Handlungsbedarf beim Datenschutz bis 25. Mai 2018
Die rechtlichen Rahmenbedingungen bezüglich des Datenschutzes verändern sich stark und zwingen die Unternehmen in der EU und Drittändern zu Anpassungen. Am 25. Mai 2018 entfaltet die neue Datenschutz-Grundverordnung mit wesentlichen Änderungen ihre Wirkung. Viele Unternehmen, gerade auch in Drittländern wie der Schweiz, sind sich heute jedoch noch gar nicht bewusst, dass dieses neue Regelwerk unmittelbar auch sie betrifft, selbst wenn das nationale Datenschutzgesetz in der Schweiz (noch) unverändert bleibt. Und dies trotz den maximalen Geldstrafen von bedrohlichen 4% des Jahresumsatzes resp. 20 Mio. Euro.
EU-Grundverordnung gilt auch in der Schweiz
Die EU schafft mit der neuen Datenschutz-Grundverordnung eine einheitliche Rechtsgrundlage für die gesamte EU und harmonisiert die bisher nationalen Gesetzgebungen. Neben der Harmonisierung verfolgte die EU jedoch insbesondere auch das Ziel, eine Handhabe gegen Unternehmen in Drittländern zu schaffen, welche Daten von Personen, die sich in der EU aufhalten, speichern oder verarbeiten. Doch was sich in erster Linie an Google, Facebook und Co. richtet, betrifft nun letztlich alle Unternehmen, welche im Rahmen ihrer Geschäftstätigkeit auch Daten von EU-Personen speichern oder verarbeiten. Dazu gehört zum Beispiel die Führung in einem CRM-System (Customer Relationship Management), die Aufzeichnung von Website-Besuchsdaten oder die Pflege von natürlichen Personen aus der EU im Debitorenstamm. Streng genommen zählt bezüglich der Anwendbarkeit des jeweiligen Datenschutzgesetzes das Marktortprinzip. Doch dank dem Internet gelten Dienstleistungen als am Ort des Kunden erbracht, auch wenn diese in der Schweiz geleistet werden. Kurz: praktisch jede Firma die irgendwie mit Personen in der EU geschäftet ist bereits unmittelbar betroffen.
Ab 25. Mai 2018 gilt die EU Datenschutz-Grundverordnung daher nicht nur in der EU. Auch in Drittländern wie der Schweiz müssen Firmen neu parallel das nationale Datenschutzgesetz und die neuen Vorgaben der EU umgesetzt haben.
Umsetzung unter erschwerten Bedingungen
Die Schweiz wird in den nächsten Jahren ihre nationale Gesetzgebung derjenigen der EU anpassen um weiterhin von der EU-Kommission als Drittland mit vergleichbarem Datenschutz eingestuft zu bleiben. Dies ist gerade für in der Schweiz ansässige IT-Firmen für ihre Konkurrenzfähigkeit in der EU sehr wichtig.
Die IT-technische Umsetzung wird dagegen womöglich noch einiges komplizierter als die juristische Anpassung. Denn per Dekret hat der US-Präsident am 25.1.2017 die Aufhebung oder Einschränkung des amerikanischen Datenschutzrechts für Ausländer erklärt (vgl. c't vom 18.4.2017: "Raus aus den US-Clouds"). Dies wird mit hoher Wahrscheinlichkeit auch das erst im Sommer 2016 in Kraft getretene EU-US und Swiss-US Privacy Shield torpedieren und letztendlich wohl nach nur wenigen Monaten bereits wieder zu Grabe tragen.
Update 28.7.2020: wie gemutmasst wurde das EU-U.S. Privacy Shield vom Europäischen Gerichtshof am 14. Juli ausser Kraft gesetzt.
Doch welches Unternehmen in der Schweiz bezieht keine Leistungen von amerikanischen IT-Firmen oder hat nicht schon einmal – bewusst oder unbewusst durch pragmatische Mitarbeiter – Daten über Dropbox oder ähnlichen Lösungen ausgetauscht?
Welche Vorgaben sind umzusetzen?
Für uns ein Grund, die Datenschutz-Grundverordnung in einer Artikelserie über die nächsten Wochen näher zu untersuchen.
- Im 1. Teil der Serie führen wir die verschiedenen Akteure ein und stecken den Rahmen ab.
- Teil 2 beleuchtet die auf vier Säulen basierenden Prinzipien des Datenschutzes.
- Teil 3 erläuterte die besonderen Auflagen für die Verarbeitung besonderer Kategorien personenbezogener Daten und des als besonders kritisch betrachteten Profiling.
- Teil 4 beleuchtet gesetzlich privilegierte, erwünschte Verarbeitungsverfahren.
- Teil 5 der Serie schliesst mit einem Framework zur pragmatischen und sachgerechten Umsetzung des Datenschutzes in ihrem IT-Projekt.
Über linkyard
linkyard ist spezialisiert auf die Realisierung von Softwarelösungen mit hohen Sicherheitsanforderungen und der professionellen Begleitung von IT-Beschaffungsprozessen. Gerade bei der korrekten und wirtschaftlichen Umsetzung von Datenschutzanforderungen in IT-Systemen erweist sich ein iteratives Zusammenspiel von IT-Sicherheitsspezialisten wie linkyard und einem spezialisierten Rechtsanwalt von Vorteil. Denn die Suche nach der kostengünstigsten und gleichzeitig rechtskonformen Lösung bedingt oft die Ausarbeitung und Beurteilung von verschiedenen Umsetzungsvarianten und die erstbeste Lösung erfährt in der Regel noch einige Anpassungen. Gerne begleiten wir auch ihr Projekt.