Datenschutz: Schweizer Firmen müssen handeln

» Von Carmen de la Cruz Böhringer, 31.10.2017 14:35.

weitere Artikel

Bildergalerie

Bildergalerie

Datenschutz in der EU

Die neue europäische Datenschutzgrundverordnung (EU-DSGVO)

Der Datenschutz in der Europäischen Union ist bisher in einer EU-Richtlinie geregelt worden. Im Gegensatz zur Richtlinie wird die neue Datenschutzgrundverordnung (EU-DSGVO) ab dem Zeitpunkt, zu welchem sie direkte Wirkung für den Bürger entfaltet und er sich darauf berufen kann – ab 25. Mai 2018 –, in den EU-Mitgliedstaaten unmittelbar anwendbar sein. Die neue EU-DSGVO stärkt – ebenso wie der VE-DSG – die Rechte der Betroffenen. So werden die Informationsrechte stark ausgebaut: Nebst den bereits bestehenden Auskunftsrechten sieht die Grundverordnung auch eine proaktive Informationspflicht des Datenbearbeiters vor. Informationen, welche sich auf eine Datenbearbeitung beziehen, sind ausserdem in einer leicht verständlichen Sprache den Betroffenen zu übermitteln.

Dies heisst, dass AGB und Vertragsdokumente kundenfreundlich abgefasst sein müssen. Zudem sieht die EU-DSGVO vor, dass Betroffene ein «Recht auf Vergessen» haben, indem ihnen ein Recht auf Löschung zugestanden wird. All dies führt dazu, dass die Datenschutz-Compliance für die Datenbearbeiter ausgebaut werden muss. In diesem Zusammenhang werden spezielle Datenschutzbeauftragte eingesetzt. Wenn Unternehmen vornehmlich Personendaten verarbeiten, sind sie verpflichtet, einen betriebsinternen Datenschutzbeauftragten zu ernennen.

Nachfolgend wichtige Punkte in Kürze:

Welche Bearbeitungen von Personendaten fallen unter die EU-DSGVO?

Im Gegensatz zur bisherigen Richtlinie ist der Anwendungsbereich der EUDSGVO massiv ausgedehnt worden: Die EU-DSGVO entfaltet nicht nur für EU-Bürger und EU-Bürgerinnen Wirkung und ist von Unternehmen innerhalb der EU einzuhalten. Neu gilt die EU-DSGV auch dann und für solche Unternehmen, die

  • Personendaten im Rahmen der Tätigkeit einer EU-Niederlassung eines Unternehmens bearbeiten, unabhängig davon, wo die Bearbeitung effektiv erfolgt;
  • Personendaten von Personen bearbeiten, die sich in der EU befinden, wenn diesen Personen Waren oder Dienstleistungen angeboten werden;
  • Personendaten von betroffenen Personen beobachten, soweit ihr Verhalten in der EU erfolgt.

Wichtiger Hinweis: Schweizer Unternehmen, die Dienstleistungen oder Waren in der EU anbieten und dafür Personendaten bearbeiten, müssen die EU-DSGVO einhalten. Die Bearbeitung der Personendaten muss nicht in der EU erfolgen, sondern kann auch in der Schweiz oder sonst wo ausserhalb der EU vorgenommen werden. Damit fällt ein Grossteil der Schweizer Unternehmen unter den Anwendungsbereich der EU-DSGVO.

Schweizer Unternehmen mit Niederlassungen in der EU, die Personendaten bearbeiten, unterliegen ebenfalls der EU-DSGVO, unabhängig davon, wo die Bearbeitung der Personendaten wirklich erfolgt.

Kann man sich als Nicht-EU-Unternehmen auf den Standpunkt stellen, dass man ausserhalb der EU wohl nicht belangt werden kann, wenn man Personen daten von EU-Personen bearbeitet, in der EU aber keine Niederlassung hat?

