Fast alle Schweizer Firmen sind von der neuen EU-Datenschutz-Grundverordnung DSGVO betroffen – Sind Sie schon aktiv geworden?

Die neue Datenschutz-Grundverordnung der EU wird nach der zweijährigen Übergangsphase am 25. Mai 2018 umgesetzt. Mittlerweile ist es den meisten Schweizer Unternehmern bewusst, dass auch sie sich mit den Änderungen auseinandersetzen müssen – denn praktisch jeder Webseiten-Betreiber, der personenbezogene Daten von EU-Bürgern auf irgendeine Art erfasst, bearbeitet oder analysiert, ist betroffen. Generell geht es um die Anforderungen, welche erfüllt werden müssen, damit eine Verarbeitung von personenbezogenen Daten gestattet ist.

Gemäss Art. 6 Abs. 1 DSGVO ist die Nutzung und Verarbeitung von solchen Daten in den nachfolgenden Fällen erlaubt:

• Die Person hat ihre Einwilligung dazu gegeben.
• Die personenbezogenen Daten werden zur Erfüllung eines Vertrags benötigt. (Beispiel: In einem Online-Shop wird keine Einwilligung benötigt (Art. 1 DSGVO). Man muss die betroffenen Personen aber über die Verarbeitung ihrer Daten informieren, was normalerweise im Rahmen einer Datenschutzerklärung geschieht)
• Eine rechtliche Verpflichtung besteht.
• Ein echtes und berechtigtes Interesse besteht.

Beispiele, wann Sie betroffen sein könnten:

• Sie verwenden Google Analytics oder andere Analyse Tools.
• Sie sammeln Webseitenstatistiken via Ihren Webhoster.
• Sie bieten die Möglichkeit zur kostenlosen Newsletter-Anmeldung.
• Sie speichern, verarbeiten und analysieren Daten aus Kontaktformularen.

 
Sie sehen, nahezu jeder Schweizer Webseiten-Betreiber ist in irgendeiner Form betroffen. Als erstes müssen Sie verstehen und bestimmen, welche Daten zu welchem Zweck in Ihrem Unternehmen gesammelt und verarbeitet werden. Zum Beispiel für welche Zeitdauer werden die Daten wo und wie gespeichert? Und für welchen Zweck werden sie verwendet?

 
Nachfolgend haben wir für Sie zusammengestellt, an welche Vorgaben sich kleine und mittlere Unternehmen halten müssen.

Gemäss dem Schweizer KMU Portal für kleine und mittlere Unternehmen müssen sich diese an folgende 7 Vorgaben halten:

1. Informieren und die Einwilligung der betroffenen Person einholen

Heisst: Die Webseiten Besucher müssen ausführlich darüber informiert werden, dass Daten gesammelt, gespeichert und verarbeitet werden.
 
Was kann ich tun?
Die Webseiten Besucher müssen über eine ausführliche Datenschutzerklärung informiert werden. Hier müssen Angaben zu den genutzten
Statistik-Tools, Social Media-Plugins, Newsletter-Tools, Umfragetools, etc. enthalten sein. Zudem müssen alle Dienste (Cloud-Anwendungen), in welchen Daten gespeichert oder verarbeitet werden aufgeführt werden.
Zusätzlich müssen die Besucher auf das Auskunftsrecht, Beschwerderecht und Widerrufungsrecht hingewiesen werden.
 
Das Einholen einer Einwilligung gestaltet sich da schon schwieriger – nicht einmal Juristen sind sich einig, wie diese eingeholt werden soll.
Viele empfehlen jedoch das Hinzufügen einer Check Box („Ich habe die AGBs gelesen..“ („Ich habe die Datenschutzrichtlinien gelesen..“) bei Formularen sowie die Integration von Cookie Hinweisen.
Übrigens reicht eine reine Geschäftsbeziehung nicht mehr für den Versand von Newsletter aus. Auch automatisch angekreuzte Check-Boxen sind nicht mehr erlaubt. Die Anmeldung muss klar ersichtlich sein und bewusst verlangt werden.

