Der Anwendungsbereich der neuen EU-Datenschutzverordnung, die am 25. Mai 2018 in Kraft getreten ist, ist so gross, dass viele Schweizer Unternehmen davon betroffen sein könnten. Die grössten Herausforderungen im Überblick
Die neue Datenschutz-Grundverordnung (DSGVO) der EU ist seit dem 25. Mai 2018 in der gesamten Europäischen Union (EU) in Kraft getreten. In einigen Fällen ist sie auch auf Unternehmen anwendbar, die ihren Sitz in der Schweiz haben.
Es ist wichtig, dass sich die Firmen, die von dieser Reform betroffen sein könnten, schon jetzt darum kümmern. Denn wenn sie tatsächlich betroffen sind, müssen sie unter anderem prüfen, ob ihre internen Prozesse, Richtlinien, Verträge und Datenschutzerklärungen kompatibel sind. Bei Verstössen gegen die Verordnung sind nämlich hohe Geldstrafen vorgesehen.
Welche Unternehmen sind betroffen?
Schweizer Unternehmen müssen sich an die DSGVO halten, wenn sie personenbezogene Daten von natürlichen Personen verarbeiten, die sich in der EU befinden, und falls die Verarbeitung dazu dient:
- diesen Personen Waren oder Dienstleistungen anzubieten (gegen Bezahlung oder unentgeltlich), oder
- das Verhalten dieser Personen zu verfolgen, sofern dieses Verhalten in den Mitgliedstaaten der EU erfolgt (Art. 3 Abs. 2 Buchst. a und b DSGVO).
Um zu bestimmen, ob die Aktivitäten eines Unternehmens, das seinen Sitz ausserhalb der EU hat, in den Anwendungsbereich der DSGVO fallen, müssen die Rechtsberater analysieren, ob eine Absicht besteht, Waren oder Dienstleistungen in die EU zu verkaufen. Hierbei können verschiedene Hinweise geprüft werden (z. B. die Erwähnung von Kunden, die sich in den Mitgliedstaaten befinden, oder von einer in der EU gängigen Währung). Im Fall von Art. 3 Abs. 2 Buchst. b DSGVO können die Experten analysieren, ob ein klarer Wille erkennbar ist, das Verhalten von natürlichen Personen im EU-Raum zu verfolgen (z. B. wenn sie die Nutzung von Profiling-Tools oder Google Analytics feststellen).
Was müssen die betroffenen Firmen unternehmen?
Schweizer Unternehmen, die von der neuen EU-Verordnung betroffen sind, müssen seit dem 25. Mai 2018 folgende Pflichten erfüllen:
- informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden
- "Privacy by design" und "Privacy by default" garantieren
- einen Vertreter in der EU benennen
- ein Verzeichnis der Verarbeitungstätigkeiten erstellen
- Verletzungen des Datenschutzes an die Aufsichtsbehörde melden
- eine Datenschutz-Folgenabschätzung durchführen
Die Geldbusse, die Unternehmen im Fall einer Datenschutzverletzung zahlen müssen, kann bis zu 4% des weltweiten Jahresumsatzes im vergangenen Geschäftsjahr betragen.
Wichtig ist auch zu wissen, dass gerade ein Schweizer Pendant zur DSGVO, ein neues Bundesgesetz über den Datenschutz, ausgearbeitet wird. Firmen, die sich schon auf die DSGVO eingestellt haben, dürften, wenn die Schweizer Version fertig ist, bei deren Umsetzung eine erhebliche Zeitersparnis haben.
Dieser Artikel erhebt keinen Anspruch auf Vollständigkeit. Für weitere Informationen über die DSGVO nutzen Sie bitte die unten aufgeführten Links.
Quelle: Datenschutz-Grundverordnung der EU – Was Schweizer Unternehmen wissen müssen Kurz und Bündig von der Kanzlei Kellerhals-Carrard, Zürich (25. Mai 2017)
Mit Hilfe des Bundesamtes für Justiz BJ (August 2017)