EU-Datenschutzgrundverordnung - die Hindergründe

Die EU-Datenschutzgrundverordnung, die am 25. Mai 2018 in Kraft tritt, bedeutet eine grundlegende Neuordnung. Schweizer Unternehmen sind dadurch in zweifacher Hinsicht betroffen. Erstens werden sie in zahlreichen Fällen direkt dem Recht der Europäischen Union unterstellt sein, auch wenn die Bearbeitung der Daten in der Schweiz stattfindet. Zweitens wird das neue EU-Recht auch in der laufenden Revision des Schweizerischen Datenschutzrechts berücksichtigt werden müssen, damit die Gleichwertigkeit des schweizerischen Datenschutzes mit demjenigen in der EU auch weiterhin gewährleistet ist. Schweizerische Unternehmen sollten sich daher bereits jetzt mit dem neuen EU-Datenschutzrecht und den sich daraus für sie ergebenden möglichen Folgen befassen.

Datenschutzbeauftragter: Unternehmen, deren Kerngeschäft die regelmässige oder systematische Beobachtung von Betroffenen in grossem Umfang ist oder die in grossem umfangsensitive Daten verarbeiten, sind verpflichtet, einen Datenschutzbeauftragten zu ernennen. Beim Beauftragten kann es sich um einen Mitarbeitenden des Unternehmens oder um einen externen Dienstleister handeln. Für eine Unternehmensgruppe kann ein gemeinsamer Datenschutzbeauftragter bestimmt werden. Meldepflicht: Datenschutzverstösse, etwa bei Diebstahl, Verlust oder Offenbarung personenbezogener Daten an Unbefugte, sind innert 72 Stunden an die zuständige Datenschutz-behörde zu melden, ausser die Datenschutzverletzung führt voraussichtlich zu keinem Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen. Zusätzlich müssen die betroffenen Personen selbst benachrichtigt werden, wenn für sie ein hohes Risiko besteht.

Aufzeichnungspflicht: Unternehmen müssen Aufzeichnungen über ihre Datenverarbeitungsaktivitäten führen.  Dies beinhaltet die Dokumentation von Kontaktdaten der für die Verarbeitung Verantwortlichen, die Zwecke der  Datenbearbeitung, die Kategorien der verarbeiteten Daten, der allfälligen Empfänger, an die Daten weitergegeben werden, Datenübermittlungen in EU-Drittländer, die Fristen für die Löschung der verschiedenen Datenkategorien und eine Beschreibung der vorgesehenen technischen und organisatorischen Schutzmassnahmen. Auch Auftragsdatenverarbeiter müssen über die von ihnen im Auftrag ausgeführten Datenverarbeitungen über ähnliche Aufzeichnungen verfügen. Unternehmen mit weniger als 250 Mitarbeitenden sind von dieser Pflicht befreit, wenn die Datenverarbeitung kein Risiko für die betroffenen Personen darstellt und keine besonders schützenswerten Personendaten betrifft.

Privacy by design: Produkte und Services sind so zu erstellen, dass diese standardmässig nur diejenigen personenbezogenen Daten verarbeiten, die für den jeweiligen Zweck erforderlich sind.

Datenschutzfolgenabschätzung: Datenverarbeitungsprozesse, die hohe Risiken für die Rechte und Freiheiten der Betroffenen  beinhalten, bedürfen einer vorgängigen unternehmensinternen  Überprüfung, insbesondere bei der Verwendung neuer Technologien.

Recht auf vergessen werden: Die Durchsetzung des Rechts der Nutzer, Informationen wieder löschen zu lassen, wird erleichtert.

Portabilität: Die Nutzer müssen die Möglichkeit haben, Daten von einem Anbieter zum nächsten mitzunehmen.

Jugendschutz: Grundsätzlich dürfen Kinder unter 16 Jahren Onlinedienste wie Facebook, Video on Demand oder Chatrooms nur mit Zustimmung der Eltern nutzen. Den EU-Staaten steht es jedoch frei, tiefere Alterswerte festzulegen, wobei ein absolutes Mindestalter von 13 Jahren gilt.

One-Stop Shop: Betroffene sollen sich künftig in ihrer Sprache an die Datenschutzbehörde in ihrem Heimatstaat wenden können, auch wenn es um Datenschutzprobleme in einem anderen Mitgliedsstaat geht.
Strafmass: Unternehmen, die gegen die neuen Datenschutz-regeln verstossen, droht eine Geldstrafe von bis zu maximal20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes –je nachdem, welcher Betrag höher ist. Kleineren Unternehmen drohen keine derartigen Sanktionen, wenn es sich um erstmalige, versehentliche oder kleinere Verstösse handelt.