Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

01.11.2016
von: Anselm Filliger

"Digitale Transformation" und Datenschutz-Compliance

Anselm Filliger

Die "digitale Transformation" ist nicht nur ein Schlagwort der Stunde, sondern sie ist eine Tatsache, die zu gewichtigen Umwälzungen und Neuausrichtungen führt. Davon betroffen sind insbesondere auch die Unternehmen und deren Führungspersonal, so rücken durch die neuen Umstände vormals eher stiefmütterlich behandelte Verantwortungsfelder in das Blickfeld umsichtiger Führung und die Datenschutz-Compliance spielt im Zusammenhang mit der "digitalen Transformation" eine immer gewichtigere Rolle. Unternehmen, die vormals kaum Berührung mit dem Datenschutz hatten, oder vermeinten keinen zu haben, nehmen durch den Einsatz digitaler Hilfsmittel, der (bewussten oder unbewussten) Verwendung von Cloud-Diensten und Apps sowie des Internets der Dinge vermehrt und verstärkt die Rolle eines Datenbearbeiters ein. Diese Stellung ist mit Pflichten verbunden.

Zurzeit sind in der EU wie auch in der Schweiz Bestrebungen im Gange, den Datenschutz zu stärken. Am 4. Mai 2016 wurde die finale Fassung der EU Datenschutzgrundverordnung veröffentlicht, deren Bestimmungen im Jahr 2018 in Kraft treten sollen. Eine Stärkung soll der Datenschutz insbesondere dahingehend erhalten, dass Verfehlungen mit Bussen bis zu 20 Millionen Euro oder 4% des Jahresumsatzes geahndet werden können. Pikantes Detail für Schweizer Unternehmen: Auch sie können unter Umständen unter den Anwendungsbereich dieses europäischen Regelwerks fallen. In der Schweiz hat der Bundesrat das Eidgenössische Justiz- und Polizeidepartement (EJPD) beauftragt, bis August 2016 einen Vorentwurf für eine Revision des DSG abzugeben, wobei gemäss Medienmitteilung des EJPD die Reformen auf der Europäischen Ebene ausdrücklich mitberücksichtigt werden.

Nachfolgende Artikelserie will vorab die Grundzüge des Schweizer Datenschutzrechts erläutern insbesondere die Pflichten des Datenbearbeiters sowie die Verantwortungsträger innerhalb des Unternehmens bezeichnen sowie gewisse Fallstricke, die durch ein Unternehmen in Bezug Benutzung von Cloud-Diensten und der grenzüberschreitenden Datenbekanntgabe zu beachten sind. In einem folgenden Artikel wird die Datenschutzgrundverordnung der EU, ihre Auswirkungen auf Schweizer Unternehmen wie auch die Revision des Datenschutzgesetzes (DSG) beleuchtet.

Datenschutz als Bestandteil einer umfassenden Compliance
Wer Personendaten bearbeitet, trägt die datenschutzrechtliche Verantwortung über diese Daten und deren korrekte Bearbeitung. Das DSG nimmt gemäss Art. 2 DSG private Personen (d.h. auch juristische Personen), welche Personendaten bearbeiten, in die Pflicht. Als Personendaten sind gemäss Art. 3 lit. a DSG alle Angaben zu zählen, die sich auf eine bestimmte oder bestimmbare Person beziehen: Somit auf alle Angaben, die eine Person bestimmbar machen.

Als Bearbeiten gilt gemäss Art. 3 lit. e DSG jeder Umgang mit Personendaten, unabhängig von den angewandten Mittel und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten.

