DSGVO: Informationen für die Schweiz
Datenschutz Grundverordnung (DSGVO) der EU
Kaum ein Schweizer Unternehmen, das nicht vom neuen Datenschutzgesetz betroffen ist, das am 25. Mai in der EU zur Anwendung kommt. Sie soll die Personendaten der EU-Bürger besser schützen. Für die Unternehmen bedeutet dies, mehr Arbeit und Bürokratie. Wer sich nicht konform verhält, dem drohen drakonische Strafen: Bis zu 4 Prozent des Jahresumsatzes oder bis zu 20 Millionen Euro Bussen können im Extremfall ausgesprochen werden. Das von langer Hand vorbereitete Regelwerk tangiert aber nicht nur die Firmen in der EU, sondern auch die meisten Schweizer Unternehmen, selbst die, die keine Niederlassungen in der EU unterhalten. Hierzulande steckt die Revision des Schweizerischen Datenschutzgesetzes (DSG) derzeit noch in der Vernehmlassung. Der Bundesrat wird im August seinen Vorschlag präsentieren. Voraussichtlich wird die Schweiz die EU-Verordnung inhaltlich zum grossen Teil übernehmen. Doch was ist die DSGVO überhaupt? Wann tritt sie in Kraft? Und wen betrifft sie? Wir klären die wichtigsten Fragen:
Die 7 wichtigsten Fragen und Antworten (Quelle: https://www.edoeb.admin.ch/ t3n.de / nzz.ch/)
Was ist die DSGVO?
DSGVO ist die geläufige Abkürzung für die Datenschutz-Grundverordnung. Mit der DSGVO will die Europäische Union einen einheitlichen Rechtsrahmen für die Verarbeitung und Speicherung personenbezogener Daten schaffen.
Wann tritt die DSGVO in Kraft?
Die DSGVO ist bereits in Kraft getreten, entfaltet jedoch erst mit dem Stichtag am 25. Mai 2018 ihre Wirkung. Es gibt weder eine verlängerte Übergangsfrist noch sonstige Milderungsgründe für Unternehmen, die den Umstieg verpasst haben.
Was bedeutet die DSGVO konkret?
Mit der DSGVO erwarten Unternehmen unter anderem erhöhte Dokumentationspflichten. Sie müssen jederzeit in der Lage sein, die Rechtmässigkeit ihrer Datenverarbeitungstätigkeiten gegenüber Aufsichtsbehörden nachzuweisen.
Wen betrifft die DSGVO?
Die DSGVO betrifft alle Unternehmen, die personenbezogenen Daten von Mitarbeitern oder Kunden erfassen und speichern. Darunter fallen traditionelle Betriebe genauso wie Agenturen, Onlineshops, Hoster und Technologie-Startups.
Warum ist die DSGVO wichtig für mich?
Wer die ordnungsgemässe Verarbeitung von Daten nicht nachweisen kann oder wichtige Belege verliert, riskiert je nach Schwere der Verstösse empfindliche Bussgelder bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes.
Brauche ich einen Datenschutzbeauftragten?
Einen Datenschutzbeauftragten brauchen laut Artikel 37 der DSGVO alle Unternehmen, in denen personenbezogene Daten automatisiert verarbeitet werden. Darunter fallen beispielsweise Namen, E-Mail-Adressen, Kontonummern oder Standortdaten von Kunden. Es gibt aber eine Ausnahme: Wer weniger als zehn Mitarbeiter regelmässig beschäftigt, braucht keinen Datenschutzbeauftragten.
Was kann ich tun, um mich abzusichern?
Unternehmen haben weder Zeit noch Lust, sich mit stundenlangen Beratergesprächen oder oft teuren Seminaren auf die DSGVO vorzubereiten. Gleiches gilt für das lästige Erstellen komplett neuer Verträge und Dokumente. Daher hat t3n mit den zertifizierten Datenschutzexperten von audatis Consulting ein DSGVO-Rettungspaket inklusive Vorlagen und einer webbasierten Datenschutz-Software erarbeitet.
Richtlinien
Auftragsverarbeitung
Anwendbarkeit auf Schweizer Unternehmen (Art. 3 und 27 DSGVO)
Niederlassung in der EU (Artikel 3 § 1; Erwägung 22):
Bearbeitung personenbezogener Daten im Rahmen der Tätigkeit einer europäischen Zweigstelle oder einer Tochtergesellschaft eines schweizerischen Unternehmens in der Europäischen Union;
Auftragsverarbeiter: Bearbeitung personenbezogener Daten durch ein Schweizer Unternehmen im Auftrag eines europäischen Unternehmens.
Ein Auftragsverarbeiter im EU-Gebiet (z.B. IT-Dienstleister), der personenbezogene Daten für ein Schweizer Unternehmen bearbeitet, untersteht der DSGVO unabhängig davon, ob er Daten von Betroffenen in der Schweiz oder in der Union verarbeitet (Art. 3 § 1 DSGVO). Er muss dann sowohl die in der Verordnung festgelegten besonderen Pflichten der Auftragsverarbeiter (vgl. Artikel 28, 30 §2und 37 DSGVO) als auch die sich aus dem schweizerischen Recht ergebenden Anforderungen (vgl. Art. 10a DSG) einhalten. Der Auftragsverarbeiter wird wahrscheinlich im Falle einer Datenschutzverletzung die Verantwortung übernehmen müssen. Dies bedeutet jedoch nicht, dass der für die Verarbeitung Verantwortliche in der Schweiz der Verordnung unterliegt.
Sicherheit der Bearbeitungsvorgänge
Zielgruppe in der EU (Artikel 3 § 2; Erwägungen 23 und 24):
Bearbeitung personenbezogener Daten von Personen mit Aufenthalt in der EU durch ein Unternehmen mit Sitz in der Schweiz, soweit es diese Daten für seine Waren- und Dienstleistungsangebote in der EU bearbeitet, unabhängig davon, ob eine Zahlungerforderlich ist oder nicht (Art. 3 § 2 Buchstabe a) DSGVO);
Daten Exportfunktionen
Kundendaten
Management Zugriffsdaten von Benutzern und Administratoren (sind auch Benutzer)
Newsletter
Entgegen der allgemeinen Meinung ist es NICHT notwendig die Bewilligung für den Newsletter Versand von Kunden ERNEUT anzufordern wenn Sie das vorher schon einmal gemacht haben. Die erste Bewilligung ist auch nach der Einführung von DSGVO gültig.