Was bedeutet die Datenschutzverordnung der EU für Unternehmen in der Schweiz?

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (kurz EU-DSGVO) in Kraft. Während mehreren Jahren wurden verschiedene Bestandteile der Verordnung stark kritisiert und es wurden über 3000 Änderungsanträge bearbeitet. Die Regeln der Verordnung gelten für sämtliche Unternehmen, Selbstständige und Behörden in der EU, die personenbezogene Daten verarbeiten. Zusätzlich gilt die EU-DSGVO auch für die Schweiz und weitere Länder, die kein Mitgliedsstaat der EU sind. Voraussetzung für die Gültigkeit der Verordnung ist in diesem Fall allerdings, dass Schweizer Unternehmen personenbezogene Daten aus EU-Ländern verarbeiten und/oder Bürgern in der EU Dienstleistungen oder Waren anbieten.

 

Im Mai 2016 veröffentlichte die EU die Datenschutzregulierung als einheitlichen rechtlichen Rahmen und Mindeststandard. In den folgenden zwei Jahren bis zum endgültigen Inkrafttreten haben die Mitgliedsstaaten nun Zeit, die Regeländerungen in ihre nationalen Gesetze zu übernehmen. Die Umsetzung ist nicht verhandelbar: Die EU-DSGVO erlangt 2018 in den EU-Mitgliedsstaaten Geltung, auch wenn diese sie zuvor nicht im nationalen Recht verankert haben.

 

Die Verordnung enthält zudem Öffnungsklauseln, sodass einzelstaatliche Regelungen strenger und weitreichender sein können, aber umgekehrt die EU-Regeln nicht unterlaufen dürfen. Durch die Öffnungsklauseln müssen auch Vertragspartner ausserhalb der EU die strengeren nationalen Regeln einhalten. Verarbeitet folglich ein Unternehmen in der Schweiz personenbezogene Daten aus beispielsweise drei EU-Staaten, muss es prüfen, ob die jeweiligen Länder ergänzende Regeln umgesetzt haben.

 

Das schweizerische Datenschutzgesetz steht vor einer Totalrevision, um das neue EU-Recht berücksichtigen zu können. Den entsprechenden Entwurf schickte der Bundesrat Ende 2016 in die Vernehmlassung. Derzeit ist noch offen, wann das neue Gesetz in der Schweiz abschliessend in Kraft treten wird.

 

Unter welchen Umständen muss ein Schweizer Unternehmen die EU-Verordnung erfüllen?

Ob Sie von der EU-Datenschutz-Grundverordnung betroffen sind, hängt von Ihrem Geschäftsmodell ab. Bearbeitet Ihr Unternehmen in der Schweiz Personendaten für EU-Unternehmen oder von in der EU ansässigen Personen, gilt die EU-DSGVO eindeutig. Hierfür genügt es bereits, über eine Website oder für eine App Daten der Besucher oder Nutzer auszuwerten. Wird Ihre Online-Präsenz von EU-Bürgern besucht und Sie werten deren Daten aus, gilt die EU-DSGVO ebenfalls. Bieten Sie in der EU Waren oder Dienstleistungen an, werden Sie kaum auf die Präsenz im Internet und die Analyse der Zugriffsdaten verzichten.

 

Welche Regeln müssen Headhunter in der Schweiz künftig beachten?

Besonders weitreichende Auswirkungen hat die Verordnung auf beinahe sämtliche Executive Search-Unternehmen. Die Personalberater und Headhunter sammeln und verarbeiten personenbezogene Daten der Bewerber. Solche sensiblen Daten rechtskonform zu verwalten ist für die auf Vertrauen basierende Tätigkeit essenziell. Daher sollten insbesondere Personalvermittler die kommenden Monate nutzen, um zu prüfen, welche Veränderungen sie bis Mai 2018 umgesetzt haben müssen.

 

Zunächst scheint es erstaunlich, dass die EU-DSGVO keine expliziten Regelungen für den Datenschutz der Angestellten vorsieht. In Artikel 88 wird deutlich, dass die explizite Ausgestaltung der Datenverarbeitung in Bezug auf die Beschäftigung den Mitgliedsstaaten überlassen bleibt. Diese haben die Möglichkeit, ergänzende Rechtsvorschriften oder Kollektivvereinbarungen zu erlassen.

 

Wie oben bereits erwähnt, hat die Verordnung trotz den fehlenden expliziten Regelungen Auswirkungen auf die Branche der Recruiter. Das Regelwerk ist komplex und es ist daher sinnvoll, sich frühzeitig um die genaue Lektüre der Regeln zu kümmern und Massnahmen zu definieren. Berufsverbände und Branchennetzwerke durchdringen aktuell die Verordnung, um ihre Mitglieder fundiert beraten zu können.

