Der 25. Mai 2018 sorgte in so manchen Unternehmen für rote Köpfe: Wer sich ab diesem Datum nicht an die neue EU-Datenschutz-Grundverordnung (DSGVO) halte und Kunden oder Mitarbeiter aus der EU habe, werde schon bald mit Bussen rechnen müssen, war da und dort zu lesen. Auch seitens vieler Berater wurde die Angst geschürt, und gleichzeitig in Aussicht gestellt, man könne mit grossen Implementierungsprojekten «DSGVO-konform» werden. Wer sich jedoch an fachkundigen Rat hielt, konnte ruhig schlafen und auch seine Mittel viel effizienter einsetzen.

Die DSGVO ist zwar keineswegs ein Sturm im Wasserglas, aber so heiss gegessen, wie sie mit-unter hochgekocht wurde, wird das neue Datenschutzrecht in Europa nicht. Wir nutzen die Gelegenheit für einen «Reality Check», einen Bericht über erste Erfahrungen und einen Blick in die Zukunft:

• Der 25. Mai 2018 ging erwartungsgemäss ohne grosse Folgen über die Bühne. Zwar hat der österreichische Datenschutzaktivist Max Schrems (sein Verfahren i.S. Facebook vor dem EuGH beendete seinerzeit die «Safe Harbor»-Regelungen) sogleich diverse neue Klagen gegen Facebook und andere Konzerne angekündigt, aber mit einer Klageflut gegen weniger exponierte Unternehmen ist weiterhin nicht zu rechnen.
• Die meisten Datenschutzbehörden in Europa sind personell nach wie vor überfordert und reagieren in vielen Fällen nicht einmal auf Meldungen von Datenschutzverstössen. Sie wer-den noch einige Zeit benötigen, um ihre neuen Aufgaben zu bewältigen und suchen vielerorts mehr Personal, soweit sie überhaupt entsprechende Budgets haben. Aber dieses Phänomen ist nicht neu. Wie es der Mitarbeiter einer europäischen Behörde formulierte: «Wir wer-den nicht mit der Keule durchs Land ziehen. Wir wollen den Unternehmen vielmehr helfen, datenschutzkonform zu werden».
• Noch sind viele Vorgaben der DGSVO nicht klar, und viele werden auf absehbare Zeit nicht geklärt werden. Das ist nicht unbedingt ein Nachteil, denn dies gibt Unternehmen einen Spielraum für pragmatische, praxistaugliche Interpretationen. Leider bieten Literatur und Behördenempfehlungen nicht immer die erforderliche Hilfe. In der Praxis sind im Ergebnis oft Risikoentscheide zu treffen.
• Viele Unternehmen mit Sitz in der Schweiz stellen uns nach wie vor die Frage, wann die DSGVO auch auf sie Anwendung findet. Die offizielle Stellungnahme der EU-Datenschutzbehörden zur Auslegung von Art. 3 Abs. 2 DSGVO, um den es dabei geht, lässt nach wie vor auf sich warten. Allerdings ist die heute herrschende Ansicht in der Annahme einer extraterritorialen Wirkung zurückhaltender als noch vor zwei Jahren. So ist weitgehend anerkannt, dass ein Outsourcing zu einem kommerziellen Provider in der EU nicht per se zur Anwendbarkeit der DSGVO führt, ebensowenig wie die Beschäftigung von EU-Grenzgängern in der Schweiz oder das Anbieten von Produkten oder Dienstleistungen an Unternehmen in der EU, und nicht an Einzelpersonen. Wer testen will, ob und inwieweit er unter die DSGVO fällt, der kann dies mit Formular C.1 des von uns entwickelten Datenschutz-Self-Assessment-Tools (http://dsat.ch/) tun (siehe Seite 4).
