Zwischenstand in Sachen FIDLEG und MiFID

Marcel Aellen Dr.iur.; Rechtsanwalt Partner Telefon +41 58 258 16 24 [email protected] Zwischenstand in Sachen FIDLEG und MiFID Die Botsc...
Author: Carin Schuster
10 downloads 0 Views 466KB Size
Marcel Aellen Dr.iur.; Rechtsanwalt Partner Telefon +41 58 258 16 24 [email protected]

Zwischenstand in Sachen FIDLEG und MiFID Die Botschaften und Entwürfe zum Finanzdienstleistungsgesetz (FIDLEG) und zum Finanzinstitutsgesetz (FINIG) liegen dem Parlament zur Beratung vor. Die Kommission für Wirtschaft und Abgaben des Ständerats (WAK-S), welcher das Geschäft als Erstrat behandeln soll, hat die Detailberatungen nach mehrfacher Verschiebung von Sitzung zu Sitzung mit wenig Begeisterung Mitte Oktober 2016 zuhanden der Dezember-Session abgeschlossen. Um die hundert Änderungsanträge hat die WAK-S zu bearbeiten gehabt. In der EU sind die Umsetzung und Einführung der Markets in Financial Instruments Directive (MiFID II) und der Markets in Financial Instruments Regulation (MiFIR) nach mehreren Verschiebungen aktuell auf Januar 2018 geplant. Die Level-2 Regulierungen, an die hundert verschiedene regulatorische und technische Standards, liegen allerdings bei weitem noch nicht final vor. Und der Ausgang der Brexit-Abstimmung könnte zu weiteren Verzögerungen führen. 1.

Übersicht

Die EU hat ihre Regelwerke zur Regulierung der Finanzdienstleistungen, MIFID und MiFIR, mit der Ambition lanciert, EU- und EWR-weit einheitliche Regeln für Finanzdienstleister zu schaffen. Heraus-gekommen sind nach der Überarbeitung (wird auch als MiFID II bezeichnet) eine Verordnung, eine Richtlinie und rund hundert Ausführungserlasse im Umfang von Tausenden von Seiten mit ausufernden und teilweise praxisfremden Auflagen, welche den Markt einschränken und zu einer wenig kundenfreundlichen Bürokratie geführt haben. Dabei segelt die Regel-Armada eigentlich unter der Flagge, den Anlegerschutz zu verbessern. In der Schweiz wurden die Projekte FIDLEG und FINIG sowie auch das anfangs 2016 in Kraft getretene FinfraG ebenfalls mit der Zielsetzung und Begründung angestossen, die Anleger angeblich besser schützen zu müssen. In der Hauptsache geht es aber darum, mit gleichwertigen Regeln zu versuchen, den Schweizer Finanzdienstleistern den Marktzugang zum EWR zu sichern. Zu diesem Zweck wurden in die Gesetzesentwürfe zu FIDLEG und FINIG, die als wichtig und zentral eingestuften, Bestimmungen der MiFID und MiFIR übernommen, obwohl bekannt ist, dass die Finanzdienstleister in der EU, wie auch deren Kunden, alles andere als glücklich mit diesen Regeln und den zahlreichen Problemen in der praktischen Umsetzung sind. Gleiches ist bereits im Verhältnis der European Market Infrastructure Regulation (EMIR) zum Finanzmarktinfrastrukturgesetz

Bratschi Wiederkehr & Buob AG Basel Bern Lausanne St. Gallen Zug Zürich Die vollständige Anwaltsliste finden Sie im Internet unter www.bratschi-law.ch/team

Newsletter November 2016

(FinfraG) festzustellen gewesen. Es wird aber dennoch gegenüber der EU zu belegen sein, dass mit FIDLEG und FINIG die schweizerischen Vorschriften zu jenen der EU gleichwertig sein werden. Die Vorschriften in der MiFID und MiFIR sind trotz allem wesentlich umfangreicher und detaillierter als die im FIDLEG und FINIG vorgeschlagenen, für welche zu erwarten ist, dass sie nach den Beratungen im Parlament noch weiter gestutzt werden, wie vorerst die Ergebnisse der Beratungen der WAK-S zeigen (siehe hiernach). 2.

Unsicherheiten zum Marktzugang

Bis zu einem Entscheid der EU-Kommission über die Gleichwertigkeit werden wir nicht wissen, ob die geplanten neuen FIDLEG- und FINIG-Regulierungen als mit den Vorschriften der EU gleichwertig anerkannt werden. Für die Aufsicht über x-clear, die schweizerische zentrale Gegenpartei für den Börsenhandel, hat die EU-Kommission unabhängig vom FinfraG, welches diese Aufsicht reguliert, entschieden, dass die bereits seit mehreren Jahren bestehende und pragmatisch auf das Bankengesetz gestützte massgeschneiderte Aufsicht äquivalent ist. Daher stellt sich die Frage, ob eine nahezu sklavische Übernahme von EU-Recht überhaupt erforderlich ist, um Marktzugang zu erhalten. Bei allen Vorbehalten, die der EU für ihr Verhältnis zur Schweiz aufgrund von verschiedenen politischen Aspekten gemeinhin zugerechnet werden, ob zurecht oder nicht, ist daher in keiner Weise erwiesen, ob es für den Marktzugang insbesondere das FIDLEG überhaupt braucht. Tatsache ist, dass einerseits aus dem geltenden schweizerischen Recht Verhaltenspflichten ableitbar sind, die materiell im Wesentlichen dem EU-Recht entsprechen, auch wenn sie nicht mit dem gleichen bürokratischen Detaillierungsgrad versehen sind, und dass andererseits unabhängig der Schweizer Rechtsordnung schweizerische Marktteilnehmer aufgrund des revidierten LuganoÜbereinkommens (Anspruch des Kunden auf Anwendung des Rechts seines Sitzes) für Geschäftsbeziehungen zu EU-Kunden im Einzelfall ohnehin den EU-Standard zu beachten haben. Aus den Drittlandregeln der MiFID und MiFIR ergibt sich zugegebenermassen aber auch, dass sich die EU für den Zugang zu ihrem Markt eine Prüfung der Gleichwertigkeit der Regulierung im Drittland vorbehält. Diese Gleichwertigkeit könnte aber, wenn man die pragmatischen Erwägungen der EU-Kommission zur Aufsicht über x-clear als Massstab nimmt, auch mit punktuellen Ergänzungen der bestehenden Gesetzgebung erreicht werden. Ein umfangreiches Gesetz nach dem vermeintlichen Vorbild der MiFID ist dazu nicht erforderlich. Wie auch immer, es bleibt vorerst unsicher, welche konkreten Vorschriften aus dem Zusammenspiel der verschiedenen Regelwerke letztlich die Erbringung von Finanzdienstleistungen im EUMarkt regeln werden. Auch ob über bilaterale Verhandlungen, sprich über ein Finanzdienstleistungsabkommen, zufriedenstellende Lösungen erzielt werden könnten, ist weiterhin fraglich. Die Aussichten dazu sind gar schlechter geworden, nachdem die Beziehungen von Grossbritannien zur EU ebenfalls im Umbruch sind. 3.

