Datenschutz in Europa: Die neuen Pflichten der Unternehmen

Die EU-Datenschutzregelung betrifft auch in der Schweiz ansässige KMU. Diese müssen ab dem 25. Mai 2018 sieben gesetzliche Vorgaben einhalten, andernfalls drohen Geldbussen.

Ihr Unternehmen verwendet personenbezogene Daten von natürlichen Personen, die sich in der EU befinden? Diese Datenverarbeitung geschieht im Zusammenhang mit einem Angebot über Waren oder Dienstleistungen oder mit dem Ziel, das Verhalten von natürlichen Personen im EU-Raum zu verfolgen? Ist das der Fall, so könnten Sie sehr wahrscheinlich von der neuen Datenschutz-Grundverordnung (DSGVO) der EU betroffen sein. Viele Schweizer KMU arbeiten derzeit daran, ihre Aktivitäten – insbesondere ihre Website – mit der DSGVO in Einklang zu bringen, die am 25. Mai 2018 in Kraft treten wird.

Um zu bestimmen, ob ein Unternehmen in den Anwendungsbereich der DSGVO fällt, ist es wichtig, ob sich die natürlichen Personen, deren Daten verarbeitet werden, in der EU befinden, und ob die Absicht besteht, Personen im EU-Raum anzusprechen. Informationen, die KMU dabei zu helfen herauszufinden, ob sie diesem Gesetz unterstellt sind, finden sich hier.

Laut Monique Cossali Sauvain, Chefin des Fachbereichs Rechtsetzungsprojekte und ‑methodik beim Bundesamt für Justiz, sind die Firmengrösse und die Art der verarbeiteten Daten nicht relevant für die Anwendung der DSGVO. „In der Praxis dürfte diese Regelung grundsätzlich nicht für kleine Geschäfte wie eine Bäckerei oder einen Coiffeursalon gelten: Diese Läden bieten keine Güter oder Dienstleistungen für Personen in der EU an und verfolgen auch nicht deren Verhalten. Dagegen könnte sie für einen kleinen Entwickler einer Dating-App gelten, wenn dieser Dienstleistungen für in der EU wohnhafte Personen anbietet.“

Unternehmen, die in den Anwendungsbereich der DSGVO fallen, müssen sieben zentrale Pflichten einhalten.

  1. Informieren und die Einwilligung der betroffenen Person einholen

Wenn die Legitimität einer Datenverarbeitung auf der Einwilligung der betroffenen Person beruht, muss diese freiwillig gegeben werden und auf einer ausführlichen, erkennbaren und bestimmten Information beruhen. Sie hat aktiv und ausdrücklich zu erfolgen. Hingegen erfordert sie keine bestimmte Form und kann auch mündlich gegeben werden. Wichtig ist, dass die Firma die Einwilligung nachweisen kann. Und es muss jederzeit möglich sein, sie zu widerrufen.

  1. „Privacy by design“ und „Privacy by default“ gewährleisten

Schon bei der Planung der Datenverarbeitung muss das Unternehmen technische und organisatorische Massnahmen ergreifen, um die Einhaltung der DSGVO sicherzustellen und die Daten der betroffenen Personen zu schützen (Privacy by design). Darüber hinaus muss es über Voreinstellungen gewährleisten, dass standardmässig nur Daten erhoben werden, die für den jeweiligen Verwendungszweck erforderlich sind (Privacy by default).

  1. Einen Vertreter in der EU ernennen

Die Pflicht, einen Vertreter in der EU zu benennen, entfällt, wenn die Datenverarbeitung nur gelegentlich erfolgt, keine besonderen Datenkategorien betrifft und nahezu kein Risiko mit sich bringt.

  1. Ein Verzeichnis der Verarbeitungstätigkeiten erstellen

Das Unternehmen oder seine Zwischenhändler müssen eine Übersicht mit einer Reihe von Informationen zu den Methoden der Datenverarbeitung führen.

  1. Verstösse gegen den Datenschutz an die Aufsichtsbehörde melden

Die Firma muss schnelle Mechanismen vorsehen, mit denen die betroffenen Personen und die zuständigen Aufsichtsbehörden im Falle einer Datenschutzverletzung benachrichtigt werden.

  1. Eine Datenschutz-Folgenabschätzung durchführen

Eine Art der Datenverarbeitung, die ein hohes Risiko mit sich bringt, dass Rechte und Freiheiten verletzt werden könnten, muss einer Folgenabschätzung unterzogen werden.

  1. Bei Verstössen gegen die DSGVO Geldbussen zahlen

Die Geldbusse, die Unternehmen im Fall einer Datenschutzverletzung zahlen müssen, kann bis zu 4% des weltweiten Jahresumsatzes im vergangenen Geschäftsjahr betragen.

Eine gute Nachricht für alle Firmen, die sich jetzt an die EU-Verordnung anpassen: Die Revisionen von internen Verfahren, Richtlinien, Verträgen und Schweigepflichterklärungen, die sie am Ende durchgeführt haben werden, dürften auch den künftigen schweizerischen Anforderungen in diesem Bereich entsprechen. Die Kommission der politischen Institutionen des Nationalrates hat sich im Januar 2018 für eine Revision des Datenschutzrechtes in zwei Etappen ausgesprochen. Diejenigen Unternehmen, die sich an die DSGVO anpassen, werden folglich für diese Revision bereit sein. Vor dem Hintergrund der zunehmenden Digitalisierung der Unternehmen und ihrer Aktivitäten in der Verarbeitung personenbezogener Daten ist eine solche Reform wichtig für den Schutz der Rechte natürlicher Personen.

Für weitere Fragen zu diesem Thema steht Ihnen International HR Services AG gerne zur Verfügung.