Personendaten sind im Unternehmensalltag allgegenwärtig und von grosser wirtschaftlicher Bedeutung. Die Vorschriften für ihre Bearbeitung wurden über die letzten Jahre stetig verschärft. Dies stellt Unternehmen vor grosse Herausforderungen. Erst kürzlich beispielsweise hat die Schrems II-Entscheidung des EUGH viele überrascht. Dynamische Entwicklungen kennzeichnen das Datenschutzrecht jedoch bereits seit Langem. Vor 40 Jahren, am 28. Januar 1981, legte der Europarat die heute als Konvention 108 (Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten) bekannte Konvention zur Unterzeichnung auf und damit den Grundstein für eine spannende Entwicklung, die bis heute anhält. Dieser Meilenstein im Datenschutzrecht jährt sich mit dem diesjährigen Datenschutztag zum 40. Mal!

Datenschutz in der Praxis – die Sicht der Fachleute

Datenschutzprofis in Unternehmen auf der ganzen Welt bewältigen die meisten Herausforderungen, welche die ständige Weiterentwicklung des Datenschutzrechts täglich mit sich bringen. Wir haben fünf Fachleute nach ihren Karriere-Highlights im Bereich Datenschutz, nach ihren grössten Datenschutz-Überraschungen im Jahr 2020 und nach den Herausforderungen für 2021 gefragt.

Hier sehen Sie, was wir erfahren haben:

Die Umsetzung des neuen Schweizer Datenschutzgesetzes steht an

Am 25. September 2020 hat das Parlament das neue schweizerische Datenschutzgesetz (DSG) verabschiedet (vgl. dazu unseren Newsletter vom 25. September 2020 mit einer Zusammenfassung der wichtigsten Änderungen). Den endgültigen Text des neuen DSG finden Sie in unserer Broschüre, welche den deutschen Text und eine englische Übersetzung enthält.

Da kein Referendum ergriffen wurde, ist das Inkrafttreten des neuen DSG nun Gewissheit. Weiterhin offen ist aber der Zeitplan: Die Bundesverwaltung arbeitet derzeit an der neuen Ausführungsverordnung. Ihr Entwurf wird voraussichtlich im zweiten Quartal dieses Jahres veröffentlicht. Das Inkrafttreten des neuen DSG ist für Anfang oder Mitte 2022 geplant.

Da das neue DSG keine Übergangsfrist vorsieht, sollten Projekte zur Umsetzung in Unternehmen nun in Angriff genommen werden. Unternehmen müssen dazu zunächst (1) ihre Datenbearbeitungen, die in den Anwendungsbereich des neuen DSG fallen, sowie (2) die bereits bestehende Dokumentation betreffend diese Datenbearbeitungen identifizieren, und dann (3) beurteilen, ob eine Änderung der Bearbeitungen erforderlich ist, um die Einhaltung des neuen DSG sicherzustellen. Weiter müssen Unternehmen (4) Verzeichnisse ihrer Datenbearbeitungen erstellen, (5) bestehende Datenschutzerklärungen und ähnliche Dokumente aktualisieren, und (6) konzerninterne Vereinbarungen und Vereinbarungen mit Dritten, die Datenübertragungen und -bearbeitungen durch Dritte regeln (z. B. mit externen Auftragsbearbeitern), überprüfen und aktualisieren. Wo notwendig, sind (7) Datenschutz-Folgenabschätzungen durchzuführen, und schliesslich müssen (8) Governance-Prozesse (z. B. zum Umgang mit den Rechten der Betroffenen und den Pflichten zur Meldung von Datenschutzverletzungen) überprüft, aktualisiert und gegebenenfalls dokumentiert werden.

Neuere Rechtsprechung des Bundesgerichts zu Auskunftsbegehren

Im November 2020 entschied das Bundesgericht, dass ein DSG-Auskunftsbegehren als rechtsmissbräuchlich zu qualifizieren ist, wenn es vor Einreichung einer Klage der betroffenen Person gestellt wurde, um Informationen über die Gegenpartei zu sammeln und Beweise zu sichern (eine sogenannte “fishing expedition”).^[1] Das Urteil stellt klar, dass Rechtsmissbrauch nur dann vorliegt, wenn der alleinige Zweck des Auskunftsersuchens darin besteht, Prozessaussichten zu klären. Kann das Auskunftsbegehren auch anderen Zwecken dienen, so darf die Auskunft allerdings nicht unter Berufung auf das Rechtsmissbrauchsverbot verweigert werden.

