EU-DSGVO Zusammenfassung

Zusammenfassung der EU-DSGVO für Schweizer Unternehmen

Am 25. Mai 2018 trat die neue Datenschutz-Grundverordnung (EU-DSGVO) der Europäischen Union (EU) in Kraft, welche den Datenschutz in der EU verschärft. Die EU-DSGVO ist auch auf Unternehmen in der Schweiz anwendbar, wenn z.B. Daten im Zusammenhang mit Waren oder Dienstleistungen bearbeitet werden, die für Personen in der EU bestimmt sind, oder die Datenbearbeitung betrifft die Beobachtung des Verhaltens von Internetnutzerinnen und –nutzern in der EU. Im Mai wurden deshalb zahlreiche Schweizer Unternehmen aktiv und unzählige E-Mails bezüglich EU-DSGVO wurden an Millionen von Empfängern versandt. Zum Teil waren die darin enthaltenen Informationen aber falsch, weshalb wir nachfolgend nochmals eine Zusammenfassung der EU-DSGVO veröffentlichen.

Betroffene Unternehmen

Der Anwendungsbereich der EU-DSGVO ausserhalb der EU ist zur Zeit nicht vollständig klar. Zentrales Kriterium ist dabei die Absicht des Verantwortlichen, Personen im Gebiet der Union Waren oder Dienstleistungen anzubieten oder ihr Verhalten zu beobachten. In der Praxis findet die EU-DSGVO wohl dann Anwendung, wenn eine sich in einem Mitgliedstaat der EU aufhaltende Person, unabhängig von ihrer Staatsangehörigkeit oder ihres Wohnsitzes, direkt von einer Datenbearbeitung betroffen ist.

Gemäss EU-DSGVO unterliegt jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, den Vorschriften der Datenschutzgesetzgebung. Die EU-DSGVO erlegt strengere Vorkehrungen in Bezug auf personenbezogene Daten auf als das Schweizer Datenschutzgesetz. Ist für ein Schweizer Unternehmen die EU-DSGVO anwendbar, müssen die Datenschutzbestimmungen des Unternehmens auf das jeweils weitgehendere Gesetz (DSG Schweiz/EU-DSGVO) ausgerichtet werden.

Wichtigste Punkte: Zusammenfassung der EU-DSGVO

Bei der EU-DSGVO sind folgende fortführende Punkte zu berücksichtigen:

  • Rechenschaftspflicht: Das Unternehmen muss die Einhaltung der allgemeinen Grundsätze aktiv nachweisen können.
    • Das Unternehmen muss Kontrollmechanismen und –systeme innerhalb seiner Einrichtung etablieren, um sicherzustellen, dass die Konformität der Datenbearbeitung mit der EU-DSGVO während des gesamten Vorgangs gewährleistet ist, und um dies nachweisen zu können.
    • „Privacy by design“: Die Grundsätze des Datenschutzes müssen schon bei der technischen Ausgestaltung berücksichtigt werden
    • „Privacy by default“: Produkte und Dienstleistungen müssen mit datenschutzfreundlichen Voreinstellungen angeboten werden
    • Führung eines elektronischen Registers der Datenbearbeitungstätigkeiten (grundsätzlich nur für Unternehmen mit mehr als 250 Beschäftigten)
    • Durchführung einer Datenschutz-Folgenabschätzung in bestimmten Fällen.
  • Sicherstellung der Sicherheit der Daten
    • Treffen von angemessenen organisatorischen und technischen Massnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (z.B. Verschlüsselung oder Pseudonymisierung und Mittel zur dauerhaften Gewährleistung der Vertraulichkeit, der Integrität, der Verfügbarkeit und der Belastbarkeit der Systeme).
    • Sicherstellung, dass Personen im Unternehmen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten.
  • Meldepflicht bei „data breaches“ an Behörden und Betroffene
  • Pflicht zur Benennung eines Vertreters in der EU (mit verschiedenen Ausnahmen)

Konkret hat das z.B. folgende Konsequenzen im Bereich Online-Marketing:

  • Elektronischer Newsletter: Double Opt-in vorgeschrieben
  • Cookies auf Website: Cookies dürfen erst aktiv sein, wenn der Nutzer der Website einen Hinweis auf die Verwendung von Cookies (mit Verweis auf Datenschutzerklärung) angezeigt bekommen hat. Wir empfehlen, diesen Hinweis mit einem „OK“-Feld zu versehen, welches der Nutzer anklicken muss.

