Am 1. September tritt das neue Datenschutzgesetz in Kraft. Dieses sieht bei gewissen Zuwiderhandlungen Bussen von bis zu 250 000 Franken vor. Es lohnt sich also, sich rechtzeitig damit auseinanderzusetzen.

Herr Bühlmann, was sind die zentralen Änderungen im Datenschutzgesetz?

Wir haben unser Recht substanziell dem europäischen Recht angeglichen. Das war ein Ziel dieser Revision. Die Bedeutung der Compliance mit dem Datenschutzrecht – gerade in formeller Hinsicht – wird nun auch im Schweizer Recht sehr viel strenger. Ein Unternehmen muss viel mehr formelle Pflichten erfüllen, damit Datenverarbeitungen rechtmässig erfolgen.

Die neuen Vorgaben sollen schärfer kontrolliert und durchgesetzt werden.

Was meinen Sie mit «formellen Pflichten»?

Das Gesetz sieht eine Reihe solcher Pflichten vor: ein Verzeichnis der Datenbearbeitungen führen, Prozesse dokumentieren, Datenschutzfolgeabschätzungen machen und dokumentieren, der Umgang mit Betroffenenrechten, der Ablauf bei einem Data Breach, Aussagen zur Datentransparenz und so weiter. Viele dieser formellen Vorgaben sind neu deutlich ausführlicher und spezifischer beschrieben. Materiell ändert sich derweil nicht sehr viel: Ein Unternehmen muss weiterhin transparent darstellen, welche Daten es zu welchen Zwecken bearbeitet. Zudem muss es sicherstellen, dass keine falschen Daten bearbeitet werden und dass Dritte, die Daten bearbeiten, sich an die gleichen Regeln halten. Die neuen Vorgaben sollen aber schärfer kontrolliert und durchgesetzt werden können.

War das bisher nicht der Fall?

Das neue Gesetz bringt ein Sanktionensystem, das es bisher nicht gab. Gleichzeitig wurde die Position der Behörden gestärkt. So konnte der EDÖB, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte, in der Vergangenheit keine verbindlichen Verfügungen erlassen. Er konnte nur Empfehlungen abgeben. Dem Unternehmen stand es quasi frei, sich daran zu halten oder nicht. Erst wenn der EDÖB den Fall ans Bundesverwaltungsgericht weiterzog, konnte dieses verbindlich entscheiden.

Zur Person

Experte für IT- und Datenschutzrecht

Lukas Bühlmann
ist Partner in der Zürcher Kanzlei MLL Legal. Dort leitet er die Praxisgruppe «Digital, Data Privacy & E-Commerce» und berät regelmässig Klienten aus der Tourismusbranche. Seine Fachgebiete sind IT-, E-Commerce-, Datenschutz- und Werberecht. Bühlmann hat in Brügge (B), Norwich (GB) und Lausanne Rechtswissenschaften studiert und später die Anwaltszulassung erlangt.

Im Auftrag von HotellerieSuisse haben der Jurist und sein Team eine Software-basierte Toolbox entwickelt, die Verbandsmitgliedern frei zur Verfügung steht und sie bei der Umsetzung des neuen schweizerischen Datenschutzrechts unterstützen soll. Die Plattform umfasst Checklisten, Webinare, Vorlagen, Evaluationen, Tools, die helfen, compliant zu werden. Sie ist in drei Landessprachen sowie Englisch verfügbar. Demnächst schaltet die Kanzlei eine branchenunabhängige, ähnliche Toolbox auf, zu der jedes Unternehmen entgeltlich einen Zugang lösen kann.

mll-legal.com

Welche Rolle spielen neue Technologien zur Datenverarbeitung?

Ein wesentliches Ziel der Revision war es, diesen neuen technologischen Möglichkeiten Rechnung zu tragen. Heutige Software-Tools ermöglichen weitgehende Datenverarbeitungen. Das Recht muss diese neuen Realitäten abbilden und entsprechend regulieren. Einerseits nehmen die Datenbearbeitungen exponentiell zu; andererseits wird die Beurteilung, ob alle Prozesse und eingesetzten Tools auch wirklich rechtskonform sind, immer schwieriger. Das ist eine grosse Herausforderung für Unternehmen, die ja auf Rechtssicherheit angewiesen sind. Gleichzeitig steigt die Awareness der Betroffenen, und es gibt immer mehr Cybervorfälle, bei denen Daten in falsche Hände geraten. Das Hotel steht gewissermassen zwischen den Fronten: Es muss schauen, dass es neue Technologien einsetzt, um den Betrieb zeitgemäss zu führen, und gleichzeitig die Vorgaben des Gesetzgebers und die Erwartungen der Gäste und Angestellten erfüllt.

Steigen nun die Anforderungen an die Cybersicherheit?

Ganz genau. Jedes Unternehmen muss jederzeit sicherstellen, dass die Cybersicherheit einem dem Stand der Technik angemessenen Niveau entspricht. Was genau das heisst, ist nur schwer abschätzbar und verändert sich laufend. Die Gefahren und die Technologien zum Schutz entwickeln sich ständig. Die Verletzung dieser Pflicht ist aber einer der strafbewährten Tatbestände. Das Gesetz sagt also, dass sich strafbar macht, wer die Daten nur ungenügend gesichert hat respektive wer für diesen Schutz verantwortlich ist.