• Ab dem 20. Juli 2018 gilt die DSGVO im gesamten EWR, d.h. auch im Fürstentum Liechtenstein. Für viele Schweizer Unternehmen ist das eine unangenehme Überraschung, da sie mangels Geschäften mit Konsumenten in der EU glaubten, von der DSGVO verschont zu bleiben. Es gibt viele Schweizer Unternehmen, die zwar nicht in die EU verkaufen, wohl aber nach Liechtenstein. Das hat teils historische, teils rechtliche Gründe. Schweizer Direktversicherer dürfen beispielsweise mit ihrer Schweizer Zulassung der FINMA auch in Liechtenstein aktiv sein. Viele dieser Unterneh-men müssen nun für ihre Liechtensteiner Privatkunden die DSGVO umsetzen. Weil diese oft über dieselben Systeme und Prozesse be-treut werden, wie die Schweizer Kundschaft, müssen diese insgesamt angepasst werden – und zwar für viele Unternehmen wesentlich früher als erwartet. Sie hatten gehofft, dank der Verzögerung der Revision des Schweizer Datenschutzgesetzes (DSG) etwas mehr Zeit zu haben. Die gute Nachricht: Jedenfalls bis das DSG revidiert ist, dürfte es weder der Liechtensteiner Datenschutzstelle noch einer anderen Datenschutzbehörde im EWR möglich sein, Zwangsmassnahmen gegen Unternehmen in der Schweiz zu vollstrecken. Die Schweiz sieht für solche Fälle keine Amtshilfe vor, und eine Bewilligung nach Art. 271 StGB erscheint gegenwärtig unwahrscheinlich. Wahrscheinlicher ist, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) bei Verstössen durch Schweizer Unternehmen aus eigenem Recht vorgehen und das DSG im Sinne der DSGVO auslegen wird, wenngleich er kein Sanktionsrecht hat.
• Die Revision des DSG verzögert sich gegen-über den ursprünglichen Plänen deutlich. Das Eidgenössische Parlament will sich diesbezüglich nicht unter Druck setzen lassen. Die Vorlage wurde zwar nicht zurückgewiesen, wie dies zunächst befürchtet wurde, sondern in zwei Teile aufgeteilt: Vorab wird der für Schengen erforderliche Teil der Revision umgesetzt (er müsste bereits per August 2018 umgesetzt sein), so dass in Ruhe die restliche Revision beraten werden kann. Wir rechnen nicht mit grundlegenden Änderungen gegenüber dem Entwurf des Bundesrates vom September 2017, erwarten jedoch, dass die über die DSGVO hinausgehenden Swiss Finishes beseitigt werden (ein ausführlicher Beitrag auf Deutsch ist hier abrufbar: https://goo.gl/8iV8vt). Anders als unter der DSGVO ist in der Schweiz jedoch nicht mit verwaltungsrechtlichen, sondern strafrechtlichen Sanktionen zu rechnen (derzeit vorgesehen gegen die verantwortlichen Einzelpersonen, bei einer vergleichsweise kleinen Zahl von Delikten). Die Vorlage dürfte nach dem derzeitigen Stand der Dinge kaum mehr im Jahr 2019 verabschiedet werden. Da von einer Übergangsfrist von zwei Jahren auszugehen ist, dürften die Bestimmungen des revidierten DSG somit erst 2022 gelten. Somit werden Schweizer Unternehmen viele der Neuerungen der DSGVO zwar auch nach DSG umsetzen müssen, da es diese ebenfalls vorsieht, aber bis dahin wird noch et-was Zeit vergehen.
• Eines der Themen, die unsere Klienten derzeit besonders beschäftigt, ist die Abgrenzung zwischen Auftragsbearbeitung und der Rolle der «verantwortlichen Stelle». Noch immer gehen viele Unternehmen zu Unrecht davon aus, dass jeder Service-Provider und jede beauftragte Person, der Zugang zu Daten des Unternehmens gewährt wird, automatisch ein Auftragsbearbeiter (oder in der Terminologie der DSGVO: ein Auftragsdatenverarbeiter) ist. Dies hätte zur Folge, dass er einen entsprechenden Vertrag braucht, für den Art. 28 DSGVO genau vorschreibt, was drin zu stehen hat. Dementsprechend sind etliche unserer Klienten von Geschäftspartnern ohne Rechtsgrundlage aufgefordert worden, entsprechende Verträge zu unterzeichnen, ohne dass diese die Situation genauer geprüft hätten. Wenn eine Versicherung die Mitarbeiter eines Unternehmens versichert, bearbeitet die Versicherung die Daten der Mitarbeiter in eigener Verantwortung und ist daher kein Auftragsbearbeiter. Ihre Leistung besteht nicht in der Bearbeitung von Daten, sondern die Daten bearbeitet sie in Eigenregie, um ihre Leistung zu erbringen. Ebenso sind Anwälte normalerweise nicht die Auftragsbearbeiter ihrer Klienten.