In seiner Begründung verwies das Bundesgericht auf das revidierte DSG, wonach der betroffenen Person, die Auskunft verlangt, alle Informationen zur Verfügung gestellt werden müssen, die zur Geltendmachung ihrer Rechte unter dem DSG und zur Gewährleistung einer transparenten Datenbearbeitung notwendig sind. Damit ist die genannte Entscheidung tatsächlich die erste Entscheidung zum revidierten DSG. Sie deutet darauf hin, dass das Bundesgericht seine bisherige Rechtsprechung zum Auskunftsrecht der Betroffenen auch unter dem neuen DSG beibehalten wird.

In einem zweiten Urteil vom Dezember 2020^[2] hat das Bundesgericht festgehalten, dass sich das Auskunftsrecht der Betroffenen nur auf schriftlich oder anderweitig physisch vorhandene Daten bezieht. Daten, die lediglich im Gedächtnis einer Person existieren, werden nicht erfasst. Insbesondere umfasst das Auskunftsrecht nach dem DSG kein allgemeines Recht, durch Befragung von Parteien und Zeugen zu erfahren, zwischen wem, wann und worüber ein persönliches Gespräch stattgefunden hat. Ausserdem erstreckt sich das Auskunftsrecht nur auf Daten, auf die der Verantwortliche zugreifen kann. Dieser muss also keine Nachforschungen anstellen, z.B. über die Herkunft von Informationen, wenn diese Daten nicht von ihm gespeichert werden.

Brexit – Mind the Gap

Vor rund einem Monat hat das Vereinigte Königreich die Europäische Union verlassen. Damit ist die EU-Datenschutz-Grundverordnung (DSGVO) im Vereinigten Königreich nicht mehr unmittelbar anwendbar. Allerdings hat das Vereinigte Königreich die inhaltlichen Bestimmungen der DSGVO als nationale «UK-DSGVO» weitgehend in das Recht von England und Wales, Schottland und Nordirland überführt.[3]

Der Austritt aus der EU hat Auswirkungen auf Datenexporte aus EU- und EWR-Mitgliedsstaaten ins Vereinigte Königreich: Grundsätzlich gilt das Vereinigte Königreich nun als Drittland, so dass für Exporte von Personendaten ins Vereinigte Königreich ein Angemessenheitsbeschluss der Europäischen Kommission oder, in Ermangelung eines solchen, alternative Schutzmassnahmen oder Ausnahmetatbestände vorliegen müssen. Die EU und das Vereinigte Königreich haben sich jedoch noch auf eine Übergangsfrist von bis zu sechs Monaten geeinigt, die spätestens am 30. Juni 2021 endet. Während dieser Zeit können Datenübermittlungen aus EU- und EWR-Mitgliedsstaaten ins Vereinigte Königreich fortgesetzt werden, als ob das Vereinigte Königreich kein Drittland wäre. Um Datenübermittlungen auch danach reibungslos fortsetzen zu können, wird ein Angemessenheitsbeschluss der Europäischen Kommission erforderlich sein.

Für Schweizer Unternehmen ist gut zu wissen, dass der Datenexport aus der Schweiz ins Vereinigte Königreich nicht beeinträchtigt wird. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) betrachtet das Vereinigte Königreich weiterhin als ein Land mit angemessenen Datenschutzgesetzen.[4]

Schrems II – Die Ungewissheit geht weiter

Die Auswirkungen der Schrems II-Entscheidung des EuGH vom 16. Juli 2020[5] (vgl. unseren Newsletter vom 16. Juli 2020) beschäftigen nach wie vor Unternehmen, die Personendaten in die USA und andere Drittländer übermitteln. Seit dem Urteil publizierte Leitlinien verschiedener Aufsichtsbehörden trugen wenig dazu bei, für Unternehmen dringend notwendige Klarheit zu schaffen.

