Weiter zum Inhalt

Tipps und Empfehlungen für Datenschutzbeauftragte

geschrieben_von

Angela Anthamatten, RAin

,

categories

Die Welt des Datenschutzes bleibt in Bewegung. Die Flut an neuen Standard Contractual Clauses (SCC), Entwicklungen im Bereich Cybersecurity, Machine Learning und der digitalen Arbeitsanalyse stellen Schweizer Unternehmen vor neue Möglichkeiten und Herausforderungen.

Datenschutz_2.jpg

An der diesjährigen Tagung zum Datenschutz 2022, welche vom Europa Institut durchgeführt und von Martina Arioli vom Swico Legal Circle geleitet wurde, standen die jüngsten Entwicklungen im Bereich Datenschutz im Fokus: So hat die EU ein Pakt zur Regulierung der Plattformökonomie vorgeschlagen. Ein Teil davon bildet der Digital Service Act, der – sofern angenommen – auch Auswirkungen auf Schweizer Unternehmen haben wird. Auch die neusten Entwicklungen im internationalen Datentransfer drängen Unternehmen zum Handeln:

So müssen Unternehmen, die Datentransfer in Drittländer vornehmen, ihre Verträge mit Anbietern innerhalb der Übergangsfrist überarbeiten. In ähnlicher Geschwindigkeit entwickelt sich die Regulierung der Cybersecurity fort, wie die Randsomeware und Hackerangriffe die Unternehmen in Bann halten. Hier die wichtigsten Take-Aways der Tagung:

Anpassung der Standardvertragsklauseln

Seit dem 27. September 2021 sind für den Transfer von personenbezogenen Daten in Länder ausserhalb des EWR, welche aus Sicht der DSGVO kein angemessenes Datenschutzniveau bieten, grundsätzlich die von der Europäischen Kommission veröffentlichten «neuen» Standardvertragsklauseln («SCC») einzusetzen. Die alten – also heutigen – SCC können noch bis am 27. Dezember 2022 verwendet werden. Bis dahin müssen bestehende Verträge auf die neuen SCC migriert werden. Gleiches gilt für Transfers von Personendaten aus der Schweiz in Länder ohne angemessenes Datenschutzniveau.

Ob vertragliche Vereinbarungen tatsächlich tauglich sind, um einen geeigneten Schutz der zu übermittelnden Personendaten zu gewährleisten, muss im konkreten Fall geprüft werden. Die Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug des EDÖB kann Ihnen bei einer entsprechenden Prüfung behilflich sein.

Ebenfalls auf den neusten Stand gebracht werden sollten Intra-Group Data Transfer Agreements (IGDTA). Sie sind heute für alle Unternehmensgruppen, deren Einheiten untereinander Personendaten austauschen, faktisch zwingend – und zwar selbst dann, wenn Daten nur in Europa fliessen (z.B. indem der Mailserver der Gruppe zentral betrieben wird).

Schliesslich stellt sich die Frage, wie umgehen mit den ständig neuen SCC?

Es empfiehlt sich:

  • Auf SCC in Papierform oder als Anhänge von Verträgen verzichten;
  • SCC auf einer Online-Plattform zum Download zur Verfügung stellen;
  • Bei der Abänderungsklausel ergänzen:
    Bei rechtliche notwendigen Änderungen reicht eine einseitige Information und der Austausch des Anhanges im Online-Repository.

So werden mühsame Vertragsanpassungen wesentlich erleichtert und effizienter erledigt.

Ohne Cybersecurity kein Datenschutz

Gemäss dem Allianz Risk Barometer 2022 handelt es sich bei Cybervorfällen um das meistgenannte Geschäftsrisiko weltweit. Alleine in der Schweiz hat sich die Zahl der Cyberangriffe in der Schweiz in den letzten vier Jahren verdoppelt (Quelle: NCSC / NZZ 22.11.2021).

Unternehmen sind mehr denn je gefordert (und verpflichtet), die von Ihnen bearbeitenden Daten vor unbefugten Zugriffen zu schützen: Denn ohne Cybersecurity keinen Datenschutz!

Im Gegensatz zur EU, in welcher seit Juli 2016 die EU-Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie) anwendbar ist, existiert in der Schweiz kein spezifisches Gesetz im Bereich Cybersecurity. Einschlägige Bestimmungen finden sich insbesondere im Datenschutzgesetz und im Strafgesetzbuch:

  • Schutz gegen unbefugte Bearbeitung durch angemessenen technische (bspw. Verschlüsselung, 2-Faktoren-Authetifizierung) und organisatorische (bspw. Rechteabstufungen, 4-Augen-Prinzip und Integrität von Personendaten) Massnahmen (Art. 7 DSG / Art. 8 revDSG)
  • Schutz des Geschäfts- /Fabrikationsgeheimnisses (Art. 162 StGB)

Bei einer Verletzung dieser Pflichten kann eine Busse oder gar eine Gefängnisstrafe drohen.

Ferner sind Unternehmen bei einer Verletzung der Datensicherheit zur Meldung verpflichtet:

Grafik Datenschutzempfehlungen

Bei einer Verletzung dieser Meldepflichten droht unter dem Anwendungsbereich der DSGVO eine Busse von bis zu EUR 10 Mio. oder bis zu 2 % vom Jahresumsatz.

