Warum betrifft uns die EU-Verordnung

Die neue Datenschutz-Grundverordnung (DSGVO) der EU, ist am 25. Mai 2018 für alle europäischen Mitgliedstaaten in Kraft getreten. Warum müssen sich Schweizer Unternehmen nun um eine europäische Verordnung kümmern? In diesem Blog gehen wir dieser Frage nach.

Anwendungsbereich

Die neue Verordnung hat den Anwendungsbereich gegenüber der Richtlinie 95/46/EG aus dem Jahr 1995, mit dem Kriterium der Zielgruppe  auf extraterritoriale Wirkung erweitert und somit den räumlichen Anwendungsbereich über die Grenzen der EU neu definiert. Dies bedeutet, unter gewissen Umständen ist die EU-DSGVO deshalb auch für Unternehmen mit Sitz in der Schweiz anwendbar.

«Jeder, der innerhalb der EU Geschäfte macht, ist verpflichtet die DSGVO einzuhalten, ungeachtet von Wohn- und Geschäftssitz»

Daher ist es für Firmen wichtig, sich zu informieren, ob sie von dieser Reform betroffen sind und wenn ja, sollten sie sich schon jetzt darum bemühen, dass ihre Prozesse, Richtlinien, Verträge und Datenschutzerklärungen mit der neuen Verordnung kompatibel sind. Die EU geht mit Verstössen nicht zimperlich um, wer sich nicht an die Regeln hält, dem drohen hohe Geldstrafen.

Wer ist betroffen?

Schweizer Unternehmen sind dann verpflichtet, sich an die DSGVO zu halten, wenn eine Absicht besteht, personenbezogene Daten von natürlichen Personen zu verarbeiten, die sich in der EU befinden, falls das Unternehmen

1. diesen Personen Waren oder Dienstleistungen anbieten (gegen Bezahlung oder unentgeltlich) oder
2. durch Datenverarbeitung das Verhalten betroffener Personen in der EU beobachten will.
1. Waren und Dienstleistungen anbieten

Eine solche Absicht besteht, bei der Verwendung einer Sprache oder Währung die im betroffenen EU-Mitgliedstaat gebräuchlich ist (nicht aber in der Schweiz) mit der Absicht, Waren oder Dienstleistungen in dieser Sprache oder Währung zum Bestellen anzubieten.

2. Verhalten von Personen beobachten

Eine solche Absicht besteht beispielsweise, wenn Internet Aktivitäten zur Profilerstellung betroffener Personen in der EU eingesetzt werden um persönliche Vorlieben und Verhaltensweisen dieser Person zu analysieren. (z.B. mit Google Analytics etc.)

Um festzustellen, ob ein Unternehmen mit Sitz in der Schweiz in den Anwendungsbereich der DSGVO fällt, ist relevant, ob das Unternehmen offensichtlich beabsichtigt, betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten.

«Die blosse Zugänglichkeit der Webseite oder anderer Kontaktdaten ist kein ausreichender Anhaltspunkt für ein offensichtlich beabsichtigtes Anbieten von Waren oder Dienstleistungen. 

Rechte betroffener Personen

Eines der Ziele der EU Reform besteht darin, die Kontrollmöglichkeiten betroffener Personen und die Erkennbarkeit zu erhöhen. Unternehmen sind mit der DSGVO verpflichtet, Verfahren und Mechanismen anzubieten, die es den betroffenen ermöglicht, ihre Rechte auszuüben, nämlich:

Werden personenbezogene Daten über eine betroffene Person bei dieser selbst erhoben, so liefert der Verantwortliche ihr zum Zeitpunkt der Erhebung der Daten eine Reihe von Informationen. Der Verantwortliche muss die betroffene Person aber auch dann informieren, wenn die Daten nicht bei dieser selbst erhoben wurden.

Die betroffene Person hat das Recht, vom Verantwortlichen eine Bestätigung zu verlangen, dass personenbezogene Daten über sie bearbeitet werden bzw. dass keine Daten bearbeitet werden. Im Fall einer Bearbeitung hat sie das Recht, Zugang zu diesen Daten und zu einer Reihe zusätzlicher Informationen zu erhalten. Dieses Recht umfasst auch das Recht, eine Kopie der bearbeiteten Daten zu erhalten.

Die betroffene Person hat das Recht zu verlangen, dass ihre Daten so rasch wie möglich berichtigt oder ergänzt werden.

