe Ressourcen und Fahrlässikeiten sind der grösste Risikofaktor. «….88 % der Teilnehmenden erkennen, dass die Digitalisierung mit zusätzlichen Cyber-Risiken einhergeht, und dass neben den sichtbaren Chancen auch die unsichtbaren Gefahren wachsen. Laut bsi.bund.de erkennen nur 29 % der befragten Institutionen Cyber- Sicherheit und den Datenschutz als Wettbewerbsvorteil…»

Ein Beispiel: nachdem ein lokaler Kontrollraum des Unternehmens ausgefallen war, stand fest, dass die Rechner mit einer Ransomeware infiziert waren. Auslöser war die «smarte» Kaffeemaschine, mit dem Internet verbunden, die selbständig Nachbestellungen orderte. Die Kaffeemaschine war nicht nur mit einem isolierten Wi-Fi Netzwerk verbunden, sondern auch mit dem Netzwerk des lokalen Kontrollraums. Es fehlte die Endpoint Security, Netzwerksegmentierung und eine Application Network Communication Control.

“Best practice” zur systematischen Identifikation von Risiken ist die neutrale Risikoaufnahme, die Systematik und Objektivität sichert. Das Ergebnis ist eine Übersicht des Gefahrenpotentials und eine Risikobewertung für Präventionsmassnahmen:

• damit Ausfälle in digitalen Lieferketten keine Ursachen mehr für Betriebsunterbrechungen (BU) sind;
• damit die Vorteile neuer Technologien – Künstliche Intelligenz, IoT etc. – und die Digitalisierung effizienzsteigernd genutzt werden können,
• damit Feuer, Explosionen und Naturkatastrophen IT-Systeme, Rechenzentren und Cloud-Dienste nicht mehr bedrohen, sondern Redundanzen Ausfallsicherheit und Wiederherstellbarkeit schützen,
• und Cybersicherheit weitestgehend als Schutz dient für digitale Transformation und Datenschutz. 

Eine zukunftsorientierte Datenpolitik des Vertrauens für Fortschritt und Innovation ist ein Qualitätsmerkmal. Sie beeinflusst positiv den Erfolg des Unternehmens und führt zu höherer Mitarbeiterzufriedenheit.