Am 25. Mai 2018 trat die neue Datenschutz-Grundverordnung (EU-DSGVO) der Europäischen Union (EU) in Kraft, welche den Datenschutz in der EU verschärft. Die EU-DSGVO ist auch auf Unternehmen in der Schweiz anwendbar, wenn z.B. Daten im Zusammenhang mit Waren oder Dienstleistungen bearbeitet werden, die für Personen in der EU bestimmt sind, oder die Datenbearbeitung betrifft die Beobachtung des Verhaltens von Internetnutzerinnen und –nutzern in der EU. Im Mai wurden deshalb zahlreiche Schweizer Unternehmen aktiv und unzählige E-Mails bezüglich EU-DSGVO wurden an Millionen von Empfängern versandt. Zum Teil waren die darin enthaltenen Informationen aber falsch, weshalb wir nachfolgend nochmals eine Zusammenfassung der EU-DSGVO veröffentlichen.
Betroffene Unternehmen
Der Anwendungsbereich der EU-DSGVO ausserhalb der EU ist zur Zeit nicht vollständig klar. Zentrales Kriterium ist dabei die Absicht des Verantwortlichen, Personen im Gebiet der Union Waren oder Dienstleistungen anzubieten oder ihr Verhalten zu beobachten. In der Praxis findet die EU-DSGVO wohl dann Anwendung, wenn eine sich in einem Mitgliedstaat der EU aufhaltende Person, unabhängig von ihrer Staatsangehörigkeit oder ihres Wohnsitzes, direkt von einer Datenbearbeitung betroffen ist.
Gemäss EU-DSGVO unterliegt jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, den Vorschriften der Datenschutzgesetzgebung. Die EU-DSGVO erlegt strengere Vorkehrungen in Bezug auf personenbezogene Daten auf als das Schweizer Datenschutzgesetz. Ist für ein Schweizer Unternehmen die EU-DSGVO anwendbar, müssen die Datenschutzbestimmungen des Unternehmens auf das jeweils weitgehendere Gesetz (DSG Schweiz/EU-DSGVO) ausgerichtet werden.
Wichtigste Punkte: Zusammenfassung der EU-DSGVO
Bei der EU-DSGVO sind folgende fortführende Punkte zu berücksichtigen:
- Rechenschaftspflicht: Das Unternehmen muss die Einhaltung der allgemeinen Grundsätze aktiv nachweisen können.
- Das Unternehmen muss Kontrollmechanismen und –systeme innerhalb seiner Einrichtung etablieren, um sicherzustellen, dass die Konformität der Datenbearbeitung mit der EU-DSGVO während des gesamten Vorgangs gewährleistet ist, und um dies nachweisen zu können.
- „Privacy by design“: Die Grundsätze des Datenschutzes müssen schon bei der technischen Ausgestaltung berücksichtigt werden
- „Privacy by default“: Produkte und Dienstleistungen müssen mit datenschutzfreundlichen Voreinstellungen angeboten werden
- Führung eines elektronischen Registers der Datenbearbeitungstätigkeiten (grundsätzlich nur für Unternehmen mit mehr als 250 Beschäftigten)
- Durchführung einer Datenschutz-Folgenabschätzung in bestimmten Fällen.
- Sicherstellung der Sicherheit der Daten
- Treffen von angemessenen organisatorischen und technischen Massnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (z.B. Verschlüsselung oder Pseudonymisierung und Mittel zur dauerhaften Gewährleistung der Vertraulichkeit, der Integrität, der Verfügbarkeit und der Belastbarkeit der Systeme).
- Sicherstellung, dass Personen im Unternehmen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten.
- Meldepflicht bei „data breaches“ an Behörden und Betroffene
- Pflicht zur Benennung eines Vertreters in der EU (mit verschiedenen Ausnahmen)
Konkret hat das z.B. folgende Konsequenzen im Bereich Online-Marketing:
- Elektronischer Newsletter: Double Opt-in vorgeschrieben
- Cookies auf Website: Cookies dürfen erst aktiv sein, wenn der Nutzer der Website einen Hinweis auf die Verwendung von Cookies (mit Verweis auf Datenschutzerklärung) angezeigt bekommen hat. Wir empfehlen, diesen Hinweis mit einem „OK“-Feld zu versehen, welches der Nutzer anklicken muss.
Mit der Einführung eines Datenschutz-Managements-Systems stellen Sie die Konformität schnell und nachhaltig sicher.
Für die Schulung Ihrer Mitarbeiter bezüglich EU-DSGVO empfehlen wir unser E-Learing Kurs: Grundwissen EU-DSGVO für Schweizer Unternehmen
Bildnachweis: Scott Webb, Unsplash
