Datenschutz: Neue EU-Verordnung

Der Anwendungsbereich der neuen EU-Datenschutzverordnung, die am 25. Mai 2018 in Kraft tritt, ist so gross, dass viele Schweizer Unternehmen davon betroffen sein könnten. Die grössten Herausforderungen im Überblick.

Die neue Datenschutz-Grundverordnung (DSGVO) der EU wird am 25. Mai 2018 in der gesamten Europäischen Union (EU) in Kraft treten. In einigen Fällen ist sie auch auf Unternehmen anwendbar, die ihren Sitz in der Schweiz haben.

Es ist wichtig, dass sich die Firmen, die von dieser Reform betroffen sein könnten, jetzt darum kümmern. Denn wenn sie tatsächlich betroffen sind, müssen sie unter anderem prüfen, ob ihre internen Prozesse, Richtlinien, Verträge und Datenschutzerklärungen kompatibel sind. Bei Verstössen gegen die Verordnung sind nämlich hohe Geldstrafen vorgesehen.

Welche Unternehmen sind betroffen? 

Schweizer Unternehmen müssen sich an die DSGVO halten, wenn sie personenbezogene Daten von natürlichen Personen verarbeiten, die sich in der EU befinden, und falls die Verarbeitung dazu dient:

1. diesen Personen Waren oder Dienstleistungen anzubieten (gegen Bezahlung oder unentgeltlich), oder

2. das Verhalten dieser Personen zu verfolgen, sofern dieses Verhalten in den Mitgliedstaaten der EU erfolgt (Art. 3 Abs. 2 Buchst. a und b DSGVO).

Um zu bestimmen, ob die Aktivitäten eines Unternehmens, das seinen Sitz ausserhalb der EU hat, in den Anwendungsbereich der DSGVO fallen, müssen die Rechtsberater analysieren, ob eine Absicht besteht, Waren oder Dienstleistungen in die EU zu verkaufen. Hierbei können verschiedene Hinweise geprüft werden (z. B. die Erwähnung von Kunden, die sich in den Mitgliedstaaten befinden, oder von einer in der EU gängigen Währung). Im Fall von Art. 3 Abs. 2 Buchst. a und b DSGVO können die Experten analysieren, ob ein klarer Wille erkennbar ist, das Verhalten von natürlichen Personen im EU-Raum zu verfolgen (z. B. wenn sie die Nutzung von Profiling-Tools oder Google Analytics feststellen).

Was müssen die betroffenen Firmen unternehmen?

Schweizer Unternehmen, die von der neuen EU-Verordnung betroffen sind, müssen ab dem 25. Mai 2018 folgende Pflichten erfüllen:

1. informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden

2. «Privacy by design» und «Privacy by default» garantieren

3. einen Vertreter in der EU benennen

4. ein Verzeichnis der Verarbeitungstätigkeiten erstellen

5. Verletzungen des Datenschutzes an die Aufsichtsbehörde melden

6. eine Datenschutz-Folgenabschätzung durchführen

7. bei Verstössen gegen die DSGVO Bussgelder zahlen.

Wichtig ist auch zu wissen, dass gerade ein Schweizer Pendant zur DSGVO, ein neues Bundesgesetz über den Datenschutz, ausgearbeitet wird. Firmen, die sich schon auf die DSGVO eingestellt haben, dürften, wenn die Schweizer Version fertig ist, bei deren Umsetzung eine erhebliche Zeitersparnis haben.

(Quelle: BJ Bundesamt für Justiz)