Der EuGH selbst betonte, dass für Exporte in bestimmte Drittländer – wie unter anderem die USA – auf Basis der Standardvertragsklauseln zusätzliche Schutzmassnahmen erforderlich sein können, ohne jedoch näher darauf einzugehen. Der Europäische Datenschutzausschuss (EDSA) veröffentlichte dazu kürzlich Empfehlungen[6], die offene Fragen betreffend den Prozess zur Identifizierung und Einführung solcher Schutzmassnahmen klären sollen. Es ist nicht überraschend, dass der EDSA eine strenge Haltung einnimmt. Er warnt davor, sich bei der Beurteilung der Zulässigkeit eines Exports auf subjektive Faktoren zu verlassen, wie z.B. die Wahrscheinlichkeit, dass ausländische Behörden Zugang zu den relevanten Daten verlangen könnten. Ausserdem argumentiert er, dass vertragliche und organisatorische Massnahmen allein nicht ausreichen, sondern mit technischen Massnahmen wie Verschlüsselung und De-Identifizierung kombiniert werden müssen. Der EDSA stellt sogar fest, dass gar keine ausreichenden Schutzmassnahmen möglich sind, wenn ein Klartext-Zugriff auf Personendaten aus einem Drittland erforderlich ist, in dem vertragliche Schutzmassnahmen zur Gewährleistung des Datenschutzes nicht ausreichen. Als Beispiel hierfür wird der Klartext-Zugriff durch einen Cloud-Anbieter in den USA sowie der Fernzugriff auf Klartext-Daten aus den USA genannt.

In seiner Stellungnahme vom 8. September 2020[7] teilt der EDÖB die Bedenken des EuGH in Bezug auf den Export von Personendaten in Länder, in denen lokale Gesetze die Wirkung vertraglicher Schutzmassnahmen aushebeln. Er ist ebenfalls der Auffassung, dass gegebenenfalls zusätzliche technische Massnahmen ergriffen werden müssen, um ausreichende Schutzvorkehren zu schaffen. Was jedoch den Klartext-Zugriff aus einem Drittstaat betrifft, scheint der EDÖB einen etwas wenig strengen Ansatz zu verfolgen als der EDSA: Er hält fest, dass sich der Einsatz ausreichender technischer Schutzmassnahmen unter solchen Umständen als anspruchsvoll erweisen könne (aber demzufolge wohl nicht gänzlich unmöglich ist).

Die kürzlich veröffentlichten überarbeiteten Standardvertragsklauseln der Europäischen Kommission[8] werden nach ihrer Verabschiedung die durch die Schrems II-Entscheidung geschaffenen Hindernisse nicht überwinden. Für viele Unternehmen bleiben damit vorderhand erhebliche Unsicherheiten bestehen, insbesondere mit Blick auf transatlantische Datenübermittlungen.

[1] Urteil des Bundesgerichts 4A_277/2020 vom 18. November 2020 (https://www.bger.ch/ext/eurospider/live/de/php/aza/http/index.php?highlight_docid=aza%3A%2F%2Faza://18-11-2020-4A_277-2020&lang=de&zoom=&type=show_document, besucht am 27. Januar 2021).

[2] Urteil des Bundesgerichts 4A_125/2020 vom 10. Dezember 2020 (https://www.bger.ch/ext/eurospider/live/de/php/aza/http/index.php?highlight_docid=aza%3A%2F%2Faza://10-12-2020-4A_125-2020&lang=de&zoom=&type=show_document, besucht am 27. Januar 2021).

[3] Siehe: https://ico.org.uk/for-organisations/dp-at-the-end-of-the-transition-period/data-protection-now-the-transition-period-has-ended/the-gdpr/ (besucht am 27. Januar 2021).

[4] Siehe: https://www.edoeb.admin.ch/edoeb/de/home/aktuell/aktuell_news.html#-181656549 (besucht am 27. Januar 2021).

[5] Siehe: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=9729736 (besucht am 27. Januar 2021).

[6] Siehe: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf (besucht am 27. Januar 2021).

[7] Siehe: https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2020/Positionspapier_PS_%20ED%C3%96B_DE.pdf.download.pdf/Positionspapier_PS_%20ED%C3%96B_DE.pdf (besucht am 27. Januar 2021).

[8] Siehe: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries (besucht am 27. Januar 2021).