Seit 25. Mai 2018 muss die EU Datenschutz-Grundverordnung (DSGVO) umgesetzt sein. Was bedeutet das für Schweizer Unternehmen?

Die DSGVO ist auch für Schweizer Unternehmen direkt anwendbar, wenn:

  • diese Waren oder Dienstleistungen in der EU anbieten (die Angabe des Preises in Euro genügt) und dazu personenbezogene Daten (z.B. Adressdaten, Kundenprofil) bearbeiten (Marktortprinzip: Art. 3 Abs. 2 DSGVO).

  • diese das Verhalten von Website-Besuchern aus der EU sammeln und automatisiert auswerten (Tracking durch Cookies, Profiling mit Tools wie Google Analytics etc.).

  • diese im Auftrag oder als Konzernzentrale resp. -Mitglied eines in der EU domizilierten Unternehmens personenbezogene Daten bearbeiten.

Wenn einer dieser Fälle auf Ihr Unternehmen zutrifft, besteht unmittelbar Handlungsbedarf.

Was fordert die DSGVO von Schweizer Unternehmen?

  • Ausbau der Rechte der betroffenen Personen (Aufklärungspflichten, Transparenz, Zweckbindung, ausdrückliche Einwilligung, Art. 5/6 DSGVO).

  • Datenhaltung nur solange es der Zweck erfordert (Speicherbegrenzung, Art. 5 DSGVO).

  • Datenschutz durch Technikgestaltung (Privacy by Design; Art. 25 Abs. 1 DSGVO) und datenschutzfreundliche Voreinstellungen (Privacy by Default; Art. 25 Abs. 2 DSGVO).

  • Big Data: Pflicht zur vorgängigen Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO).

  • Benennung eines Datenschutzbeauftragten (Art. 37 DSGVO). Gegebenenfalls muss ein Vertreter des Unternehmens in der EU bestimmt werden (Art. 27 Abs. 1 DSGVO).

  • Auslagerung der Datenverarbeitung (Auftragsverarbeitung) nur auf der Grundlage eines Vertrages mit Standardvertragsklausel bei hinreichenden Garantien („Datenschutzsiegel“) des Auftragsdatenverarbeiters (Art. 28 Abs. 1 DSGVO).

  • Keine Unter-Auftragsverarbeitung (Sub-Sub-Akkordanten) ohne schriftliche Genehmigung des Verantwortlichen (Art. 28 Abs. 2 DSGVO).

  • Meldepflichten bei Datenschutzverletzungen an die zuständige Aufsichtsbehörde (Art. 33 DSGVO) sowie direkte Benachrichtigung der betroffenen Personen bei hohem Risiko von Persönlichkeitsverletzungen.

  • Recht der betroffenen Person auf Datenübertragbarkeit in strukturierter, maschinenlesbarer Form (Art. 20 DSGVO).

  • Weitgehende Rechenschaftspflichten über die Verarbeitungsprozesse.

  • Die DSGVO sieht bei Missachtung unter Umständen drakonische Strafen vor.

Das aktuelle Schweizer Datenschutz-Gesetz (DSG) stammt aus dem Jahr 1992. Der rasante technische Fortschritt der vergangenen Jahre hat Lücken des Gesetzes aufgezeigt. Der Bundesrat hat daher Ende 2016 den Entwurf eines angepassten DSG in Vernehmlassung geschickt. Gezwungenermassen lehnen sich die Änderungen an die DSGVO an. Praktisch heisst das, dass Schweizer Unternehmen früher oder später die an die DSGVO angelehnten Schweizer Änderungen ohnehin umsetzen müssen. Andernfalls würde der für die Schweizer Wirtschaft wichtige Datenaustausch mit Unternehmen in der EU übermässig erschwert. Vorteil dieser Entwicklungen ist, dass in wenigen Jah­ren in Europa eine weitgehend einheitliche Regelung des Datenschutzes etabliert sein wird.

Was ist zu tun?

  • Grundlage jedes Datenschutz-Audits ist die Erhebung des aktuellen Zustandes. Welche personenbezogenen Daten sind vorhanden? In welcher Form? Zu welchem Zweck? Wer zeichnet sich verantwortlich? Handelt es sich um besonders schützenswerte Personendaten?

  • Informieren wir auf unserer Website ausreichend die User über die eingesetzten Cookies & Tracking-Methoden? Hier besteht regelmässig Handlungsbedarf.

    Vermutlich verfügen Sie in Ihrem Unternehmen aufgrund der Compliance-Strategie bereits über diese Informationen. Daraus lassen sich die notwendigen Richtlinien und Prozessanpassungen ableiten.

  • Die DSGVO verlangt, dass bestehende Verträge, Datenschutzerklärungen und Abläufe angepasst werden. Unternehmen haben Rechenschaftspflichten.

  • Lassen Sie sich in Ihren datenschutzrechtlichen Fragen kompetent beraten.

DSGVO-Audit

  • Grundlage jedes Datenschutz-Audits ist die Erhebung des aktuellen Zustandes. Welche personenbezogenen Daten sind vorhanden? In welcher Form? Zu welchem Zweck? Wer zeichnet sich verantwortlich? Handelt es sich um besonders schützenswerte Personendaten?

  • Informieren wir auf unserer Website ausreichend die User über die eingesetzten Cookies & Tracking-Methoden? Hier besteht regelmässig Handlungsbedarf.

    Vermutlich verfügen Sie in Ihrem Unternehmen aufgrund der Compliance-Strategie bereits über diese Informationen. Daraus lassen sich die notwendigen Richtlinien und Prozessanpassungen ableiten.

  • Die DSGVO verlangt, dass bestehende Verträge, Datenschutzerklärungen und Abläufe angepasst werden. Unternehmen haben Rechenschaftspflichten.

  • Lassen Sie sich in Ihren datenschutzrechtlichen Fragen kompetent beraten.

zurück