Mit der Einführung eines Datenschutz-Managements-Systems stellen Sie die Konformität schnell und nachhaltig sicher.

Für die Schulung Ihrer Mitarbeiter bezüglich EU-DSGVO empfehlen wir unser E-Learing Kurs: Grundwissen EU-DSGVO für Schweizer Unternehmen

Bildnachweis: Scott Webb, Unsplash

E-Learning zur EU-DSGVO für Schweizer Unternehmen

Die neue EU-DSGVO fordert von den Unternehmen, ihre Mitarbeiter bezüglich Datenschutz zu schulen und die entsprechenden Schulungsnachweise zu erbringen. ADVANIS hat dazu einen Kurs erstellt, der die wichtigsten Punkte, welche Ihre Mitarbeiter zur EU-DSGVO wissen müssen abdeckt. Das E-Learning zur EU-DSGVO zielt darauf ab, Mitarbeitenden von Unternehmen in der Schweiz, welche von der EU-Datenschutzverordnung betroffen sind, das nötige Basiswissen bezüglich Datenschutz zu vermitteln. Weiterlesen

Hält Excel der DSGVO stand?

EU-Datenschutz-Grundverordnung: Hält die Kundenliste auf Excel den Anforderungen stand?

Angesichts der fortschreitenden Digitalisierung war eine Anpassung der Datenschutzrechte notwendig, welche nun nach einer zweijährigen Übergangszeit am 25. Mai 2018 mit der neuen EU-Datenschutz-Grundverordnung (DSGVO) in Kraft tritt. Die künftigen Vorgaben stellen unter anderem hohe Anforderungen an die IT-Systeme, die bisher in Unternehmen genutzt werden. Welche Änderungen hierzu beachtet werden müssen und ob das gute alte Excel den Anforderungen Stand hält, erläutert der folgende Ratgeber. Weiterlesen

Datenschutz und Software Evaluation

Die neuen Vorgaben zum Datenschutz greifen schon bei der Auswahl einer neuen Unternehmenssoftware

Die neuen Datenschutzgesetze der Schweiz und der EU verlangen, den Datenschutz schon während der Planungsphase zu berücksichtigen. Dies wird als «Privacy by Design» betitelt. Dieser Begriff vermittelt aber den falschen Eindruck, dass hier einzig die Softwarehersteller in die Pflicht genommen werden. Alle Unternehmen, welche Software zur Bearbeitung von Personendaten einsetzen (CRM-, ERP-, HR- und MCM-Lösungen), sind davon betroffen. Besonders bei der Evaluation und Einführung einer neuen Software ist dem Datenschutz schon früh Rechnung zu tragen. Nicht jede Software erfüllt per se die neuen Anforderungen. Weiterlesen

Datenschutzrichtlinie EU-DSGVO für Schweizer KMU

Zwei Fliegen auf einen Schlag: EU-DSGVO und das neue CH-DSG gleichzeitig einführen

Die Umsetzung der EU-Datenschutz-Grundverordnung (EU-DSGVO) muss bis am 25. Mai 2018 vollzogen sein. Davon betroffen sind fast alle Schweizer Unternehmen und somit auch eine Vielzahl von KMUs. Zudem tritt voraussichtlich dieses Jahr noch das überarbeitete schweizerische Datenschutzgesetz in Kraft. Wäre es da nicht wünschenswert, gleich beides auf einmal zu erledigen?

CRM auf Allzeithoch

CRM Investitionen in der Schweiz auf Allzeithoch

Digitalisierung treibt CRM-Projekte

Gut 70% der Schweizer Unternehmen planen, ihre CRM Investitionen in den nächsten Monaten zu erhöhen. Nie zuvor wurde im Rahmen der Swiss Marketing Leadership Studie (ehemals Swiss CRM) eine so hohe Bereitschaft für CRM Investitionen ausgewiesen. Der wohl wichtigste Grund dafür ist die digitale Transformation mit welcher CRM in einer engen Wechselbeziehung steht. Denn das Kundenbeziehungsmanagement resp. CRM ist eine der wesentlichen Voraussetzungen Weiterlesen