Jedes Unternehmen ist damit von Gesetzes wegen Bearbeiter von Personendaten, sei es auch nur durch das Bearbeiten von Personendaten der eigenen Mitarbeiter. Der erlaubte Umgang mit diesen Daten ist in Art. 328b OR vorgegeben. Betreffend den korrekten Umgang mit Mitarbeiterdaten sind die meisten Unternehmen durch längere Erfahrung, eine bekannte Gesetzgebung sowie Rechtsprechung besser vertraut, als mit den Datenbearbeitungen weiterer Personen. So bearbeiten Unternehmen nicht nur die Daten ihrer Mitarbeiter, sondern auch die Daten ihrer Kunden sowie u.U. deren Mitarbeitern, oder die Daten der Kunden der Kunden und tragen auch hier die entsprechende datenschutzrechtliche Verantwortung – hier beginnt für viele Unternehmen Neuland in der Compliance. 

Jeder Bearbeiter von Personendaten hat sicherzustellen, dass die Personendaten rechtmässig bearbeitet werden, diese Bearbeitung verhältnismässig ist, die Daten nur zu dem mitgeteilten Zweck bearbeitet werden und die Bearbeitung für die betroffenen Personen erkennbar ist. Ausserdem hat der Bearbeiter von Personendaten die Richtigkeit der Daten zu gewährleisten und den Betroffenen Auskunft auf deren Anfrage zu erteilen. Grosse Anforderungen an eine korrekte Compliance stellen dabei insbesondere die Zweckbindung der Bearbeitung gemäss Art. 4 Abs. 3 DSG, wonach die Daten nur so bearbeitet werden dürfen, wie es den Betroffen mitgeteilt wurde oder für diese erkennbar ist, sowie die Einhaltung der Verhältnismässigkeit.

Datenbearbeitungen durch Dritte
Daten werden von den Unternehmen häufig gar nicht mehr selber bearbeitet, sondern diese Bearbeitung wird bewusst (aber auch unbewusst) an Dritte delegiert. Jede Nutzung eines CloudDienstes, jede Nutzung einer App durch ein Unternehmen stellt eine Datenbearbeitung durch einen Dritten dar. Die Auslagerung von Datenbearbeitungen an Dritte ist gemäss Art. 10a DSG erlaubt. Wichtig und zentral ist jedoch Folgendes: Wer als Datenbearbeiter gilt, trägt weiterhin die datenschutzrechtliche Verantwortung für die korrekte Bearbeitung dieser Daten.

So hält Art. 10a DSG fest, dass das Bearbeiten von Personendaten durch einen Dritten zulässig ist, es dazu aber einen Vertrag braucht, der sicherstellt, dass die Daten vom Dritten nur so bearbeitet werden, wie der Auftraggeber es selbst tun dürfte (Zweckgebundenheit der Datenbearbeitung); und keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet. Oft benutzen Unternehmen die Dienste von Salesforce um ihren Kundenstamm zu verwalten, als E-Mail Lösung entscheidet man sich u.U. für GMail und man bezieht die Rechenpower von Microsoft Azure.

Datentransfer ins Ausland
Insbesondere bei den vorgenannten Beispielen wird ersichtlich: Oft werden Datenbearbeitung nicht nur an Dritte ausgelagert, sondern es kommt zu einem grenzüberschreitenden Datentransfer. Ein solcher ist nur innerhalb der Vorgaben von Art. 6 DSG zulässig. Nach Art. 6 Abs. 1 DSG können Personendaten ins Ausland bekannt gegeben werden, wenn das Zielland eine Gesetzgebung ausweist, die einen angemessenen Schutz der Persönlichkeit der betroffenen Personen gewährleistet. Weist das Zielland keinen angemessenen Schutz aus, ist eine Datenlieferung nur noch unter den Voraussetzungen von Art. 6 Abs. 2 DSG möglich. Nach dieser Bestimmung ist ein Transfer u.a. möglich, wenn der Empfänger durch eine hinreichende Garantie, die einen angemessenen Schutz gewährleistet, also insbesondere durch Vertrag, in die Pflicht genommen wird. Denkbar ist auch, dass die betroffene Person im Einzelfall eingewilligt hat.