Die betroffene Person hat das Recht zu verlangen, dass sie betreffende Daten so schnell wie möglich gelöscht werden, wenn einer der in § 1 genannten Gründe vorliegt. Wurden die Daten an andere Stellen übermittelt, so kommt das „Recht auf Vergessenwerden“ zum Tragen: Der Verantwortliche muss alle angemessenen Massnahmen treffen, um die anderen Stellen davon in Kenntnis zu setzen, dass die betroffene Person die Löschung aller Verbindungen zu ihren persönlichen Daten beziehungsweise die Löschung aller Kopien oder Reproduktionen dieser Daten verlangt hat.

Die betroffene Person hat in bestimmten gesetzlich vorgesehenen Fällen das Recht, vom Verantwortlichen die Einschränkung der Bearbeitung ihrer Daten zu verlangen. Wird eine solche Einschränkung verlangt, so kann der Verantwortliche die Daten nur noch aufbewahren. Andere Bearbeitungen dieser Daten dürfen grundsätzlich nicht mehr erfolgen.

Dieser Artikel verpflichtet den Verantwortlichen, der betroffenen Person jede Berichtigung, Löschung oder Einschränkung der Datenbearbeitung mitzuteilen.

Die betroffene Person hat das Recht, die Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln, beispielsweise um den Dienstleistungsanbieter zu wechseln. Dieses Recht kann nur ausgeübt werden, wenn die Datenbearbeitung auf der Einwilligung der betroffenen Person oder auf einem Vertrag beruht.

Die betroffene Person hat jederzeit das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, der Bearbeitung von sie betreffenden personenbezogenen Daten gestützt auf ein öffentliches oder berechtigtes Interesse zu widersprechen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling. Die betroffene Person hat auch jederzeit das Recht, der Bearbeitung ihrer Daten zu Direktmarketing-Zwecken zu widersprechen.

Die betroffene Person hat das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschliesslich auf einer automatischen Bearbeitung beruht, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt ausdrücklich auch für Profiling.

Der Verantwortliche ist verpflichtet, die betroffene Person über Verletzungen des Schutzes personenbezogener Daten zu informieren, sofern damit ein hohes Risiko für die persönlichen Rechte und Freiheiten verbunden ist.

Pflichten für betroffene Unternehmen

Für Unternehmen die ihren Sitz ausserhalb der EU haben aber im europäischen Raum tätig sind, ist es wichtig festzustellen, ob diese neue Verordnung auch auf sie anwendbar ist und im gegebenen Fall tätig werden, um sicherzustellen, dass sie die Bestimmungen einhalten.

Eine Einwilligung ist nur gültig, wenn sie freiwillig abgegeben wird und vorher über Zweck ihrer personenbezogenen Daten informiert ist. Einwilligung muss aktiv geschehen, kann mündlich, elektronisch oder schriftlich und muss Widerruflich sein.

„Privacy by design“ bedeutet, durch technische Voraussetzungen (IT-System oder Prozesse) das Risikio von Daten-Verletzung zu verringern und vorzubeugen.
„Privacy by default“ Datenschutz durch datenschutzfreundliche Voreinstellungen sicherstellen

Grundsätzlich muss ein Vertreter in der EU benannt werden. Dies entfällt wenn die Verarbeitung nur gelegentlich erfolgt und nicht zu einem Risiko der Rechte und Freiheiten der natürlichen Person führt. (mehr als 250 Mitarbeitende)

Dokumentation oder Übersicht über alle Prozesse und Verfahren im Unternehmen, bei welchen personenbezogene Daten verarbeitet werden. (z.B. Datenkategorie, Kreis der Betroffenen, Zweck und allfällige Datenempfänger)

Bei Verletzung des Schutzes personenbezogener Daten müssen der Aufsichtsbehörden und ev. den betroffenen Person, möglichst innert 72 Stunden gemeldet werden.

Wenn eine Form der Verarbeitung wahrscheinlich ein hohes Risiko verursacht, muss eine Datenschutz-Folgenabschätzung gemacht werden.

Maximale Geldbusse bis zu 20 Mio. Euro oder 4 % des weltweit erzielten Jahresumsatzes, je nachdem welcher Wert höher ist.

Was ist zu tun?

Es ist wichtig, dass sich die Firmen, die von dieser Reform betroffen sein könnten, schon jetzt darum kümmern. Denn wenn sie tatsächlich betroffen sind, müssen sie unter anderem prüfen, ob ihre internen Prozesse, Richtlinien, Verträge und Datenschutzerklärungen kompatibel sind.

