Datenschutz in Unternehmen

Quelle: Axalo Unternehmensberatung AG und Roth+Partner Rechtsanwälte AG

Seit 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in der EU in Kraft und findet ab 20. Juli mit Übergangsbestimmungen auch im Fürstentum Liechtenstein Anwendung. Ziel dieser Verordnung sind vor allem die Stärkung der Rechte von natürlichen Personen als auch die Vereinfachung des freien Datenverkehrs.

Potentielle Auswirkungen auf Unternehmen

Im Privatkundenbereich tätige Unternehmen sind täglich mit sensiblen Personendaten konfrontiert und laufen ohne datenschutzbezogene Massnahmen Gefahr, Bussen von bis zu EUR 20 Mio. oder 4% des konzernweiten Umsatzes bezahlen zu müssen, sollten sie gegen die DSGVO bzw. die lokal umgesetzten Gesetze verstossen. Betroffen sind aber nicht nur Unternehmungen mit Sitz im EU-/EWR-Raum, sondern auch alle jene Unternehmen, welche in diesem Markt tätig sind, wie z. B. viele Liechtensteiner und Schweizer Unternehmen.

Um welche Daten geht es überhaupt?

Der Hauptanwendungsbereich der DSGVO ist vor allem die automatisierte Verarbeitung personenbezogener Daten, wie z. B. Online-Bestellungen, Cookies oder Standortdaten. Darüber hinaus sind aber auch nicht-automatisierte Verarbeitungen betroffen, wie z. B. Kundenkarteien (auch nicht-elektronische!).

Zum besseren Verständnis der DSGVO müssen zwei wichtige Begriffe unterschieden werden:

  • personenbezogene Daten / Personendaten
  • Verarbeitung

Personendaten umfassen nur Daten zu natürlichen Personen (also keine Firmen) bzw. solche Daten, welche sich auf eine identifizierbare natürliche Person beziehen, wie z. B. Name, Adresse, Sozialversicherungsnummer, Standortdaten oder Hobbies. Verboten sind in der Regel die Verarbeitungen von personenbezogenen Daten aus sogenannten «besonderen Kategorien», wie z. B. ethnische Herkunft, politische Meinung, Religion, Gewerkschaftszugehörigkeit, Gesundheitsdaten oder sexuelle Orientierung.

Die Verarbeitung ist ein weitreichender Begriff, welcher alle möglichen Umgangsformen mit Personendaten umfasst. So sind beispielsweise Erfassen, Ordnen, Speichern, Ändern, Weitergeben oder Löschen von Daten allesamt Tätigkeiten, welche als «Verarbeitung» im Sinne der DSGVO verstanden werden. 

Überblick wichtigste Änderungen

Pflichten bei der Datenverarbeitung

Betreffend die Verarbeitung gibt es acht Grundsätze, welche es zu beachten gilt:

 

Aus rechtlicher Sicht gilt es für Unternehmen insbesondere die Information von betroffenen Personen sowie die Sicherstellung der Rechtmässigkeit der Datenverarbeitung zu beachten. Bei der Informationspflicht gibt es folgende Minimalanforderungen an die Informationen gegenüber betroffenen Personen bzw. Kunden, welche jedes Unternehmen zu erfüllen hat:

  • Name und Kontaktdaten des (für die Verarbeitung von Personendaten) Verantwortlichen und ggf. des Vertreters in der EU
  • Kontaktdaten des (allfälligen) Datenschutzbeauftragten
  • Zweck und Rechtsgrundlage der Verarbeitung
  • Empfänger oder Kategorien von Empfängern der Daten
  • Dauer der Speicherung der Daten
  • Alle Rechte der betroffenen Person (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit, Beschwerderecht bei Aufsichtsbehörde)
  • Hinweis, ob der Betroffene gesetzlich oder vertraglich zur Bereitstellung personenbezogener Daten verpflichtet ist
  • Hinweis und Information zum Bestehen von Profiling oder einer anderen automatisierten Entscheidungsfindung
  • Herkunft der Daten, wenn die Daten nicht beim Betroffenen selbst erhoben werden

Bei der Sicherstellung der Rechtmässigkeit der Datenverarbeitung gibt es grundsätzlich zwei Varianten. Entweder wird eine Einwilligung des Kunden bzw. der betroffenen Personen eingeholt, oder es liegt ein anderer Rechtfertigungsgrund vor, wie z. B. die Erfüllung eines Vertrages oder das Treffen einer vorvertraglichen Massnahme, Erfüllung einer rechtlichen Verpflichtung, Schutz von lebenswichtigen Interessen, öffentliches Interesse / Ausübung öffentlicher Gewalt oder aber ein überwiegendes, berechtigtes Interesse.

In der Praxis wird die schriftliche Einwilligung eine wichtige Rolle spielen. Wie diese erteilt wird – sei es durch Annahme entsprechend ergänzter AGB oder einer Vertragsofferte oder durch Unterzeichnung eines separaten Dokuments – ist dabei sekundär. Wichtig ist, dass die Einwilligung klar (beispielsweise durch optische Hervorhebung), freiwillig und in nachweisbarer Form erfolgt.

Was muss ich als Unternehmen tun?

Wir empfehlen, das eigene Unternehmen schnellstmöglich mittels folgenden Schritten für die DSGVO fit zu machen:

Fazit

Wir empfehlen, vor allem die vertraglichen Grundlagen der Kundenbeziehung, wie z. B. Vereinbarungen, AGB, Impressum, etc. einer Überprüfung zu unterziehen und nötigenfalls zu ergänzen. Dabei ist darauf zu achten, dass der Kunde der Datenverarbeitung ausdrücklich zustimmt.

Abhängig von der Tätigkeit des Unternehmens und den damit verbundenen Risiken für den Schutz von Personendaten sowie abhängig von seiner Grösse wird das Anlegen eines Verzeichnisses von Verarbeitungstätigkeiten und ein laufendes Risiko-Assessment für Folgenabschätzung zwingend. Gleiches gilt für die Benennung eines Datenschutzbeauftragten und einer EU-Vertretung.

Darüber hinaus ist es sinnvoll, Mitarbeitende für das Thema zu sensibilisieren und Standardprozesse für Anliegen im Zusammenhang mit Personendaten zu implementieren (z. B. Auskunft, Berichtigung, Löschung und Übertragung von Personendaten). Die Sicherstellung technischer und organisatorischer Massnamen, die damit zusammenhängende Sicherstellung der Nachweisbarkeit sowie die laufende Überprüfung der Datenschutzkonformität runden Ihre Datenschutzbestrebungen ideal ab.

Weiterführende Links der Landesverwaltung Fürstentum Liechtenstein