Massnahmen auf Stufe Finanzdienstleister?

Diese Unsicherheit ist allerdings wenig erfreulich. Was kann der einzelne Finanzdienstleiter bei dieser Ausgangslage vorkehren, um sich trotzdem für die Zukunft aufzustellen? Im massgeben-

Newsletter November 2016 Seite 2 | 16

den rechtlichen Umfeld liegen zurzeit einzig MiFID und MiFIR final vor, die Durchführungsbestimmungen nur teilweise. Zudem ist davon auszugehen, dass FIDLEG oder jede andere schweizerische Regulierung zur Erbringung von Finanzdienstleistungen weniger umfangreich und im Detail weniger streng sein wird. Dieser an sich erfreuliche Umstand nützt aber Banken mit EU/EWRKunden aus den vorerwähnten Gründen leider wenig. Für diese Kunden ist generell zu empfehlen, sich am EU-Standard zu orientieren. Für Schweizer Kunden bleibt dabei selbstverständlich die Option, die voraussichtlich weniger strengen CH-Normen anzuwenden; allenfalls auch für Kunden aus nicht EU/EWR-Ländern, je nach Vorgabe aus diesen Ländern. Damit stellt sich aber die Frage, ob es überhaupt sinnvoll ist, zwei Regimes (IT-Applikationen, Weisungen und interne Prozesse) aufzubauen und zu unterhalten. Wobei sich bei erheblichen Unterschieden oder nicht vergleichbaren Regeln unter Umständen sogar eine Verpflichtung zum Aufbau von verschieden Abläufen ergeben könnte. Doppelspurigkeiten, Mehrkosten und Komplexität sprechen an sich klar dagegen. Die Freiheit, zwischen der Umsetzung von MiFID oder FIDLEG entscheiden zu können, ist aber letztlich ein vermeintliche. Um auf der sicheren Seite zu sein, bleibt wohl nichts anders übrig, als den strengeren Standard, das heisst, das EU-Recht zu implementieren. Damit wird mit Sicherheit auch das FIDLEG erfüllt sein, trotz einigen – nicht nachvollziehbaren – Abweichungen (zum Beispiel bei der Eignung und Angemessenheit, siehe hiernach). Diese Fragen brauchen sich Banken, welche inlandorientiert sind und einzig Schweizer Kunden betreuen, nicht zu stellen. Sie können sich auf die Umsetzung des FIDLEG beschränken. Wie erwähnt, würde aber für das Inland auch anstelle eines neuen Gesetzes eine konsequentere Umund Durchsetzung des bestehenden Rechts vollauf genügen. In einem ersten Schritt empfiehlt es sich somit, dass Banken ihren Kundenstamm nach deren Domizil analysieren und entscheiden, ob es sich aus Kosten- und Risikosicht rechnet, Kunden aus EU/EWR-Ländern zu betreuen und dabei einen oder beide Standards termingerecht, das heisst bis Ende 2017, umzusetzen. 4.

Drei ausgewählte Themen

4.1

Kundenklassifizierung

Bereits zu diesem an sich einfachen Thema sind Unterschiede zwischen EU- und CH-Recht festzustellen. Nach FIDLEG qualifiziert ein Unternehmen als professioneller Kunde, wenn dieses über eine professionelle Tresorerie verfügt, nach MiFID sind die Höhe von Bilanzsumme, Nettoumsatz oder Eigenmittel massgebend. Ferner unterscheiden sich auch die Systematik der Segmentierung; nach FIDLEG soll zwischen Privatkunden, professionellen Kunden (inkl. vermögenden Privatkunden) und institutionellen Kunden unterschieden werden, nach MiFID ist hingegen von Kleinanlegern, professionellen Kunden und geeigneten Gegenparteien die Rede. In beiden Regimes kann der Kunde durch einen Wechsel der Kategorie auf ein erhöhtes Schutzbedürfnis verzichten oder ein solches anstreben. Die Klassifizierung hat namentlich Auswirkungen auf den Inhalt und Umfang der Informations- und Aufklärungspflichten sowie auf die Durchführung der Angemessenheits- und Eignungsprüfung.

Newsletter November 2016 Seite 3 | 16

Im Schweizer Recht gilt es noch zu beachten, dass im Kollektivanlagengesetz (KAG) bereits eine Kundensegmentierung bekannt ist; ein Abgleich zum FIDLEG ist noch pendent. 4.2

«Suitability»

Sowohl MiFID und FIDLEG sehen vor, dass dem Kunden Dienstleistungen und Finanzinstrumente angeboten werden, welche er gemessen an seinen Kenntnissen und Erfahrungen versteht und welche mit seinen Anlagezielen und finanziellen Verhältnissen vereinbar sind. Dieses Konzept wurde im EU-Recht bereits im Jahr 2004 eingeführt. Der Finanzdienstleister muss hierzu eine sogenannte Angemessenheits- und Eignungsprüfung durchführen. Die beiden Begriffe «Angemessenheit» und «Eignung» sind begrifflich nicht ganz einfach zu fassen. Rein semantisch haben beide eine ähnliche Bedeutung im Sinne von zum Beispiel «passend» oder «adäquat» und könnten daher für beide Elemente des «Suitability»-Konzepts auch ausgetauscht verwendet werden. Aus der MiFID und den Durchführungsbestimmungen ist daher eine klare Abgrenzung nicht ohne weiteres herauszulesen. Im englischen Sprachgebrauch hat sich wohl deshalb für das damit verbundene Konzept, nämlich dem Kunden für ihn passende Produkte und Dienstleistungen anzubieten, auch der Begriff «Suitability» durchgesetzt, welcher sowohl die Kunden- als auch die Produkteseite umfasst. Gemäss MiFID gilt im Ansatz vereinfachend, dass sich die Eignung auf das Finanzinstrument oder die Dienstleistung bezieht (Risiken, Art. 35 DurchführungsRL MiFID I) und die Angemessenheit auf den Kunden (Anlageziele, finanzielle Tragbarkeit sowie Kenntnisse und Erfahrungen, Art. 35 und 36 DurchführungsRL MiFID I). Im FIDLEG werden demgegenüber die Begriffe mit der Geschäftsart verknüpft. Bei der transaktionsbezogenen Beratung ist allein eine Angemessenheitsprüfung vorgesehen, bei der Portfolioberatung und der Vermögensverwaltung hingegen kommt noch die Eignungsprüfung hinzu. Bei diesem Ansatz bildet die Angemessenheitsprüfung inhaltlich eine Teilmenge der Eignungsprüfung. Während somit bei der Angemessenheit für die transaktionsbezogene Beratung lediglich geprüft wird, ob ein Finanzinstrument angesichts der Kenntnisse und Erfahrungen des Kunden für diesen angemessen ist, werden bei der Eignung für die Portfolioberatung und der Vermögensverwaltung zusätzlich die finanzielle Tragbarkeit und die Risikoneigung des Kunden erfasst. Bei Executiononly ist zudem weder Angemessenheit noch Eignung zu prüfen. Der Ansatz von FIDLEG unter Verwendung der Begrifflichkeiten der MiFID ist unglücklich, verwirrend und es überrascht nicht, dass dies zu Unsicherheiten führt. Ob das noch geändert wird, ist zurzeit nicht bekannt; die letzten Beschlüsse der WAK-S sind noch nicht vollständig veröffentlicht. Letztlich geht es, wie bereits erwähnt, darum, dem Kunden für ihn passende Produkte und Dienstleistungen anzubieten. Wenn dieser Grundsatz, auf welche Art auch immer, umgesetzt und gelebt wird, genügt man beiden Konzepten, unabhängig der Diskussionen um Inhalt und Abgrenzung der beiden Begriffe.