Dem ist nicht so: Die Durchsetzung von Bussen ist möglich, wenn auch nicht ohne Weiteres durchsetzbar. Es bleibt also keine Option, die EU-DSGVO zu vernachlässigen – die Einhaltung und Umsetzung der EU-DSGVO ist ein MUST für die meisten Schweizer Unternehmen.

So kann ein Schweizer Unternehmen der EU-DSGVO unterstellt sein, wenn Datenverarbeitungen in der EU, für einen EU-Kunden in der Schweiz oder bei einem beauftragten Dritten in der EU vorgenommen werden. In jedem Fall wird ein Grossteil der Schweizer Unternehmen von der neuen Regelung betroffen und hat diese umzusetzen.

Datenschutz-Folgeabschätzung

Die Datenschutz-Folgeabschätzung gemäss Art. 35 EU DSGVO soll in der EU als Instrument dienen, um bei Projekten und Produkten mögliche Implikationen auf Personendaten und damit die Endkunden bereits zu Beginn zu prüfen. Ziel der Datenschutz-Folgeabschätzung ist es, das Risiko für Datenschutzverletzungen zu reduzieren und entsprechende Massnahmen schon im Vorherein zu integrieren.

Rechtstipp: Unternehmen müssen sich deshalb bewusst sein, dass bereits im Rahmen des Aufsetzens von Produkten oder Projekten der Datenschutz berücksichtigt werden muss.

Data Breach Notification – Meldepflichten bei Datenschutzverletzungen

Datenschutzverletzungen sind leider heute an der Tagesordnung: Es gibt kaum ein Unternehmen, das nicht schon Datenschutzverletzungen zu beklagen hatte: Rechnungen werden an die falschen Kundenadressen geschickt, Passwörter werden veröffentlicht, Kundendaten analysiert und versehentlich veröffentlicht usw. – Verletzungen gehören heute zum Alltag.

Solche Verletzungen können für Unternehmen zukünftig zu grösseren Problemen führen: Wird der Schutz von Personendaten verletzt, so muss diese Verletzung zukünftig der zuständigen nationalen Datenschutzbehörde gemeldet werden (Art. 33 EU-DSGVO).

Die Meldefrist beträgt 72 Stunden seit Bekanntwerden der Datenschutzverletzung. Die Meldung selbst hat nebst einer detaillierten Beschreibung der Verletzung (soweit vorhanden) auch Kontaktdaten des meldenden Unternehmens zu enthalten, eine Beschreibung der betroffenen Personendaten etc.

Bei einer «Datenpanne», die die Rechte der betroffenen Personen nicht direkt beeinträchtigt, kann eine Meldung auch unterbleiben. Damit soll «die Spreu vom Weizen» getrennt werden, um zu verhindern, dass sich die Datenschutzbehörden mit geringfügigen Verletzungen beschäftigen müssen.

Die nationale Datenschutzbehörde muss sich aufgrund der Meldung relativ rasch ein Bild von der Tragweite der Verletzung machen können. Mögliche Sanktionen oder weitere Schritte müssen gestützt auf die Meldung ergriffen werden können.

Bussenkatalog gemäss EU-DSGVO

Die massiven Bussen, die in der EU-DSGVO vorgesehen sind, haben spürbare Auswirkungen auf die Unternehmen: Datenschutzverletzungen können zu hohen Bussen führen. Damit steigt der Druck, sich gesetzeskonform zu verhalten.

Für einfachere Verletzungen, wie der Verstoss gegen Pflichten des Verarbeiters, gelten Bussen bis zu EUR 10 Mio. oder 2% des weltweiten Umsatzes des vorangegangenen Jahres (Art. 83 EU DSGVO).

Bei schwerwiegenden Verletzungen (Art. 83 EU-DSGVO) drohen Bussen bis zu EUR 20 Mio. oder 4% des weltweiten Jahresumsatzes des vorangegangenen Jahres. Solche Verletzungen sind in etwa Verletzungen gegen die Einwilligungsvorschriften oder der Grundsätze der Datenbearbeitung gemäss EU-DSGVO generell.

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.