In der Schweiz soll nun das Meldewesen bei Cyberangriffen gestärkt werden. Derzeit läuft die Vernehmlassung zur Vorlage für die Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen. Die Meldepflicht für die Betreiberinnen und Betreiber kritischer Infrastrukturen soll für Cyberangriffe gelten, die ein erhebliches Schadenspotential aufweisen. Dies sind insbesondere Angriffe, die die Funktionsfähigkeit von kritischen Infrastrukturen gefährden oder mit Erpressung, Drohung oder Nötigung verbunden sind. Als zentrale Meldestelle ist das Nationalen Zentrums für Cybersicherheit (NCSC) vorgesehen. Die Vernehmlassung dauert noch bis zum 14. April 2022.

People Analytics im Arbeitsverhältnis

Big Data hält Einzug in die privatrechtlichen Arbeitsverhältnisse. Der Begriff «People Analytics» beschreibt den Vorgang der Big-Data-Analysen und -Überwachungen am Arbeitsplatz. Aber Achtung: Eine (zu) enge Überwachung durch die Arbeitgebenden kann zu einer unrechtmässigen Persönlichkeitsverletzung führen!

Zu beachten ist:

  • Die Arbeitgeberin darf Daten über den Arbeitnehmer nur bearbeiten, soweit diese dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrags erforderlich sind (Art. 328b Satz 1 OR)
    -> Nicht erforderlich zur Durchführung des Arbeitsvertrages sind in der Regel Aufzeichnung nach Arbeitsende (Bspw. Arbeitnehmer kann GPS Tracking des Geschäftsfahrzeuges, welche er auch privat nutzen kann, nicht ausschalten).
  • Daten müssen objektiv zur Abklärung der hinreichenden Eignung im Hinblick auf eine konkrete Stelle beitragen.
  • Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzliche vorgesehen ist (Art. 4 Abs. 3 DSG)
    -> Verwendung des Eintritt-Badge als Zeiterfassung nur dann zulässig, wenn dies angegeben wurde.
  • Ist der Bearbeitungszweck erfüllt, sind die Daten zu lösche.
    -> Ausnahme: Einwilligung, überwiegenden Interesse (bspw. sammeln von Personendaten für einen sich abzeichnenden Gerichtsprozess), oder gesetzliche Aufbewahrungspflicht.

Zusammenfassend gilt: People Analytics-Anwendungen müssen einen Arbeitsplatzbezug aufweisen!

EU Digital Service Act: Handlungsbedarf für Schweizer Unternehmen?

Im Dezember 2020 hatte die EU-Kommission ein umfassendes Verordnungspaket verabschiedet, das die Verpflichtungen digitaler Dienste erhöht und die Verantwortlichkeiten einheitlich regeln will: Es handelt sich um den Digital Services Act (DSA) und den Digital Markets Act (DMA).

Beim DSA handelt es sich um eine Weiterentwicklung der seit 20 Jahren bestehenden E-Commerce-Richtlinie. Der Ausbau der Verantwortlichkeiten und Sicherheitsbestimmungen betrifft alle Online-Plattformen, also digitale Marktplätze, soziale Netzwerke und App-Stores, Hosting-Provider wie Cloud- und Webhosting-Dienste sowie Vermittlungsdienste / Online-Intermediäre, die über ein Infrastruktur-Netzwerk verfügen, wie z.B. Anbieter für Domain-Namen-Registrierungen. Vorgesehen sind erhöhte Transparenzmassnahmen, beispielsweise beim Einsatz von Algorithmen, die den Nutzerinnen und Nutzer Inhalte empfehlen. Weiter wird die Entfernung von illegalen Waren, Dienstleistungen und Online-Inhalten geregelt.

Der DSA ist anwendbar auf Vermittlungsdienste (Online-Intermediäre), die Dienstlingen in der EU anbieten, unabhängig von ihrer Niederlassung. Mit seiner extraterritorialen Anwendbarkeit ist der DSA entsprechend auch auf Schweizer Unternehmen anwendbar, welche Dienstleistungen in der EU anbieten. Bei einer Missachtung der Pflichten des DSA drohen hohe Bussen.

Besteht derzeit ein Handlungsbedarf für Schweizer Unternehmen?

Grundsätzlich gilt: Derzeit besteht kein dringender Handlungsbedarf. Die Entwicklungen des DSA sollten betroffene Unternehmen jedoch unbedingt verfolgen. Denn tritt der DSA in Kraft, bleibt betroffenen Unternehmen nach derzeitigem Stand lediglich eine Übergangsfrist von drei Monaten, um die neuen Pflichten umzusetzen.

Anschliessend gilt es zu prüfen:

Datenschutz-Grafik2

Fragen zum Datenschutz?

Angela Anthamatten, RAin

Angela Anthamatten, RAin

Juristin
+41 44 446 90 87
E-Mail

Datenschutz - Symbolbild © Adobe Stock

Swico Cookie Policy
Swico nutzt eigene Cookies sowie Cookies von Dritten zu Marketing-, Profilerstellungs- und Analysezwecken sowie zur erleichterten Navigation auf der Website. Bitte lesen Sie hierzu unsere Datenschutzerklärung. Klicken Sie auf SCHLIESSEN, um Cookies zu akzeptieren.