Newsletter November 2016 Seite 4 | 16

4.3

Anreizzahlungen (Retrozessionen)

Aufgrund der Praxis des Bundesgerichts und des rigorosen Verbots im EU-Recht sind die Vergütungen von Dritten ein viel diskutiertes Thema des FIDLEG-Entwurfs. Dieser übernimmt in der Fassung des Botschaftsentwurfs die Bundesgerichtspraxis, wonach Banken Vergütungen annehmen dürfen, wenn die Kunden über die Zahlungen informiert und diese auf deren Wunsch gegebenenfalls an die Kunden weitergeleitet werden. Dies ist eine vernünftige Lösung. Die zunächst angedachte und an MiFID angelehnte Variante, wonach für «unabhängige» Finanzdienstleister die Entgegennahme von Vergütungen Dritter verboten gewesen wäre, wurde glücklicherweise aufgegeben, zusammen mit dem wenig zielführenden Kriterium der Unabhängigkeit. 5.

Beschlüsse der WAK-S von Mitte Oktober 2016

Mit Medienmitteilung vom 17. Oktober 2016 hat die WAK-S über den Abschluss ihrer Detailberatungen zu den FIDLEG- und FINIG-Entwürfen und über ihre wichtigsten Beschlüsse informiert. 5.1

Ausnahme von Versicherern

Die Versicherungsgesellschaften haben mit ihren zahlreichen Änderungsanträgen erreicht, dass sie vom Geltungsbereich des FIDLEG ausgenommen werden. Stattdessen soll, wenn ein erhöhter Kundenschutz erforderlich sein sollte, allenfalls das Versicherungsaufsichtsgesetz angepasst werden. Damit gibt die Kommission der Versicherungsbranche nach, welche geltend macht, dass sie, wenn überhaupt, sie betreffende Regeln in ihren Spezialgesetzen statt in einem weiteren Gesetz haben möchte, um zusätzliche Schnittstellen zu vermeiden. Mit gleichem Recht könnten Banken, Effektenhändler und kollektive Kapitalanlagen Gleiches geltend machen. So gesehen ein erstaunlicher, aber letztlich richtiger Entscheid für die Versicherer. Nur werden aber für die anderen Finanzintermediäre mit dem FIDLEG genau diese Schnittstellen aufgebaut und Spezialgesetze abgeschafft oder auseinandergerissen. 5.2

Aufsicht unabhängiger Vermögensverwalter

Die Schweiz steht seit Jahren unter internationaler Kritik, dass unabhängige Vermögensverwalter (uVV) keiner prudentiellen Aufsicht unterstellt sind. Eine solche soll mit dem FINIG über eine oder mehrere von der FINMA bewilligte und beaufsichtigte Aufsichtsorganisationen eingeführt werden. Die Aufsichtsorganisationen sollen als verlängerter Arm der FINMA nach klaren regulatorischen Vorgaben die laufende Aufsicht über die von der FINMA bewilligten Vermögensverwalter ausüben. Die hoheitlichen Funktionen und Sanktionskompetenzen verbleiben aber bei der FINMA. 5.3

Erleichterter Marktzugang für FinTech

In Ergänzung zum Botschaftsentwurf des FINIG soll gemäss WAK-S mittels einer eigen-ständigen Bewilligungskategorie eine gesetzliche Grundlage geschaffen werden, welche FinTech-Unternehmen einen erleichterten Marktzugang ermöglichen soll. Der Schweizer Finanzplatz soll sich weiterentwickeln können, weshalb in der Schweiz hier frühzeitig der nötige rechtliche Rahmen zur Verfügung gestellt werden müsse, um dadurch Standortvorteile zu schaffen. Die Digitalisierung

Newsletter November 2016 Seite 5 | 16

erreicht auch die Finanzbranche, die elektronische Eröffnung von Geschäftsbeziehungen ist bereits Tatsache. Erleichterungen für darauf fokussierte Unternehmen ist das eine, nur sollte mit strengen Auflagen aber auch sichergestellt werden, dass die digitalen Kanäle nicht missbraucht werden. Die regulatorischen Errungenschaften zur Identifikation und der Abklärung der wirtschaftlichen Hintergründe bei der Eröffnung von Geschäftsbeziehungen sollten nicht den Verlockungen der Digitalisierung geopfert werden, das diesbezügliche Missbrauchspotential ist nicht zu unterschätzen und weit höher, als bei einer physischen Eröffnung. 5.4

Weitere Beschlüsse

Die vom Bundesrat beantragten Änderungen zum Bankeninsolvenzrecht Thema sollen gemäss WAK-S in einer getrennten Vorlage behandelt werden. Zur Erleichterung der Durchsetzung von Kundenansprüchen vor Gericht hat der Bundesrat ferner Änderungen in der Zivilprozessordnung vorgeschlagen. Diese sollen gemäss einer Mehrheit der Kommission aber nicht über das FILDEG, sondern im Zusammenhang mit einer Gesamtrevision der Zivilprozessordnung angepasst werden. Damit dürften diese Änderungsvorschläge vorerst mindestens mittelfristig kein Thema mehr sein.