 

Die Erhebung und Verarbeitung von Daten wird komplexer

Bislang wurde die Erhebung, Verarbeitung und Löschung von Daten unterschiedlich kategorisiert. Die EU-DSGVO spricht neu übergeordnet nur noch von Verarbeitung. Gemäss Vorschrift sollten Bewerberdaten bereits heute ordnungsgemäss gelöscht werden, sobald der Bewerbungsprozess abgeschlossen ist. Nach Inkrafttreten der Verordnung kann das Versäumen der ordnungsgemässen Vernichtung von Daten erhebliche Bussgelder nach sich ziehen. Deren Höhe legt der Gesetzgeber relativ zum weltweiten Umsatz der Unternehmensgruppe fest. Abhängig von der Schwere/Art des Verstosses bedeutet dies ein Bussgeld in Höhe von zwei oder vier Prozent des jährlichen Umsatzes.

 

Als Konsequenz der EU-DSGVO müssen Headhunter ihre Kapazitäten aufrüsten. Das Unternehmen muss künftig innerhalb von 72 Stunden über erhobene personenbezogene Daten informieren, sie herausgeben oder löschen, sofern ein Bewerber aus der EU dies fordert. Gerade dieses „Recht auf Vergessenwerden“ ist in Artikel 17 ein wichtiger Bestandteil der neuen Verordnung. Daher müssen Personalberater die damit verbundenen Prozesse wahlweise automatisieren oder eine Fachkraft bereitstellen, um solche Anfragen zeitnah zu bearbeiten. Technisch müssen sie gewährleisten, dass gelöscht auch wirklich gelöscht bedeutet – und auch kein IT-Spezialist die Daten wieder zurück ans Tageslicht holen kann.

 

Eine weitere Vorgabe lautet, dass das Unternehmen beim Verzeichnen eines sogenannten „Datenlecks“, also des Verlusts personenbezogener Daten aus der EU, dieses innerhalb von 72 Stunden der Aufsichtsbehörde melden muss.

 

Pflichten der Unternehmen

Die Unternehmen müssen nachweisen, dass sie das neue Gesetz berücksichtigen und die eigene Datenbearbeitung dokumentieren. Die verantwortlichen Mitarbeiter müssen sich zudem ihrer Aufgaben im Rahmen der Dokumentation und Information personenbezogener Daten bewusst sein. Falls die Verordnung nicht korrekt eingehalten wird, kann dies zu einer Haftung des Geschäftsführers oder des zuständigen Vorstandsmitglieds führen.

 

Überlegen Sie sich deshalb frühzeitig genau, ob Sie sich selbst mit den komplexen Gesetzestexten auseinandersetzen möchten oder sich lieber juristische Unterstützung ins Haus holen. Letzteres scheint zunächst zwar die kostspieligere Variante zu sein, verhindert jedoch möglicherweise hohe Strafzahlungen und einen Verlust an Reputation.

 

Fazit

Zurücklehnen, abwarten und von den Fehlern anderer lernen ist keine Option, was die Einführung der EU-DSGVO im Mai 2018 anbelangt. Bereits jetzt müssen sich die Unternehmen in der Schweiz genauestens darüber informieren, welche technischen und organisatorischen Herausforderungen diese Verordnung für sie bereithält. Insbesondere Headhunter sind stark betroffen, da die korrekte Verarbeitung personenbezogener Daten einen wichtigen Aspekt ihres Geschäftsmodells darstellt.

 

Datum: 11. August 2017

Autor: Thomas Ritter


« zurück

 

Unser Standort Zürich

Nellen & Partner AG
Falkenstrasse 12
CH-8008 Zürich
T +41 44 256 75 75
info@nellen.ch

Link zum Routenplan

 

Unser Standort St.Gallen

Nellen & Partner AG
Redingstrasse 6
CH-9000 St.Gallen
T +41 71 228 33 66
info@nellen.ch

Link zum Routenplan

 

 

Nellen & Partner ist Ihr Partner für Executive Search in Zürich und St.Gallen. Nellen & Partner ist im Bereich Personalberatung, Kadervermittlung, Human Resource Management und Headhunting tätig und unterstützt Sie bei der Suche nach Führungskräften, Verwaltungs- und Stiftungsräten sowie Fachspezialisten. Wir finden für Sie kompetentes Personal in den Bereichen Treuhand, Audit & Tax, Finanz & Legal, Industrie & Handel sowie Bau & Immobilien. Mit zwei Standorten in Zürich und St.Gallen sind wir mit unserer Premium Executive Search Boutique für Sie der ideale Ansprechpartner im Raum Zürich und der Ostschweiz.