Das Hotel steht gewissermassen zwischen den Fronten: Es muss schauen, dass es neue Technologien einsetzt, um den Betrieb zeitgemäss zu führen, und gleichzeitig die Vorgaben des Gesetzgebers und die Erwartungen der Gäste und Angestellten erfüllt.

Ist der Software-Lieferant verantwortlich, dass sein Produkt die gesetzlichen Bestimmungen erfüllt, oder das Hotel?

Gegenüber den Personen, die dem Hotel Daten anvertrauen, ist das Hotel in der Verantwortung. Es muss zudem mit den IT-Dienstleistern und Systemanbietern vertraglich sicherstellen, dass seine Daten mit sicheren Systemen bearbeitet werden – zu denken ist etwa an die Verträge mit Cloud-Dienstleistern. Unterlässt es das Hotel, solche Auftragsbearbeitungsverträge mit seinen Dienstleistern abzuschliessen, so machen sich die Verantwortlichen künftig strafbar. Der Vertrag entbindet ein Hotel zwar nicht von der Verantwortung gegenüber Kunden und Angestellten. Wenn ein Softwareanbieter aber vertraglich zusichert, seine Programme seien sicher und datenschutzkonform, hat das Hotel seine Sorgfaltspflichten erfüllt und im Schadenfall einen Regressanspruch.

Stimmt es, dass bei einem Verstoss nicht das Unternehmen, sondern Privatpersonen gebüsst werden?

Wenn es zu Verstössen kommt, können Strafsanktionen wie Bussgelder relevant werden, und diese sind, dort wo sie vorgesehen sind, gegen natürliche Personen gerichtet – also gegen jene Person, die für die relevante Datenverarbeitung verantwortlich ist, was nicht immer der Geschäftsführer oder die Geschäftsführerin sein muss. Datenschutzverletzungen führen in der Regel aber auch zu Persönlichkeitsverletzungen. Und bei einer solchen kann die betroffene Person zivilrechtlich einen Genugtuungs- und Schadenanspruch gegenüber dem Unternehmen geltend machen. Das ist jedoch nicht ganz einfach und deutlich aufwendiger als eine Strafanzeige. Insbesondere muss ein Verfahren auch vorfinanziert werden.

Relevant ist, was meine Software kann – nicht, was ich davon nutze.

Bei einem strafrechtlichen Verfahren muss also kein Schaden vorliegen?

Im Strafverfahren geht es nur um die Frage: Ist der Tatbestand objektiv und subjektiv erfüllt? Ob dabei ein Schaden entstanden ist, ist für die Strafbarkeit nicht relevant. Das Gesetz schreibt etwa vor, dass ein Unternehmen die betroffenen Personen über die Datenbearbeitung informieren muss. Macht ein Hotel das nicht, macht sich jemand strafbar. Damit es zu einer Verurteilung kommt, braucht es den objektiven Verstoss und einen Vorsatz. Fahrlässigkeit reicht bei den Straftatbeständen im neuen Datenschutzgesetz nicht aus. Aber: Ein Eventualvorsatz genügt. Wenn ein Hotelier das Thema auf die lange Bank schiebt, dürfte ein Eventualvorsatz schnell einmal gegeben sein. Das heisst nichts anderes, als dass man einen Verstoss in Kauf nimmt.

[IMG 2]Nur selten schöpfen wir das Potenzial einer Software voll aus. Spielt das vor dem Gesetz eine Rolle?

Relevant ist, was meine Software respektive mein System kann – nicht, was ich davon nutze. Der Kunde muss nicht beweisen, dass ein Unternehmen die Daten tatsächlich bearbeitet hat. Das Hotel muss also nicht nur darüber informieren, was es mit den Daten tatsächlich macht, sondern auch, was es technisch machen könnte. Man kann also nicht sagen: «Ja, wir haben die Daten, aber wir schauen sie uns nicht an.»

Das Gesetz sieht keine Übergangsfrist vor. Warum nicht?

Das Gesetz wurde bereits 2020 verabschiedet. Wir wissen deshalb schon lange, dass es in Kraft treten wird. Die Übergangsfrist läuft also gewissermassen bereits. Die Schweiz hat für die Revision des alten Gesetzes lange gebraucht, ist jedoch völkerrechtlich schon länger verpflichtet, sein Gesetz zu modernisieren. Der Bundesrat war deshalb etwas unter Druck, das Gesetz ohne Übergangsfrist in Kraft zu setzen. Für Unternehmen, die das bisher nicht realisiert haben, dürften die Herausforderungen sportlich werden.

Gelten für eine grosse Hotelkette andere Vorschriften als für eine kleine 3-Zimmer-Pension?

Grundsätzlich nicht. Aber erstens verarbeitet ein kleines Hotel in der Regel viel weniger Daten als eine Kette. Es ist deshalb weniger betroffen von den Auflagen. Und zweitens gibt es eine Regel, die bei grossen Hotels für einigen Aufwand sorgt: die Pflicht, ein Verzeichnis der Datenbearbeitungen zu führen – welche Daten werden erfasst, wo, mit welchem System, wer hat Zugriff, wann werden sie gelöscht und so weiter. Unternehmen mit weniger als 250 Angestellten müssen dieses Verzeichnis nur führen, wenn sie intensiv besonders schützenswerte Daten verarbeiten oder Profiling machen. Viele kleine Hotels dürften von dieser Pflicht befreit sein. Wir empfehlen aber trotzdem, eine Liste zu führen, wenn auch eine nicht ganz so detaillierte – einfach damit man den Überblick über die Daten behält.