Welche erste Schritte gilt es zu tätigen, um möglichst DSGVO konform zu sein?

Auf jeder Webseite auf der Waren oder Dienstleistungen angeboten werden, besteht auch in der Schweiz seit 2012 Impressum-Pflicht.

Mit mindestens den folgenden Angaben:

  • Kompletter Name des Inhabers oder der Name des Unternehmens
  • Adresse des Unternehmens
  • EMail-Adresse des Unternehmens

Ein Dienstanbieter muss auf seiner Webseite eine Datenschutzerklärung erstellen und einbinden, den Nutzer über Art, Umfang und Zweck von Erhebung und Verwendung personenbezogener Daten sowie über etwaige Weitergaben von Daten an Staaten ausserhalb der EU bzw. des EWR unterrichten.

Folgende Punkte sollte sie enthalten und erklären.

  • Die Erhebung von IP-Adressen
  • Die vom Browser übermittelten Daten
  • Verwendung von Webanalysen (z.B. Google Analytics)
  • Verwendung von Cookies
  • Kontaktformulare
  • Newsletter Angebot und Anmeldung
  • Social-Media

Auftragsverarbeitungsverträge werden mit externen Datenverarbeiter abgeschlossen, die personenbezogene Daten verarbeiten, speichern ansehen und analysieren können. Es geht darum, dass sich der Drittanbieter an die Regeln der DSGVO hält. Die meisten Unternehmen bieten solche Verträge per Klick an, wenn sie zur Anwendung auf der Webseite eingebunden sind.

Folgende Anbieter sind üblich.

  • Google
  • Microsoft
  • Facebook
  • Anbieter von Newsletter (z.B. MailChimp)
  • Webhoster
  • Dropbox
  • Diverse andere Anbieter

Da im Internet Daten immer in beide Richtungen fliessen muss ein Datenpaket eine Absender-Adresse haben (IP-Adresse) damit Daten die nötigen Antworten in den Protokollen den Rückweg finden. Um die Datensicherheit zu waren, ist es möglich die IP-Adresse zu anonymisieren.

Für Formulare eine zusätzliche Checkpox installieren, die auf die Datenschutzerklärung hinweist.

Üblicherweise für folgende Formulare

  • Kontaktformular
  • Newsletter-Anmeldung
  • Kommentar-Formular

Mit einem Hinweis (ev.Banner) soll der Besucher einer Webseite auf den Einsatz von Cookies aufmerksam gemacht werden und entscheiden, ob er dies ablehnen oder akzeptieren will.

Die DSGVO hält auch für Newsletter-Werbung rechtliche Neuerungen und Anforderungen bereit. Neu sollen Webseitenbetreiber die einen Newsletter anbietet das Double-Opt-In Verfahren anbieten, um eine möglichst beweisbare Einwilligung einzuholen.

Weckruf für Schweizer Unternehmen

Wichtig ist auch zu wissen, dass zurzeit die Schweiz ein neues Bundesgesetz über den Datenschutz ausarbeitet. Es ist zu erwarten, dass dieses neue Regelwerk zu einem grossen Teil den Anforderungen der EU-DSGVO entsprechen wird.

Firmen die sich bereits im Zuge der DSGVO darauf eingestellt haben, werden, wenn die Schweizer Version fertig ist, bei deren Umsetzung eine erhebliche Zeitersparnis haben.

Mehr Informationen über die DSGVO

Die ausgeführten Informationen sollen einen Eindruck über die brennenden Fragen zum Thema geben, sie sind weder vollständig in ihrer Auflistung und Erklärung, noch rechtskräftig.

Wer sich genauer zum behandelten Thema informieren will, kann sich bei den offiziellen Stellen, die wir unten als Linksammlung aufgelistet haben, vertieft damit auseinandersetzen.

Links

›  FAQ des Deutschen Bundesmisiteriums (5.4.2018)

›  Verfassungstext EU-DSGVO

›  Information der EU-Kommission zur DSGVO (Englisch)

›  DSAT – Datenschutz Self Assessment Tool

Gerne vereinbaren wir mit Ihnen einen Termin.

Haben Sie als Unternehmen Fragen zu den Herausforderungen und Chancen der Digitalisierung?
Wenden Sie sich an uns – gemeinsam finden wir Wege!


Viel Erfolg wünscht Ihnen das seaio-Team

Gerne beraten wir Sie bezüglich individuellen Lösungen. Nehmen Sie Kontakt mit uns auf.

Kontakt