Datenschutzgrundverordnung der Europäischen Union
1. Ausgangslage
Die Datenschutzgrundverordnung (DSGVO) der Europäischen Union (EU) ist per 25. Mai 2018 in Kraft getreten. Die DSGVO betrifft aber nicht nur Unternehmen mit Sitz in der EU. Auch Schweizer Unternehmen können vom Anwendungsbereich der DSGVO erfasst sein.
2. Welche Schweizer Unternehmen sind betroffen?
Einerseits sind jene Schweizer Unternehmen von der DSGVO betroffen, welche über eine Niederlassung in einem der EU-Mitgliedstaaten verfügen. Die DSGVO hat aber auch Auswirkungen über das Territorium der EU hinaus. Die DSGVO gilt ebenso für alle Unternehmen ausserhalb der EU, wenn sie Daten von in der EU ansässigen Personen bearbeiten, um diesen Waren oder Dienstleistungen anzubieten, oder wenn die Daten dazu dienen, das Verhalten der Personen zu beobachten, etwa durch Datenauswertung von Webseitenbesuchern aus der EU.
3. Wichtigste Neuerungen
Von der DSGVO betroffene Unternehmen in der Schweiz müssen die neuen Datenschutzbestimmungen erfüllen. Für kleinere Unternehmen sind gewisse Erleichterungen vorgesehen.
Die neuen Datenschutzbestimmungen umfassen insbesondere folgende Pflichten:
- Pflicht zur Einsetzung eines internen oder externen Datenschutzbeauftragten;
- Datenschutzfolgeabschätzung, d.h. Einführung einer vorgängigen internen Überprüfung, wenn Datenverarbeitungsprozesse hohe Risiken für die Rechte der Betroffenen mit sich bringen;
- Einführung des Rechts auf Datenübertragbarkeit für Nutzer (Datenportabilität);
- Recht auf Löschung;
- Ernennung eines Datenschutzvertreters mit Sitz in der EU;
- Verschärfte Anforderungen an Informationspflichten und Einholen der Einwilligung betroffener Personen;
- Garantieren von «Privacy by design» und «Privacy by default».
4. Handlungsbedarf prüfen und Massnahmen umsetzen
Für viele Schweizer Unternehmen ist die neue DSGVO direkt anwendbar, weshalb es wichtig ist, den Handlungsbedarf zu prüfen und allfällige Massnahmen umzusetzen. Bei Nichteinhalten der neuen EU-Datenschutzbestimmungen droht die Verhängung hoher Geldstrafen (4% des Umsatzes oder max. bis zu € 20 Mio., je nachdem, welcher Betrag höher ist). Die Prüfung und Anpassung von Allgemeinen Geschäftsbedingungen, Verträgen und Datenschutzrichtlinien sowie des Webauftritts und weiteren IT-Applikationen stehen dabei im Vordergrund.