Datenschutz in Europa: Die neuen Pflichten der Unternehmen

Die EU-Datenschutzregelung betrifft auch in der Schweiz ansässige KMU. Diese müssen ab dem 25. Mai 2018 sieben gesetzliche Vorgaben einhalten, andernfalls drohen Geldbussen.

Ein Mann stapelt Teile eines Spiels mit Adressen zu einem Turm, der in Balance bleibt. Das Bild symbolisiert den Datenschutz.

Ihr Unternehmen verwendet personenbezogene Daten von natürlichen Personen, die sich in der EU befinden? Steht diese Datenverarbeitung im Zusammenhang mit einem Angebot über Waren oder Dienstleistungen oder hat sie zum Ziel, das Verhalten von natürlichen Personen im EU-Raum zu verfolgen? Ist das der Fall, so könnten Sie sehr wahrscheinlich von der neuen Datenschutz-Grundverordnung (DSGVO) der EU betroffen sein. Viele Schweizer KMU tun derzeit etwas, um ihre Aktivitäten – insbesondere ihre Website – mit der DSGVO in Einklang zu bringen, die am 25. Mai 2018 in Kraft treten wird. Eines von ihnen ist zum Beispiel der Waadtländer Spieluhrfabrikant Reuge (s. Bericht unter diesem Artikel).

Um zu bestimmen, ob ein Unternehmen in den Anwendungsbereich der DSGVO fällt, ist es wichtig, ob sich die natürlichen Personen, deren Daten verarbeitet werden, in der EU befinden, und ob die Absicht besteht, Personen im EU-Raum anzusprechen. Informationen, um KMU dabei zu helfen herauszufinden, ob sie diesem Gesetz unterstellt sind, finden sich hier.

Unternehmen, die in den Anwendungsbereich der DSGVO fallen, müssen sieben zentrale Pflichten einhalten. Die Schweizer Rechtsanwaltskanzlei Kellerhals Carrard fasst sie wie folgt zusammen:

1. Informieren und die Einwilligung der betroffenen Person einholen

Wenn die Legitimität einer Datenverarbeitung auf der Einwilligung der betroffenen Person beruht, muss diese freiwillig gegeben werden und auf einer ausführlichen, erkennbaren und bestimmten Information beruhen. Sie hat aktiv und ausdrücklich zu erfolgen. Hingegen erfordert sie keine bestimmte Form und kann auch mündlich gegeben werden. Wichtig ist, dass die Firma die Einwilligung nachweisen kann. Und es muss jederzeit möglich sein, sie zu widerrufen.

2. "Privacy by design" und "Privacy by default" gewährleisten

Schon bei der Planung der Datenverarbeitung muss das Unternehmen technische und organisatorische Massnahmen ergreifen, um die Einhaltung der DSGVO sicherzustellen und die Daten der betroffenen Personen zu schützen (Privacy by design). Darüber hinaus muss es über Voreinstellungen gewährleisten, dass standardmässig nur Daten erhoben werden, die für den jeweiligen Verwendungszweck erforderlich sind (Privacy by default).

3. Einen Vertreter in der EU ernennen

Die Pflicht, einen Vertreter in der EU zu benennen, entfällt, wenn die Datenverarbeitung nur gelegentlich erfolgt, keine besonderen Datenkategorien betrifft und nahezu kein Risiko mit sich bringt.

4. Ein Verzeichnis der Verarbeitungstätigkeiten erstellen

Das Unternehmen oder seine Zwischenhändler müssen eine Übersicht mit einer Reihe von Informationen zu den Methoden der Datenverarbeitung führen.

5. Verstösse gegen den Datenschutz an die Aufsichtsbehörde melden

Die Firma muss schnelle Mechanismen vorsehen, mit denen die betroffenen Personen und die zuständigen Aufsichtsbehörden im Falle einer Datenschutzverletzung benachrichtigt werden.

6. Eine Datenschutz-Folgenabschätzung durchführen

Eine Art der Datenverarbeitung, die ein hohes Risiko mit sich bringt, dass Rechte und Freiheiten verletzt werden könnten, muss einer Folgenabschätzung unterzogen werden.

7. Bei Verstössen gegen die DSGVO Geldbussen zahlen

Die Geldbusse, die Unternehmen im Fall einer Datenschutzverletzung zahlen müssen, kann bis zu 4% des weltweiten Jahresumsatzes im vergangenen Geschäftsjahr betragen.

Eine gute Nachricht für alle Firmen, die sich jetzt an die EU-Verordnung anpassen: Die Revisionen von internen Verfahren, Richtlinien, Verträgen und Schweigepflichterklärungen, die sie am Ende durchgeführt haben werden, dürften auch den künftigen schweizerischen Anforderungen in diesem Bereich entsprechen. Die Kommission der politischen Institutionen des Nationalrates hat sich im Januar 2018 für eine Revision des Datenschutzrechtes in zwei Etappen ausgesprochen. Diejenigen Unternehmen, die sich an die DSGVO anpassen, werden folglich für diese Revision bereit sein. Vor dem Hintergrund der zunehmenden Digitalisierung der Unternehmen und ihrer Aktivitäten in der Verarbeitung personenbezogener Daten ist eine solche Reform wichtig für den Schutz der Rechte natürlicher Personen.

Reuge passt seine Website an

In seinem Online-Shop verkauft das Unternehmen Reuge Spieluhren, die es in Sainte-Croix (VD) herstellt. Aufgrund der hohen Anzahl an europäischen Kunden sorgt sich die Firma gegenwärtig um die Vereinbarkeit ihrer Website mit der DSGVO. "In den nächsten Wochen wird Reuge eine neue Website online stellen", erklärt CEO Kurt Kupper. "Die DSGVO ist ein Bestandteil im Pflichtenheft des Entwicklers."

Verfügt das KMU mit seinen 70 Mitarbeitenden intern über das nötige Fachwissen, um diese Fragen zu prüfen? "Unser Finanzdirektor (CFO) kümmert sich gemeinsam mit externen Spezialisten sowie mit der Waadtländischen Industrie- und Handelskammer (CVCI) darum." Die Umsetzung ist mit hohen Kosten für die Firma verbunden. "Leider erzeugt jede neue Regelung zusätzliche Kosten. In einem KMU fallen diese proportional höher aus als in einem Grossunternehmen."

EU-Datenschutzverordnung

Verordnung (EU) des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr

Revision des Datenschutzrechtes in zwei Etappen (Website des Parlaments)

Bundesgesetz über den Datenschutz (DSG)

Das neue Datenschutzgesetz (www.edoeb.admin.ch)