EU-Datenschutz-Grundverordnung (DSGVO)
Haben Sie in den vergangenen Tagen E-Mails erhalten, die Sie auf die seit dem 25. Mai 2018 geltende EU-Datenschutz-Grundverordnung (DSGVO) hinwiesen? Ganz bestimmt. Und auch wir beim VSEI, nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Deshalb einige Details zum Thema.
Worum geht es und welche schweizerischen Unternehmen sind von dieser DSGVO betroffen?
1. Sämtliche Akteure, die auf dem Gebiet der EU tätig sind, müssen diese Regelungen beachten, da diese unmittelbar anwendbar sind.
2. Mit den neuen Bestimmungen erhalten Bürgerinnen und Bürger mehr Kontrolle über ihre Personendaten.
3. Die DSGVO nimmt Unternehmen vermehrt in die Verantwortung.
4. Die Rolle der Datenschutzbehörden wird gestärkt.
Welche Unternehmen sind betroffen?
Schweizer Unternehmen müssen sich an die DSGVO halten, wenn sie personenbezogene Daten von natürlichen Personen verarbeiten, die sich in der EU befinden, und falls die Verarbeitung dazu dient:
1. Diesen Personen Waren oder Dienstleistungen anzubieten (gegen Bezahlung oder unentgeltlich) oder
2. das Verhalten dieser Personen zu verfolgen, sofern dieses Verhalten in den Mitgliedstaaten der EU erfolgt.
Um zu bestimmen, ob die Aktivitäten eines Unternehmens, das seinen Sitz ausserhalb der EU hat, in den Anwendungsbereich der DSGVO fallen, müssen die Firmeninhaber analysieren, ob eine Absicht besteht, Waren oder Dienstleistungen in die EU zu verkaufen. Hierbei können verschiedene Hinweise geprüft werden (z. B. die Erwähnung von Kunden, die sich in den Mitgliedstaaten befinden oder von einer in der EU gängigen Währung). Sie müssten analysieren, ob ein klarer Wille erkennbar ist, das Verhalten von natürlichen Personen im EU-Raum zu verfolgen (z. B. wenn sie die Nutzung von Profiling-Tools oder Google Analytics feststellen).
Was müssen die betroffenen schweizerischen Firmen unternehmen?
Schweizerische Firmen, die von der neuen EU-Verordnung betroffen sind, müssen ab dem 25. Mai 2018 folgende Pflichten erfüllen:
1. Informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden,
2. «Privacy by design (Datenschutz bei Design)» und «Privacy by default (Privatsphäre als Standard)» garantieren,
3. einen Vertreter in der EU benennen,
4. ein Verzeichnis der Verarbeitungstätigkeiten erstellen,
5. Verletzungen des Datenschutzes an die Aufsichtsbehörde melden und
6. eine Datenschutz-Folgenabschätzung durchführen.
Die Geldbusse, die Unternehmen im Fall einer Datenschutzverletzung zahlen müssen, kann bis zu 4% des weltweiten Jahresumsatzes im vergangenen Geschäftsjahr betragen.
Wie geht es weiter?
Derzeit wird das schweizerische Datenschutzgesetz überarbeitet. Wann das überarbeitete Gesetz in Kraft treten wird, ist noch nicht klar. Firmen, die sich aber bereits heute auf die DSGVO einstellen, dürften es dann leichter haben.
Weitere Informationen finden Sie auf der Seite des Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)