Bratschi Wiederkehr & Buob AG ist eine führende Schweizer Anwaltskanzlei mit über 75 Anwältinnen und Anwälten in den Wirtschaftszentren der Schweiz, bietet schweizerischen und ausländischen Unternehmen und Privatpersonen professionelle Beratung und Vertretung in allen Bereichen des Wirtschafts-rechts, im Steuerrecht und im öffentlichen Recht sowie in notariellen Angelegenheiten. Basel Lange Gasse 15 CH-4052 Basel Telefon +41 58 258 19 00 Fax +41 58 258 19 99 [email protected]

Bern Bollwerk 15 Postfach 5576 CH-3001 Bern Telefon +41 58 258 16 00 Fax +41 58 258 16 99 [email protected]

Lausanne Avenue Mon-Repos 14 Postfach 5507 CH-1002 Lausanne Téléfone +41 58 258 17 00 Téléfax +41 58 258 17 99 [email protected]

© Bratschi Wiederkehr & Buob AG, Vervielfältigung bei Angabe der Quelle gestattet

St. Gallen Vadianstrasse 44 Postfach 262 CH-9001 St. Gallen Telefon +41 58 258 14 00 Fax +41 58 258 14 99 [email protected]

Zug Industriestrasse 24 CH-6300 Zug Telefon +41 58 258 18 00 Fax +41 58 258 18 99 [email protected]

Zürich Bahnhofstrasse 70 Postfach CH-8021 Zürich Telefon +41 58 258 10 00 Fax +41 58 258 10 99 [email protected] www.bratschi-law.ch

Newsletter November 2016 Seite 6 | 16

Markus Näf Master of Law, Rechtsanwalt Senior Project Manager IPMA Level B Lehrbeauftragter für Informatikrecht und Projektmanagement an der FHS St. Gallen Telefon +41 58 258 10 00 [email protected]

Datenschutzrechtliche Pflichten beim Einsatz von Internet-Services und Software-Anwendungen Anwendungen über Online-Services gehören heute zum Geschäftsalltag. In letzter Zeit hört man immer wieder von Online-Services, die Daten der Anwender sammeln und an den Anbieter oder Dritte im Ausland übermitteln. Dies betrifft nicht nur private Anwender von Apps oder Social Media Plattformen, sondern zunehmend auch Business Anwendungen. Zudem ist das Problem der Datenerhebung nicht nur auf Online-Services, die als Application as a Service (AaaS) oder Software as a Service (SaaS) angeboten werden, beschränkt. Grundsätzlich ist ein Unternehmen mit zwei Ausnahmen frei zu entscheiden, ob es seine Geschäftsdaten ins Ausland übermittelt oder einem Dritten verfügbar macht. Die beiden Ausnahmen sind erstens, wenn es sich um Personendaten im Sinne des Datenschutzgesetztes (DSG) handelt und zweitens, wenn Daten betroffen sind, die einer gesetzlichen Geheimhaltungspflicht unterliegen, wie zum Beispiel dem Bank-, Anwalts- oder Arztgeheimnis. Solche Daten dürfen nicht ohne ausdrückliche Entbindung vom Berufsgeheimnis ins Ausland übermittelt oder Dritten verfügbar gemacht werden. 1.

Kritische Unternehmensdaten

Unabhängig der Datenkategorie, sollten sich Unternehmen bei der Speicherung von Daten ausserhalb des Unternehmens, sei dies in einem Rechenzentrum, einer Cloud Anwendung oder einem Online-Service, vier relevante Fragen stellen: (i)

Wo werden Unternehmensdaten geografisch gespeichert? Nur in der Schweiz oder auch im Ausland?

(ii)

Wie wird der Zugriff auf Unternehmensdaten, die bei Dritten gespeichert sind, jederzeit sichergestellt?

(iii)

Wie wird sichergestellt, dass keine Drittpersonen Zugriff auf Daten des Unternehmens haben?

(iv)

Wie stellt das Unternehmen sicher, dass nach einer Vertragsauflösung alle Daten vollständig gelöscht werden?

Newsletter November 2016 Seite 7 | 16

Die Unternehmensführung ist für die Daten des Unternehmens verantwortlich und verschiedene gesetzliche Vorschriften regeln Bekanntgabe, Auslagerung oder Aufbewahrung von Daten. Diese Fragen sind jedoch nicht nur beim Einsatz von Online-Diensten relevant, sondern zunehmend auch beim Einsatz von Standardsoftware. 2.

Automatische Datenübermittlung bei Microsoft Windows

Das neue Betriebssystem Windows 10 von Microsoft aus dem Jahr 2015 ist stark mit den Cloud Diensten von Microsoft, wie zum Beispiel Office 365, verzahnt. Die Software übermittelt verschiedene Randdaten der Nutzung an Microsoft. Die übermittelten Daten sind je nach Version unterschiedlich (Home, Professional, Enterprise). Der User gibt mit der Akzeptanz der Lizenz- und Datenschutzbestimmungen von Microsoft seine Zustimmung zu dieser Datenübermittlung. Das Unternehmen kann jedoch nicht ohne weiteres für die Übermittlung oder Bekanntgabe von Daten seiner Kunden oder Mitarbeitenden an Dritte zustimmen. 2.1

Datenübermittlung an Microsoft

Neu ist, dass es sich dabei eben nicht um eine Cloud Anwendung, sondern um eine On-site Installation von Windows 10 auf Servern beim Kunden bezieht. Der Lizenzvertrag von Microsoft verweist unter Ziffer 3 auf die Microsoft-Datenschutzerklärung. Mit dem Lizenzvertrag stimmt das Unternehmen dieser Datenübermittlung zu. Zum Opt-out Verfahren schreibt Microsoft:

1

„Einige der in diesem Artikel beschriebenen Netzwerkverbindungen können in Windows 10 Mobile, Windows 10 Mobile Enterprise und der Juliversion von Windows 10 verwaltet werden. Die Verwaltung aller Verbindungen ist jedoch nur mit Windows 10 Enterprise (Version 1511) oder Windows 10 Education (Version 1511) möglich. In Windows 10 Enterprise (Version 1511) oder Windows 10 Education (Version 1511) können Sie die Telemetrie auf der Sicherheitsstufe konfigurieren, Windows Defender-Telemetrie und MSRT Berichte deaktivieren sowie alle anderen Verbindungen mit Microsoft-Diensten wie in diesem Artikel beschrieben deaktivieren, um zu verhindern, dass Windows Daten an Microsoft sendet. Wir raten allerdings dringend davon ab, da uns diese Daten dabei helfen, ein sicheres, zuverlässiges und noch attraktiveres personalisiertes Benutzererlebnis bereitzustellen.“

Bei den Telemetrie-Daten sind drei Stufen der Datenübermittlung (vollständig, erweitert und allgemein) vorgesehen. Die Voreinstellung von Microsoft ist auf Stufe „vollständig“. Damit erlaubt der Anwender Microsoft unter bestimmten Bedingungen alle Daten auf dem Rechner zu übermitteln und für die Fehlerdiagnose zu verwenden. Microsoft darf diese Daten zu diesem Zweck auch an Vertragspartner weitergeben. Sollte ein Fehlerbericht persönliche Informationen enthalten, werden diese nicht dazu verwendet, Sie zu identifizieren, zu kontaktieren oder gezielt Werbung zu schalten.