• Ein anderes Hot-Topic sind die Betroffenenrechte, wie etwa das Recht auf Auskunft oder Löschung. Manche Unternehmen befürchteten nach dem 25. Mai 2018 eine Flut von entsprechenden Begehren. Wir haben empfohlen, zwar die Zuständigkeiten zu definieren, aber zunächst einmal abzuwarten. Dies hat sich bewährt: Die meisten Unternehmen, die mit Konsumenten zu tun haben, verzeichneten zwar teilweise einen kleinen Anstieg der Anfragen und Gesuchen. Doch zur Flut oder gravieren-deren Problemen kam es nicht. Hierbei ist zu beachten, dass die Betroffenenrechte – mit Ausnahme des Rechts auf Datenportabilität – im EU-Recht schon bisher existierten. Auch das Schweizer DSG gewährt betroffenen Personen ein Auskunfts-, Korrektur-, Lösch- und Widerspruchsrecht. Macht eine Person ihre Rechte geltend, ist es wichtig, sie zuverlässig zu identifizieren und entsprechende Rückfragen zu stellen; in vielen Fällen gehen die Personen darauf nicht ein und es kommt zu keinen Weiterungen.
• Aus Deutschland wiederum erreichen uns erste Berichte über Abmahnungen wegen angeblich nicht DSGVO-konformen Websites. Versandt werden sie in der Regel von Ab-mahnvereinen oder Anwälten. Moniert wird das Fehlen einer DSGVO-konformen Datenschutzerklärung, die fehlerhafte Einbindung von Drittangeboten wie Google Fonts oder Google Analytics oder die Einbindung von nach deutschem Recht unzulässigen Tools und Plug-ins. Es wird eine Anpassung der Website, eine Unterlassungserklärung und vor allem die Übernahme der Kosten der Abmahnung gefordert, wie dies unter deutschem Recht unter gewissen Umständen zulässig ist. Leider gibt es auch Missbrauch bei den Abmahnern, die darauf zählen, dass die abgemahnten Unternehmen keine Klärung vor Gericht wollen. Erhält ein Unternehmen eine Abmahnung, sollte es seine Datenschutzerklärung prüfen und darauf achten, dass es nur datenschutzkonforme Tools und Plug-ins ein-setzt, jedenfalls aber nie ungeprüft eine Unterlassungserklärung abgeben. Soweit Unternehmen in der Schweiz betroffen sind, was eher selten der Fall ist, empfehlen wir in aller Regel auch keine Bezahlung. Ob und inwieweit Abmahnungen wegen DSGVO-Verstössen zulässig sind, wurde gerichtlich noch nicht beurteilt.
• Ein Ärgernis mag für viele in den Wochen vor dem 25. Mai 2018 auch die Flut an «opt-in»-E-Mails gewesen sein. In diesen Mails wurden die Empfänger gebeten zu bestätigen, dass sie vom betreffenden Unternehmen weiterhin Newsletter und andere Werbemailings erhalten wollen. Wer – wie die meisten Empfänger – nicht reagierte, erhielt zusehends dramatischer klingende Reminder-Mails, man möge doch bitte seine Zustimmung erteilen. Wir haben auf eine solche Mail an unsere Klienten verzichtet und auch den meisten unserer Klienten geraten, es uns gleich zu tun. In den meisten Fällen waren solche E-Mails unnötig oder nicht zielführend – einige Unternehmen haben so einen grossen Teil ihrer Marketing-Adressen verloren.
