BeratungNews

Datenschutz in the EU

By 30. März 2018 No Comments

 

Weshalb sich Schweizer Unternehmen mit europäischem Datenschutz befassen sollten

Im Lichte aktueller Debatten zum Umgang von Unternehmen wie Facebook mit Userdaten (den bisher besten Artikel zum Thema hat wohl Thomas Beschorner in der NZZ geschrieben), möchte ich im Folgenden kurz auf die kommenden Änderungen im Datenschutzgesetz der EU eingehen.

Ab dem 25. Mai 2018 tritt in allen EU-Staaten die Europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Die Verordnung hat über die EU-Grenzen hinaus auch für Schweizer Unternehmen Konsequenzen.. zumindest in gewissen Fällen.

Ich versuche kurz und knapp zu erläutern, wann Schweizer Unternehmen betroffen sind und was in diesen Fällen alles unternommen werden muss, um den Anforderungen der Verordnung gerecht zu werden (Hinweis: Ziemlich viel).

 

Wann sind Schweizer Unternehmen betroffen?

Laut Art. 3 EU-DSGVO unterliegen Schweizer Unternehmen dann den EU-Richtlinien, wenn sie personenbezogene Daten von natürlichen Personen verarbeiten, die sich in der EU befinden und

  1. den betroffenen Personen in der EU Waren oder Dienstleistungen (entgeltlich oder unentgeltlich) anbieten oder
  2. durch die Datenverarbeitung das Verhalten der betroffenen Personen in der EU beobachten wollen

Ob der Anwendungsbereich gegeben ist, muss durch eine Auslegung der EU-Bestimmungen im Einzelfall beurteilt werden. Dazu empfiehlt sich die Lektüre der Erwägungen unseres Schweizer Datenschutzbeauftragten.

Fest steht jedenfalls, dass von der neuen Rechtslegung bei weitem nicht nur amerikanische IT-Giganten und russische Cyberarmeen betroffen sein werden. Auch Schweizer KMUs sollten sich mit den Bestimmungen befassen, die Konsequenzen bei Verstössen können sie ansonsten teuer zu stehen kommen.

 

Wie müssen betroffene Unternehmen vorgehen?

Die neuen EU-Regelungen sind ein Verbot mit Erlaubnisvorbehalt. Anders als im Schweizer Recht ist damit grundsätzlich alles verboten, dass nicht explizit in einem Gesetz erlaubt wird oder zu dem die betroffene Person nicht explizit ihr Einverständnis gegeben hat.

Laut Auslegung des Bundes müssen betroffene Schweizer Unternehmen folgende Schritte unternehmen, um mit der EU-DSGVO kompatibel zu sein:

  1. informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden
  2. „Privacy by design“ und „Privacy by default“ garantieren
  3. einen Vertreter in der EU benennen
  4. ein Verzeichnis der Verarbeitungstätigkeiten erstellen
  5. Verletzungen des Datenschutzes an die Aufsichtsbehörde melden
  6. eine Datenschutz-Folgenabschätzung durchführen
  7. bei Verstössen gegen die DSGVO Bussgelder zahlen.

Eine Erläuterung zu allen Punkten würde den Rahmen dieses Artikels sprengen. Gerne verweise ich an dieser Stelle auf den Artikel von Kellerhals und Carrard.

 

Welche Konsequenzen hat ein Nichtbefolgen der EU-Richtlinien?

Ein Verstoss gegen die neuen Normen wird mit einer Geldbusse von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes bestraft, je nachdem welche der beiden Zahlen die höhere ist.

 

Was soll die Verordnung erreichen?

Hinter den Rechtssätzen stehen politische Entscheide, die aufgrund von (mehr oder minder) aktuellen öffentlichen Debatten getroffen worden sind. Zu denken ist hier beispielsweise an Datenkrallen wie Facebook oder Google, Wahlmanipulationen durch Cambridge Analytica (der Artikel des Magazins vom Dezember 2016 wurde überraschenderweise neulich aktualisiert) oder die Überflutung Sozialer Medien mit Bot Armeen.

In der EU will man mit den neuen Richtlinien versuchen, den Nutzern (und dem Staat) ein Werkzeug in die Hand zu geben, um sich gegen Entwicklungen wie die oben genannten, zu wehren.

Auch die Schweiz arbeitet an einer dahingehenden Anpassung ihres Datenschutzgesetzes. Unternehmen, welche sich bereits heute auf die EU-Richtlinien einstellen werden damit, zumindest in Zukunft, ein wenig Zeit und Aufwand sparen können.

 

Wo finde ich mehr Informationen zum Thema?

 

Disclaimer

Für die Richtigkeit, Aktualität sowie Vollständigkeit aller hier gemachten Angaben übernehmen Byrds & Bytes sowie der Autor selbst keinerlei Gewähr.

Leave a Reply