1

https://technet.microsoft.com/library/mt577208(v=vs.85).aspx

Newsletter November 2016 Seite 8 | 16

Damit ist mit der Einstellung „vollständig“ ein sehr weitgehender Datenzugriff möglich und die Daten können in die beliebigen Standorte von Microsoft übermittelt werden. Die vertragliche Einschränkung die Daten nicht für andere Zwecke zu verwenden, vermag den Tatbestand der Datenübermittlung von persönlichen Daten nicht zu rechtfertigen. Bei der Funktionswahl „allgemein“ (oder in gewissen Publikationen auch „einfach“ genannt) und dem Ausschalten aller Optionen werden trotzdem einzelne Daten übermittelt. Einige Diagnosedaten sind für die Ausführung von Windows notwendig und können nicht deaktiviert werden. Darunter fallen hauptsächlich technische Daten ohne Identifizierungspotential aber zusätzlich auch die IP-Adresse, die im Sinn des Datenschutzgesetzes als Personendaten qualifiziert werden. 2.2

Datenherausgabe an Behörden

Ein US-Richter erliess auf der Basis des «Stored Communication Act» in den USA eine Durchsuchungs- und Beschlagnahmeverfügung (Warrant) gegen das Microsoft Hauptquartier in Redmond bezüglich der Daten eines Kunden, welche in einem Microsoft Web-Mail Account von «Outlook.com» auf einem Server im Microsoft Datacenter in Irland gespeichert waren. Die in den USA gespeicherten Randdaten des Kunden wurden aufgrund dieser Verfügung den amerikanischen Behörden ausgehändigt, nicht jedoch die ausserhalb der USA gespeicherten Inhaltsdaten. Der «District Court of the Southern District New York» lehnte einen Rekurs von Microsoft gegen die Lieferung der im Ausland gespeicherten Daten ab und auferlegte Microsoft zusätzlich eine Strafe bei Nichterfüllung der Datenlieferung. Microsoft legte gegen dieses Urteil Berufung ein. Das US-Berufungsgericht – der «United States Court of Appeals for the second Circuit» – hat am 14. Juli 2016 nun entschieden, dass eine Datenherausgabe nach dem «Stored Communication Act» auf der Basis einer Verfügung nur Wirkung innerhalb des Territoriums der USA hat. Microsoft kann nicht verpflichtet werden, auf Kundendaten, die auf einem Server ausserhalb der USA liegen, zuzugreifen und diese Daten in die USA zu importieren, um sie den US Behörden zu übergeben. 2.3

Übermittlung von Randdaten

Wie aus dem US Gerichtsurteil hervorgeht, werden durch Microsoft bei einer Vereinbarung über 2

die Datenspeicherung in Irland trotzdem Randdaten in die USA übermittelt. Die betroffenen Daten mussten nicht herausgegeben werden, da das betreffende Gesetz dies für im Ausland liegende Daten nicht explizit vorsieht. Das Urteil legt aber offen, dass in allen Fällen einzelne Randdaten, wie z.B. E-Mail-Adressen, Usernamen oder IP-Adressen des E-Mail-Verkehrs sowie zufällige Testdaten von Webmail-Kunden in den USA gespeichert werden. Dagegen werden aber keine Inhalte von Kunden aus europäischen Rechenzentren in den USA gespeichert. Gemäss Gerichtsurteil ist es Microsoft jedoch theoretisch technisch möglich, von den USA aus auf die Daten im Datacenter in Irland zuzugreifen.

2

http://digitalconstitution.com/wp-content/uploads/2016/07/Decision-opinion.pdf

Newsletter November 2016 Seite 9 | 16

Zudem enthalten einzelne Datenschutzbestimmungen eine pauschale Regelung, dass Microsoft von in Europa gespeicherten Daten Sicherheitskopien in jedem ihrer Rechenzentren überall auf der Welt erstellen darf. Dies ist in den Produktebestimmungen enthalten, jedoch nicht in den Online Service Terms. Personalisierte Anwendungen, wie zum Beispiel Cortana von Microsoft oder die Onlineübersetzung fragen nicht nur Randdaten, sondern auch Inhaltsdaten, auf dem Rechner ab und übermitteln diese an Microsoft. Dies ist bei Personendaten oder Daten, welche Berufsgeheimnissen unterstehen ohne Einwilligung der betroffenen Personen nicht zulässig. Derzeit läuft eine Voruntersuchung beim Eidgenössischen Datenschutz und Öffentlichkeitsbeauftragen (EDÖB) über die Konformität dieser Datenübermittlung von Microsoft mit dem Datenschutz3

gesetz. Die Antwort liegt noch nicht vor. Das Ergebnis des EDÖB wird eine abschliessende Beurteilung sowie den konformen Umgang der Unternehmen mit dieser Datenübermittlung regeln. Bis dahin sind die Unternehmen gehalten, die Einstellungen und Vertragsbedingungen sorgfältig zu prüfen. 3.

Online Services

Es werden heute viele hilfreiche und sehr effiziente Online-Services für Unternehmen bereitgestellt, so zum Beispiel Applikationen für Bewerberselektion, Personalverwaltung, Marketing und Kundenbeziehungsmanagement, Buchhaltung und viele mehr. Gemeinsam ist allen diesen OnlineAngeboten, dass die Daten auf den Servern der Anbieter in der Cloud gespeichert werden. Damit ist auch eine Datenübermittlung ins Ausland verbunden. So speichern Dienste wie „Drop-Box“, „Microsoft Office365“ oder „GoogleDrive“ Daten in Rechenzentren in Europa oder auch in den USA. 4.

Datenbearbeitung durch einen Dritten

Das Datenschutzgesetz lässt eine Bearbeitung von Personendaten durch Dritte unter vier Voraussetzungen zu: (i)

Es braucht dazu eine entsprechende Vereinbarung;

(ii)

Der Dritte darf die Daten nur so bearbeiten, wie es der Auftraggeber selbst tun dürfte;

(iii)

Keine gesetzliche oder vertragliche Geheimhaltungsplicht darf es verbieten;

(iv)

Der Auftraggeber muss sicherstellen, dass der Dritte die Datensicherheit gewährleistet.

Eine Auftragsbearbeitung liegt nur vor, wenn die Bearbeitung ausschliesslich für die Zwecke des Auftraggebers erfolgt, nicht aber, wenn eigene Zwecke des Auftragsbearbeiters oder diejenigen eines Dritten verfolgt werden. Nur im ersteren Fall besteht ein sogenanntes Bekanntgabeprivileg, womit die Rechtsfolgen, welche mit der Bekanntgabe an Dritte verbunden sind, nicht ausgelöst werden. Bearbeitet der Auftragsbearbeiter die Daten auch für eigene Zwecke oder für Dritte, ist

3

Mitteilung EDÖB: , abgefragt am 25.8.2016.