• Viele Unternehmen haben auch nicht realisiert, dass die DSGVO im Bereich der Marketing-E-Mails, abgesehen von den Anforderungen an eine gültige Zustimmung, nicht viele Neuerungen mit sich gebracht hat. Geregelt wird der Versand von Werbe-E-Mails im EU-Recht wo-anders, nämlich in der ePrivacy Richtlinie. Diese soll nun – quasi als Sonderdatenschutzgesetz – zusätzlich zur DSGVO ebenfalls in Form einer Verordnung verabschiedet werden. Ursprünglich hätte die ePrivacy-Verordnung zusammen mit der DSGVO in Kraft treten sollen, doch es kam aufgrund inhaltlicher Differenzen zu erheblichen Verzögerungen. Mit einem Inkrafttreten wird erst 2019 gerechnet, mit einer Übergangsfrist von weiteren zwei Jahren (vgl. https://www.bvdw.org/themen/recht/epri-vacy-verordnung/). Sie regelt Themen wie Werbe-Mailings und Cookies und soll, analog zur DSGVO, ebenfalls extraterritorial gelten und mit demselben Sanktionsregime versehen sein. Es wird erwartet, dass sehr viel mehr Schweizer Betriebe unter die ePrivacy-Verordnung fallen als unter die DSGVO.
• Derweil laufen in vielen Unternehmen die DSGVO-Umsetzungsprojekte weiter. Die meisten Unternehmen fokussierten in der Zeit vor dem 25. Mai 2018 darauf, eine DSGVO-taugliche Datenschutzerklärung aufzuschalten, ein Inventar der Datenbearbeitungen zu erstellen, einen Prozess für die Meldung von Datensicherheitsverstössen einzurichten und grund-legende Weisungen zum Umgang mit Personendaten zu erlassen, soweit diese noch nicht existierten. Ebenfalls Priorität hatte der Abschluss von DSGVO-konformen Verträgen für die Auslagerung von Datenbearbeitungen an Provider und für den internationalen Datenaustausch, doch gerade in diesen beiden Bereichen haben manche Unternehmen erst einen kleinen Teil des Bergs abgetragen. Viele Verträge müssen noch angepasst werden. Auch die eigentliche Beurteilung der Datenschutzkonformität und Durchführung von Datenschutzfolgeabschätzungen muss in den meisten Betrieben noch fertiggestellt werden. Diese Projekte werden an manchen Orten noch bis 2020 andauern. Es wird hierbei ein risikobasierter Ansatz verfolgt, und die Unternehmen tun gut daran, hier nicht das Kind mit dem Bade auszuschütten: Wesentlich ist, dass ein Unternehmen einen Plan hat, wie es die Einhaltung der DSGVO und das revidierte DSG anstrebt, und es diesen Plan auch konsequent umsetzt.
• Zuletzt noch ein Hinweis in eigener Sache: Da­vid Rosenthal hat im Rahmen der Beratung unserer Klienten ein Hilfsmittel entwickelt, mit welchem Unternehmen ihre Datenschutz-Compliance selbst beurteilen können, und zwar so-wohl nach DSGVO wie auch nach dem revidierten DSG (Botschaft des Bundesrats als Basis). Dieses «Datenschutz-Self-Assessment-Tool» (DSAT) unterscheidet sich dadurch von allen anderen Tools, dass es nicht nur die üblichen Fragen zur Beurteilung der Datenschutzkonformität enthält, sondern gleich auch alle typischerweise möglichen Antworten. So kann es auch von Personen eingesetzt werden, die über kein Spezialwissen zum Datenschutz verfügen. DSAT steht inzwischen jedermann über die Website http://www.dsat.ch frei und kosten-los zur Verfügung. Das Tool erfreut sich mittlerweile grosser Beliebtheit; auch der EDÖB verweist inzwischen darauf. Um es auf eine breitere Basis zu stellen, wirkt in der Fachredaktion auch ein Datenschutzspezialist einer anderen Schweizer Kanzlei, David Vasella, mit.
• Homburger hat auch die eigene Datenschutzerklärung angepasst, auch wenn die DSGVO auf Homburger nur in Randbereichen anwendbar ist. Die neue Datenschutzerklärung kann hier abgerufen werden: https://www.hombur-ger.ch/de/datenschutzerklaerung
• Weitere Unterlagen zum Datenschutz finden sich hier: http://www.homburger.ch/dataprotec-tion. Dazu zählt auch eine synoptische Darstellung der DSGVO auf Englisch und Deutsch im DIN-A5-Format, einschliesslich der neusten Anpassungen der DSGVO vom April 2018.