2. „Privacy by design“ und „Privacy by default“ gewährleisten

Heisst: Bereits bei der Planung der Datenverarbeitung muss das Unternehmen technische und organisatorische Massnahmen ergreifen, um die Einhaltung der DSGVO sicherzustellen und die Daten der betroffenen Personen zu schützen (Privacy by design =Datenschutz durch Technikgestaltung) und Privacy by Default = Datenschutz durch datenschutzfreundliche Voreinstellungen).

 
Was kann ich tun?
Machen Sie sich bereits bei der Gestaltung Ihrer Formulare darüber Gedanken, welche Daten sie wirklich benötigen – braucht es beispielsweise wirklich eine Angabe der Telefonnummer?
Sorgen Sie zudem im technischen Bereich für Datenschutz wie etwa einer Verschlüsselung der Webseite und regelmässigen Updates der Software.

3. Einen Vertreter in der EU ernennen

Heisst: Schweizer Unternehmen, die der EU-DSGVO unterstehen, aber keine europäische Niederlassung haben, müssen in einem der betroffenen Staaten einen lokalen Vertreter bestimmen.

 
Was kann ich tun?
Im KMU Portal für kleine und mittlere Unternehmen steht hierzu jedoch Folgendes:
„Die Pflicht, einen Vertreter in der EU zu benennen, entfällt, wenn die Datenverarbeitung nur gelegentlich erfolgt, keine besonderen Datenkategorien betrifft und nahezu kein Risiko mit sich bringt.“

 
In der DSGVO steht Folgendes:
„Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
Quelle: https://dsgvo-gesetz.de/art-37-dsgvo/“

4. Ein Verzeichnis der Verarbeitungstätigkeiten erstellen

Heisst: Es soll ein Verzeichnis geführt werden, welches aufzeichnet, wo die Daten gespeichert sowie verarbeitet werden.

 
Was kann ich tun?
Es muss geprüft, bestimmt und festgehalten werden, welche Daten wie und zu welchen Zwecken verarbeitet werden.

5. Verstösse gegen den Datenschutz an die Aufsichtsbehörde melden

Heisst: Das Unternehmen muss schnelle Mechanismen vorsehen, mit denen die betroffenen Personen und die zuständigen Aufsichtsbehörden im Falle einer Datenschutzverletzung benachrichtigt werden.

 
Was kann ich tun?
Melden Sie etwaigen Datenklau bzw. Hackerangriffe innerhalb von 72 Stunden der Aufsichtsbehörde.

6. Eine Datenschutz-Folgenabschätzung durchführen

Heisst: Eine Art der Datenverarbeitung, die ein hohes Risiko mit sich bringt, dass Rechte und Freiheiten verletzt werden könnten, muss einer Folgenabschätzung unterzogen werden.

 
Was kann ich tun?
Machen Sie sich Gedanken darüber und halten Sie diese fest – was passiert, wenn Ihre Kundendaten gestohlen werden? Was können Sie dann tun? Wer muss alles informiert werden? Und was sind die Folgen?

7. Bei Verstössen gegen die DSGVO Geldbussen zahlen

Heisst: Die Geldbusse, die Unternehmen im Fall einer Datenschutzverletzung zahlen müssen. Ein Verstoss kann mit einer maximalen Geldstrafe von 20 Mio. Euro bez. 4% des weltweiten Jahresumsatzes im vergangenen Geschäftsjahr sanktioniert werden.
Bei kleineren Unternehmen sollte es etwas Nachsicht geben, wenn es sich um erstmalige, versehentliche oder kleinere Vertösse handelt.

 
Was kann ich tun? Halten Sie sich an die Vorgaben ☺

 
 
Sie haben Fragen zum Thema? Kontaktieren Sie uns. Unsere Experten beraten Sie gerne.

Wir möchten Sie darauf hinweisen, dass dieser Beitrag nicht von einer Person mit juristischem Hintergrund verfasst wurde. Der Beitrag gilt nicht als Rechtsgrundlage. Bei Unsicherheiten empfehlen wir die Beratung durch eine juristische Fachperson.