Newsletter November 2016 Seite 10 | 16

eine Registrierung der Datensammlung sowie eine Information der betroffenen Personen notwendig. Bei besonders schützenswerten Personendaten oder bei Persönlichkeitsprofilen ist ausserdem eine Einwilligung oder eine Rechtfertigung bei der Datenweitergabe angezeigt. Konzerngesellschaften gelten ebenfalls als Dritte und es ist entsprechend bei einer konzerninternen Datenbearbeitung zwingend eine schriftliche Datenbearbeitungsvereinbarung abzuschliessen. 5.

Datenübermittlung ins Ausland

Die Datenübermittlung ins Ausland ist mit den heutigen Internetanwendungen und Cloud-Lösungen eher die Regel als die Ausnahme. So speichern Dienste wie „Drop-Box“, „Microsoft Office365“ oder „GoogleDrive“ Daten in Rechenzentren in Europa oder auch in den USA. Das Datenschutzgesetz macht über die Zulässigkeit der Datenübermittlung eine Negativabgrenzung: „Personendaten dürfen nicht ins Ausland übermittelt werden, wenn durch eine Übermittlung die Persönlichkeit der betroffenen Person gefährdet würde, namentlich weil im Land eine Gesetzgebung fehlt, die einen angemessenen Schutz der Daten und der Persönlichkeit gewährleistet (Art. 6 Abs. 1 DSG).“

Der EDÖB veröffentlicht auf seiner Internetseite eine Liste der Länder mit gleichwertigem Datenschutz. Dazu gehören alle Länder der EU, jedoch nicht die USA. Für die USA galt bis vor kurzem das „Safe Harbour Agreement“ als vertragliche Datenschutzregelung, die jedoch mit dem Entscheid des Europäischen Gerichtshofs im Oktober 2015 als ungenügend qualifiziert wurde. Entsprechend kommen für die Datenübermittlung entweder die Einwilligung der betroffenen Person oder eine vertragliche Vereinbarung mit hinreichenden Garantien für einen angemessenen Schutz der Daten im Ausland als Rechtfertigung in Frage. Der EDÖB veröffentlicht dazu auf seiner Webseite einen Mustervertrag. Der EDÖB ist über den Abschluss einer solchen vertraglichen Datenschutzvereinbarung zu informieren. Dies gilt auch bei der Datenübermittlung in Länder ohne angemessenen Datenschutz innerhalb von Konzerngesellschaften. Bestehen besondere gesetzliche Vorschriften zum Schutz der Personendaten, wie im Bankgengesetz, Anwaltsgesetz, Arztgeheimnis, Gesundheitsgesetz etc., ist eine Datenübermittlung ins Ausland vermutungsweise nicht zulässig. Mit der Einwilligung der betroffenen Person nach einer Aufklärung über die bestehenden Risiken, kann eine solche Übermittlung zulässig sein, ist aber im Einzelfall zu prüfen. 6.

Tatbestand der Datenübermittlung

Online Services, welche auf die gespeicherten Inhaltsdaten zugreifen, sind in Bezug auf die abgelegten Daten zu beurteilen, insbesondere ob dadurch keine Persönlichkeitsrechte von Dritten bei einer Datenübermittlung ins Ausland verletzt werden können.

Newsletter November 2016 Seite 11 | 16

Damit muss als Zwischenfazit festgestellt werden, dass eine Cloud-Speicherung von Daten im Ausland für Anwender mit Personendaten, Persönlichkeitsprofilen oder besonders schützenswerten Personendaten sowie Daten, die einem Berufsgeheimnis unterliegen, nach dem Datenschutzgesetz nicht zulässig ist. Ebenfalls ist aus heutiger Sicht die Verwendung von Windows 10 mit der Sicherheitsoption „vollständig“ aufgrund der Datenübermittlung ins Ausland nicht ohne weiteres zulässig. Bei der Einstellung „allgemein“ sind keine Inhaltsdaten betroffen, sondern lediglich die Randdaten und die in den Systemen erfassten Nutzerdaten der Mitarbeitenden, welche für die Bereitstellung der Services von Microsoft erfasst werden müssen. Dabei darf der Arbeitgeber die Personendaten der Mitarbeitenden gemäss Art. 328b OR zwar bearbeiten, dies umfasst jedoch nicht die Übermittlung ins Ausland. Usernamen und E-Mail-Adressen stellen Personendaten dar, aber auch IP-Adressen werden als Personendaten qualifiziert. Damit ist bei einer Übermittlung dieser Daten der Tatbestand der grenzüberschreitenden Bekanntgabe von Personendaten erfüllt. Eine solche ist nur in Ländern mit einem gleichwertigen Datenschutz zulässig, was insbesondere auf die USA nicht zutrifft. Damit ist eine Datenbekanntgabe nur nach den folgenden Tatbeständen zulässig: „DSG Art. 6 Grenzüberschreitende Bekanntgabe 1 Personendaten dürfen nicht ins Ausland bekannt gegeben werden, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet. 2 Fehlt eine Gesetzgebung, die einen angemessenen Schutz gewährleistet, so können Personendaten ins Ausland nur bekannt gegeben werden, wenn: a) hinreichende Garantien, insbesondere durch Vertrag, einen angemessenen Schutz im Ausland gewährleisten; b) die betroffene Person im Einzelfall eingewilligt hat; c) die Bearbeitung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags steht und es sich um Personendaten des Vertragspartners handelt; d) die Bekanntgabe im Einzelfall entweder für die Wahrung eines überwiegenden öffentlichen Interesses oder für die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor Gericht unerlässlich ist; e) die Bekanntgabe im Einzelfall erforderlich ist, um das Leben oder die körperliche Integrität der betroffenen Person zu schützen f) die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat. g) die Bekanntgabe innerhalb derselben juristischen Person oder Gesellschaft oder zwischen juristischen Personen oder Gesellschaften, die einer einheitlichen Leitung unterstehen, stattfindet, sofern die Beteiligten Datenschutzregeln unterstehen, welche einen angemessenen Schutz gewährleisten. 3 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Beauftragte, Art. 26) muss über die Garantien nach Absatz 2 Buchstabe a und die Datenschutzregeln nach Absatz 2 Buchstabe g informiert werden. Der Bundesrat regelt die Einzelheiten dieser Informationspflicht.“

Microsoft garantiert den Schutz dieser Daten durch verschiedene Massnahmen, was als Rechtfertigung nach Abs. 2 lit. a DSG qualifiziert werden kann. Die Standardklauseln des EDÖB, resp. des Europäischen Datenschutzbeauftragten sind in den Online Service Terms von Microsoft enthalten.