Wer Daten ins Ausland bekanntgibt, z.B. durch Nutzung eines ausländischen Cloud-Dienstes, hat damit nicht nur Art. 10a DSG, sondern auch die Vorgaben von Art. 6 DSG zu kennen und einzuhalten. Insbesondere ist hier von Schweizer Unternehmen zu beachten, dass infolge des Urteils des EUGH vom 6. Oktober 2015 betreffend Ungültigkeit des "Safe Harbor" Abkommens der EU mit der USA der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftrage (EDÖB) verlauten liess, dass das entsprechende "Safe Harbor" Abkommen der Schweiz mit den USA ebenfalls keine genügende Rechtsgrundlage mehr für einen Datentransfer in die USA darstellt. Nach diesem Abkommen konnten sich US-Unternehmen selber zertifizieren und sich damit nach US-Recht verpflichten, die im "Safe Harbor"-Abkommen aufgestellten Bedingungen einzuhalten, womit ein Transfer zu diesen Unternehmen erlaubt war. Obwohl streng rechtlich gesehen das Schweizer "Safe Harbor" Abkommen noch immer Bestand hat – der EDÖB hat nicht die Kompetenz dieses ausser Kraft zu setzen – ist es den betroffenen Unternehmen aus Risikoüberlegungen dringend empfohlen, von der
Ungültigkeit des "Safe Harbor" Abkommens auszugehen und schon jetzt den Datentransfer in die USA auf andere Weise zu legitimieren. In Deutschland wurden denn auch Unternehmen, die die Rechtmässigkeit ihres Datentransfers nach dem Urteil des EUGH weiterhin lediglich auf das "Safe Harbor" Abkommens stützen wollten, gebüsst.

Zwischen der EU und den USA fanden im Anschluss an dieses Urteil Verhandlungen über einen "Privacy Shield" statt, der das "Safe Harbor" Abkommen ersetzen sollte – von Datenschützern wurde aber Kritik laut und der "Privacy Shield" lediglich als ein "Safe Harbor" 2.0 bezeichnet, weshalb es zu Neuverhandlungen kam. Die danach ausgearbeitete Fassung ist noch nicht öffentlich und wird jetzt durch die Mitgliedstaaten (Artikel-31-Ausschuss) geprüft. Es bleibt abzuwarten, ob dieser "Privacy Shield" zustande kommt und die Schweiz sich diesem Schild unterstellen wird.

Verantwortung über Compliance
Die Verantwortung darüber, dass die Bestimmungen des Datenschutzes eingehalten werden, liegt bei der AG letztendlich beim Verwaltungsrat. Er hat nach Art. 716a Abs. 1 Ziff. 5 OR die Oberaufsicht und die mit der Geschäftsführung betrauten Personen auf die Befolgung der Gesetze, Statuten, Reglemente und Weisungen zu kontrollieren. Nach Art. 716a Abs. 1 Ziff. 2 OR hat er infolge seiner Aufgabe der Festlegung der Organisation, auch dafür zu sorgen, dass entsprechende Organisationsund Verantwortungsreglemente vorhanden sind, die auch erst eine korrekte Berichterstattung an den Verwaltungsrat ermöglichen. Es ist an ihm, die Organisation seiner Gesellschaft so aufzusetzen, dass z.B. ein IT-Nutzungsreglement erlassen wird, welches verbindlich festhält, dass der Einsatz von Cloud-Diensten, Apps oder privaten Handys und Tablets von Mitarbeitenden einer Abklärung und Bewilligung bedarf. Gerade die Generation Y ist im Privaten mit der Nutzung von Apps und Cloud Diensten bestens vertraut. Ein fliessender Übergang zur geschäftlichen  Nutzung ist gang und gäbe – kann aber zu Verletzungen der Datenschutzcompliance führen. Für Verstösse dieser "Schatten IT" bleibt letztendlich der Verwaltungsrat (resp. die Geschäftsführer der GmbH) verantwortlich.
Lesen Sie hier den gesamten Artikel (PDF)


Security-Finder Schweiz: Newsletter