Aktuelle Ausgabe

J. Sievers, D. Vasella: Datenschutzrecht: Bedeutung der DSGVO für die Treuhandbranche

Sievers_Jacqueline_de

Jacqueline Sievers

Dr. iur., LL.M., Rechtsanwältin, CIPP/E
Walder Wyss AG, Zürich
www.walderwyss.com

Vasella_David_de

David Vasella

Dr. iur., Rechtsanwalt, CIPP/E
Walder Wyss AG, Zürich
www.walderwyss.com

Europaweit wird das Datenschutzrecht an veränderte Rahmenbedingungen angepasst. Am 25. Mai 2018 bzw. am 1. Juli 2018 ist die Datenschutzgrundverordnung (DSGVO) in der EU bzw. im EWR in Kraft getreten, welche auch Auswirkungen auf Schweizer Unternehmen haben kann. Die Autoren gehen in diesem Beitrag auf die Anwendbarkeit der DSGVO für Treuhänderinnen und Treuhänder sowie deren Kunden in der Schweiz ein und stellen die daraus entstehenden Pflichten und die organisatorischen Anforderungen dar.

Wer Personendaten bearbeitet, hatte schon lange1 eine Reihe datenschutzrechtlicher Grundsätze einzuhalten, u.a. die folgenden:2 1. Rechtmässigkeit (Art. 4 Abs. 1 DSG) 2. Bearbeitung nach Treu und Glauben (Art. 4 Abs. 2 DSG) 3. Verhältnismässigkeit (Art. 4 Abs. 2 DSG) 4. Erkennbarkeit und Zweckbindung (Art. 4 Abs. 3 und 4 DSG) 5. Datenrichtigkeit (Art. 5 DSG) 6. Datensicherheit (Art. 7 DSG) 7. Beschränkung der Bekanntgabe von Personendaten ins Ausland (Art. 6 DSG). Der Datenschutz muss also keineswegs neu erfunden werden. Es ist allerdings kein Geheimnis, dass beim Datenschutz ein gewisses Vollzugsdefizit besteht oder bestand,3 in der Schweiz ebenso wie im übrigen Europa. Die Europäische Datenschutzgrundverordnung (DSGVO)4 sieht daher Sanktionen vor, die «wirksam, verhältnismässig und abschreckend» sein sollen (Art. 83 Abs. 1 DSGVO), und begleitet die materiellen Pflichten der Datenverarbeiter mit flankierenden Dokumentations- und Organisationspflichten (Art. 5 Abs. 2 DSGVO, «Rechenschaftspflicht»; aber auch Bestimmungen über den Datenschutzbeauftragten, den EU-Vertreter, die Datenschutz-Folgenabschätzung, den Umgang mit Verletzungen des Schutzes von Personendaten, die Einbindung von Auftragsverarbeitern usw.). Die Schweiz tut es der DSGVO gleich und revidiert derzeit ihr Datenschutzgesetz (DSG).5 Auch wenn sich der Entwurf des DSG (E-DSG) noch in der Beratung befindet,6 darf man annehmen, dass das neue DSG der DSGVO ähnlich sehen wird, wenn auch mit Abstufungen und – so ist zu hoffen – einem wesentlich pragmatischeren Ansatz.7 Im Vordergrund der Debatte steht allerdings weiterhin die DSGVO, die am 25. Mai 2018 in der EU und am 20. Juli 2018 im übrigen EWR8 in Kraft getreten ist: Hier vor allem die extraterritoriale Anwendung der DSGVO9 und die dadurch ausgelösten – und von der Beratungsindustrie genährten – Ängste, vor allem vor hohen Bussen (die bei Unternehmen ohne Niederlassung im EWR allerdings übertrieben sind), vor Abmahnungen aus Deutschland (wobei nur wenige Abmahnungen wegen Verletzungen der DSGVO bekannt sind und offen ist, ob sie überhaupt abmahnfähig sind)10 und vor dem bürokratischen Aufwand bei der Umsetzung der DSGVO. Vor diesem Hintergrund fragt sich zunächst, ob bzw. wann die DSGVO auf Treuhänderinnen und Treuhänder der Schweiz und auf ihre Kunden anwendbar ist.

. …

1 Das geltende schweizerische Datenschutzgesetz trat am 1. Juli 1993 in Kraft.

2 Je nach Darstellung liesse sich diese Liste ergänzen um das Verbot der Drittweitergabe besonderer Personendaten (Art. 12 Abs. 2 lit. c DSG) und die Freiheit der Bearbeitung veröffentlichter Personendaten (Art. 12 Abs. 3 DSG).

3 Vgl. dazu den Bericht des Bundesrates über die Evaluation des Bundesgesetzes über den Datenschutz vom 9. Dezember 2011, BBl 2012 335 («[…] kommt es selten vor, dass betroffene Personen den Rechtsweg beschreiten, […] Anwendungen neuer Technologien sind praktisch nie Gegenstand gerichtlicher Auseinandersetzungen»).

4 Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG; sie löste die Datenschutz-Richtlinie ab (Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr).

5 Die Revision dient nicht nur der Angleichung an die DSGVO, sondern auch der Umsetzung der revidierten Europaratskonvention Nr. 108; vgl. dazu die Botschaft vom 15. September 2017, BBl 2017, 6962 ff. Zur Revision vgl. z.B. David Rosenthal, Der Entwurf für ein neues Datenschutzgesetz, Jusletter vom 27. November 2017; Jacqueline Sievers / David Vasella, Der «Swiss Finish» im Vorentwurf des DSG, digma 2017, 44 ff.

6 Der Nationalrat wird in der Wintersession 2018 als Erstrat darüber beraten.

7 Derzeit ist beispielsweise nicht vorgesehen, in der Schweiz ein Recht auf Datenportabilität einzuführen, wie es in der DSGVO in Art. 20 verankert ist. Nach unserem Dafürhalten sollte auf ein solches Recht verzichtet werden.

8 Der Europäische Wirtschaftsraum (EWR) umfasst die EU, ihre Mitgliedstaaten und das Fürstentum Liechtenstein, Island und Norwegen.

9 Dieser Ausdruck wird hier verwendet, weil er sich eingebürgert hat; tatsächlich geht es aber weniger um die Extraterritorialität als vielmehr darum, unter welchen Umständen eine Datenverarbeitung als intraterritorial betrachtet werden kann.

10 Es gibt dazu widersprechende deutsche Urteile.