Newsletter November 2016 Seite 12 | 16

Problematisch ist dabei, dass diese vertraglichen Garantien nach dem oben zitierten Art. 6 Abs. 3 DSG dem EDÖB gemeldet werden müssen. Die Unterlassung dieser Meldung stellt ein Straftatbestand dar. 7.

Empfehlung

(i)

Die Zulässigkeit der Datenübermittlung und Datenspeicherung ist bei Online Services zu prüfen.

(ii)

Die Sicherheitseinstellungen der Windows Server sind datenschutzkonform einzustellen.

(iii)

Daten-Transfer-Vereinbarungen sind bei Datenübermittlungen ins Ausland abzuschliessen. Dies gilt ebenfalls bei einer konzerninternen Datenübermittlung.

(iv)

Da für die Verwendung der verschiedenen Microsoft-Applikationen die Übermittlung von Randdaten notwendig ist und die Übermittlung dieser Randdaten in Zukunft noch zunehmen werden, empfehlen wir, die IT Nutzungsreglemente der Unternehmen mit der folgende Formulierung zu ergänzen: „Bei der Nutzung von Produkten und Services von Drittanbietern wie Microsoft können einzelne Personendaten der Nutzer (zum Beispiel E-Mail-Adresse oder Autorisierungsdaten) an die Rechenzentren von Microsoft im Ausland – insbesondere auch in Länder ohne gleichwertigen Datenschutz (z.B. USA) – übermittelt werden. Der Nutzer stimmt durch die Nutzung der Microsoft Produkte dieser Datenübermittlung und -speicherung im Ausland nach den Datenschutzbestimmungen von Microsoft zu.“

Bei der Verwendung von anderen Produkten ist die Bestimmung entsprechend anzupassen. (v)

Aufnahme einer analogen Zustimmungserklärung in Kunden- oder Lieferverträgen. Zuletzt ist zu prüfen, ob Kundenverträge Compliance Klauseln betreffend Datenschutzverletzungen enthalten. Diese sind allenfalls zu präzisieren.

Bratschi Wiederkehr & Buob AG ist eine führende Schweizer Anwaltskanzlei mit über 75 Anwältinnen und Anwälten in den Wirtschaftszentren der Schweiz, bietet schweizerischen und ausländischen Unternehmen und Privatpersonen professionelle Beratung und Vertretung in allen Bereichen des Wirtschafts-rechts, im Steuerrecht und im öffentlichen Recht sowie in notariellen Angelegenheiten. Basel Lange Gasse 15 CH-4052 Basel Telefon +41 58 258 19 00 Fax +41 58 258 19 99 [email protected]

Bern Bollwerk 15 Postfach 5576 CH-3001 Bern Telefon +41 58 258 16 00 Fax +41 58 258 16 99 [email protected]

Lausanne Avenue Mon-Repos 14 Postfach 5507 CH-1002 Lausanne Téléfone +41 58 258 17 00 Téléfax +41 58 258 17 99 [email protected]

© Bratschi Wiederkehr & Buob AG, Vervielfältigung bei Angabe der Quelle gestattet

St. Gallen Vadianstrasse 44 Postfach 262 CH-9001 St. Gallen Telefon +41 58 258 14 00 Fax +41 58 258 14 99 [email protected]

Zug Industriestrasse 24 CH-6300 Zug Telefon +41 58 258 18 00 Fax +41 58 258 18 99 [email protected]

Zürich Bahnhofstrasse 70 Postfach CH-8021 Zürich Telefon +41 58 258 10 00 Fax +41 58 258 10 99 [email protected] www.bratschi-law.ch

Newsletter November 2016 Seite 13 | 16

Manuel Bucher M.A. HSG in Law and Economics, Rechtsanwalt Telefon +41 58 258 10 00 [email protected]

Datenschutz im Marketing – Personentrackingsysteme: Was Ihnen das Mobiltelefon Ihrer Kunden alles erzählen kann „Know Your Customer“ ist nicht nur ein relevantes Schlagwort für den Bankensektor. Für sämtliche Wirtschaftsteilnehmer ist es von grosser Wichtigkeit, alles über ihre Kunden zu wissen. Die technischen Möglichkeiten der heutigen Zeit lassen Datenerhebungen in einem Ausmass zu, wie es bis vor kurzer Zeit undenkbar gewesen wäre. Umso wichtiger ist es, ein Augenmerk auf die rechtlichen Rahmenbedingungen zu werfen. 1.

Marketing mit Personendaten

Wirtschaftsteilnehmer wollen heute möglichst alles über die Bedürfnisse ihrer Kunden wissen: Welche Kunden besuchen zu welchen Zeiten ein Geschäft und wie bewegen sie sich durch ein solches? Bei welchen Regalen bleiben sie wie lange stehen? In welche Richtung bewegen sie sich anschliessend weg? Wie lange verbleiben sie generell in einem Geschäft? Der technologische Fortschritt hat dazu geführt, solche Daten mit sogenannten „Personentrackingsystemen“ einfach zu erfassen. Ein solches Unterfangen kann je nach Ausprägung jedoch in die Privatsphäre der Kunden eingreifen und datenschutzrechtliche Themen tangieren, bei welchen erhöhte Aufmerksamkeit geboten ist. 2.

Systeme

Personentrackingsysteme sind heute weit verbreitet und kommen in den unterschiedlichsten Varianten vor. Allgemeinhin unterscheidet man in datenschutzrechtlicher Hinsicht zwei Hauptformen: a)

Es sind dies einerseits meist optische Systeme wie Kameras, welche direkt personenbezogene Daten (Gesicht, Körpergrösse, Nummernschilder etc.) aufzeichnen und zur Kategorisierung der Kunden (Alter, Geschlecht, etc.) dienen.

b)

Andererseits existieren Systeme, welche Daten von Mobilfunkgeräten (insbesondere eindeutig zuordenbare „Identifikationsdaten“ wie MAC-Adressen von Mobiltelefonen) von an Sensoren/Erfassungssektoren vorbeigehenden Passanten respektive Kunden erfassen und so in der Lage sind, die Verweildauer an einer bestimmten Stelle im Geschäft zu erfassen sowie Bewegungsprofile zu erstellen.

Newsletter November 2016 Seite 14 | 16

Werden solche Daten bearbeitet, handelt es sich gemäss der Einschätzung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB grundsätzlich um eine Datenbearbeitung personenbezogener Daten nach dem Eidgenössischen Datenschutzgesetz (DSG) und es sind dessen Grundsätze einzuhalten. 3.

Datenbearbeitung zu nicht personenbezogenen Zwecken

Der wichtigste zu beachtende Grundsatz ist derjenige der Rechtmässigkeit der Datenbearbeitung. Damit eine Datenbearbeitung im Sinne des DSG rechtmässig ist, bedarf sie stets eines Rechtfertigungsgrundes. Ein solcher liegt vor bei (1) Einwilligung der betroffenen Person, (2) überwiegendem öffentlichem oder (3) privatem Interesse sowie (4) bei Vorliegen einer gesetzlichen Grundlage. Die Einholung der Zustimmung als Rechtfertigungsgrund ist bei konventionellen Datenbearbeitungen einer der beliebtesten, da einfachsten und kostengünstigsten Wege, eine DSG-konforme Datenbearbeitung zu rechtfertigen. Im Bereich der Personentrackingsysteme kann es sich jedoch als schwierig herausstellen, eine gültige und insbesondere freiwillig erteilte Einwilligung einzuholen. Neben technischen Schwierigkeiten ist stets auch die Freiwilligkeit der abgegebenen Einwilligung zu prüfen. Dies kann sich unter anderem dann als schwierig herausstellen, wenn es keine gleichwertige Alternative für die betroffene Person gibt, bspw. dass die betroffene Person ein Ladengeschäft betreten könnte, ohne von den Systemen erfasst zu werden. Gewisse Systeme lassen sich zwar technisch entsprechend ausrüsten, dies führt jedoch zu hohen Mehrinvestitionen und gefährdet die Wirtschaftlichkeit der Marketingmassnahme. Das Datenschutzgesetz sieht in Artikel 13 Abs. 2 lit. e ein Beispiel eines Rechtfertigungsgrundes des überwiegenden privaten Interesses vor, nämlich für die Bearbeitung von Personendaten zu nicht personenbezogenen Zwecken, insbesondere in der Forschung, Planung und Statistik. Vorausgesetzt wird hierbei, dass die Ergebnisse so veröffentlicht werden, dass die betroffenen Personen nicht bestimmbar sind. Grundsätzlich lassen sich somit Personendaten im Rahmen von Art. 13 Abs. 2 lit. e DSG zu Zwecken der Messung von Kundenfrequenzen sowie zur Analyse des Verhaltens einzelner Kategorien von Kunden analysieren. Nicht jedoch lässt sich damit eine Bearbeitung zur Auswertung des persönlichen Verhaltens einzelner Kunden sowie zur Zustellung auf die Person bezogener Werbung rechtfertigen. 4.

Rahmenbedingungen

Damit sich ein Datenbearbeiter auf den Rechtfertigungsgrund der Datenbearbeitung zu nicht personenbezogenen Zwecken berufen und auf die Einholung der Einwilligung der betroffenen Person verzichten kann, ist der technischen Ausgestaltung besondere Aufmerksamkeit zu widmen. Auf sämtliche

Punkte

einzugehen

würde

den

Rahmen

vorliegenden

Artikels

sprengen,

Newsletter November 2016 Seite 15 | 16

weshalb beispielhaft lediglich die wichtigsten Punkte kurz angeschnitten werden:  Die erhobenen Daten sind so früh wie möglich vollständig zu anonymisieren. Das bedeutet, es darf kein Rückschluss auf eine konkrete Einzelperson mehr möglich sein, insbesondere auch nicht in Verbindung mit anderweitig erhobenen Daten. Eine Verknüpfung mit anderweitig erhobenen Daten sollte aus diesem Blickwinkel generell nur mit grosser Zurückhaltung erfolgen;  In diesem Sinne hat die Auswertung der Daten auch lediglich in Kategorien zu erfolgen und nicht auf eine Einzelperson ausgerichtet zu sein;  Unabhängig vom Verzicht auf die Einholung der Einwilligung ist sicherzustellen, dass die betroffenen Personen umfassend über die Bearbeitung der Daten informiert sind. Dies erfolgt beispielsweise mittels gut sichtbaren Hinweisschildern inklusive Hyperlink für weitere Informationen sowie Flugblätter vor Ort. Auch sind die betroffenen Personen über ihre Rechte nach Datenschutzgesetz zu informieren (Auskunftsrecht, Löschungsrecht, Kontaktpersonen etc.);  Es empfiehlt sich stets auch, die Möglichkeiten aufzuzeigen, wie eine Teilnahme an der Datenbearbeitung verhindert werden kann („opting out“). Bei Systemen zur Aufzeichnung von MACAdressen kann dies beispielsweise mit einem Hinweis erfolgen, dass sämtliche WLAN- und/oder Bluethooth-Adapter am Gerät des Kunden während seines Besuches des Geschäfts deaktiviert werden können. 5.

Fazit

Die Wichtigkeit, die Kundenbedürfnisse zu kennen, ist zweifelsfrei von grosser Relevanz. Die heutigen technischen Möglichkeiten erlauben Marktforschung auf hohem Niveau mit zahlreichen Auswertungsvarianten. Die Datenerhebung wirft jedoch grosse datenschutzrechtliche Problemstellungen auf. Nicht zuletzt zur Vermeidung von Reputationsschäden, ist von Anfang an darauf zu achten, sowohl den technischen als auch den rechtlichen Rahmenbedingungen hohe Aufmerksamkeit zu schenken. Unsere Spezialisten im Bereich Datenschutz und Compliance stehen Ihnen hierzu gerne beratend zur Seite.

Bratschi Wiederkehr & Buob AG ist eine führende Schweizer Anwaltskanzlei mit über 75 Anwältinnen und Anwälten in den Wirtschaftszentren der Schweiz, bietet schweizerischen und ausländischen Unternehmen und Privatpersonen professionelle Beratung und Vertretung in allen Bereichen des Wirtschafts-rechts, im Steuerrecht und im öffentlichen Recht sowie in notariellen Angelegenheiten. Basel Lange Gasse 15 CH-4052 Basel Telefon +41 58 258 19 00 Fax +41 58 258 19 99 [email protected]

Bern Bollwerk 15 Postfach 5576 CH-3001 Bern Telefon +41 58 258 16 00 Fax +41 58 258 16 99 [email protected]

Lausanne Avenue Mon-Repos 14 Postfach 5507 CH-1002 Lausanne Téléfone +41 58 258 17 00 Téléfax +41 58 258 17 99 [email protected]

© Bratschi Wiederkehr & Buob AG, Vervielfältigung bei Angabe der Quelle gestattet

St. Gallen Vadianstrasse 44 Postfach 262 CH-9001 St. Gallen Telefon +41 58 258 14 00 Fax +41 58 258 14 99 [email protected]

Zug Industriestrasse 24 CH-6300 Zug Telefon +41 58 258 18 00 Fax +41 58 258 18 99 [email protected]

Zürich Bahnhofstrasse 70 Postfach CH-8021 Zürich Telefon +41 58 258 10 00 Fax +41 58 258 10 99 [email protected] www.bratschi-law.ch

Newsletter November 2016 Seite 16 | 16