Im Wesentlichen geht es um den Schutz von Personalangaben und Nutzerprofilen von EU-Bürgern (natürliche Personen). Die EU-Bürger sollen eine bessere Kontrolle über ihre Personendaten erhalten. Dazu werden ihnen zahlreiche Rechte eingeräumt. Zudem fallen Personen-Daten einer natürlichen Person mit Wohnsitz in der Schweiz, die irgendwo im EU-Raum bearbeitet werden (Outsourcing), unter diese Richtlinien. Ferner sind Schweizer Firmen mit Niederlassungen in der EU, die Daten von natürlichen Personen im EU-Raum speichern, davon betroffen.
Beantworten Sie eine der nachfolgenden Fragen mit JA, so könnte Ihr Unternehmen unter die EU-Datenschutzverordnung fallen:
- Verwendet Ihr Unternehmen personenbezogene Daten von natürlichen Personen mit Wohnsitz in einem EU-Staat?
- Steht diese Datenverarbeitung im Zusammenhang mit einem Angebot von Waren oder Dienstleistungen?
- Hat die Datenverarbeitung das Ziel, das Verhalten von natürlichen Personen im EU-Raum zu verfolgen?
Grundsätzlich können sich für Unternehmen, welche der EU-Datenschutzverordnung unterstellt sind, folgende Pflichten ergeben:
- Informieren und die Einwilligung der betroffenen Person einholen
Wenn die Legitimität einer Datenverarbeitung auf der Einwilligung der betroffenen Person beruht, muss diese freiwillig gegeben werden und auf einer ausführlichen, erkennbaren und bestimmten Information beruhen. Sie hat aktiv und ausdrücklich zu erfolgen. Hingegen erfordert sie keine bestimmte Form und kann auch mündlich gegeben werden. Wichtig ist, dass die Firma die Einwilligung nachweisen kann. Und es muss jederzeit möglich sein, sie zu widerrufen.
- "Privacy by design" und "Privacy by default" gewährleisten
Schon bei der Planung der Datenverarbeitung muss das Unternehmen technische und organisatorische Massnahmen ergreifen, um die Einhaltung der DSGVO sicherzustellen und die Daten der betroffenen Personen zu schützen (Privacy by design). Darüber hinaus muss es über Voreinstellungen gewährleisten, dass standardmässig nur Daten erhoben werden, die für den jeweiligen Verwendungszweck erforderlich sind (Privacy by default).
- Einen Vertreter in der EU ernennen
Die Pflicht, einen Vertreter in der EU zu benennen, entfällt, wenn die Datenverarbeitung nur gelegentlich erfolgt, keine besonderen Datenkategorien betrifft und nahezu keine Rechte und Freiheiten verletzt.
- Ein Verzeichnis der Verarbeitungstätigkeiten erstellen
Das Unternehmen oder seine Zwischenhändler müssen eine Übersicht mit einer Reihe von Informationen zu den Methoden der Datenverarbeitung führen.
- Verstösse gegen den Datenschutz an die Aufsichtsbehörde melden
Die Firma muss schnelle Mechanismen vorsehen, mit denen die betroffenen Personen und die zuständigen Aufsichtsbehörden im Falle einer Datenschutzverletzung benachrichtigt werden.
- Eine Datenschutz-Folgenabschätzung durchführen
Eine Art der Datenverarbeitung, die ein hohes Risiko mit sich bringt, dass Rechte und Freiheiten verletzt werden könnten, muss einer Folgenabschätzung unterzogen werden.
- Bei Verstössen gegen die DSGVO Geldbussen zahlen
Die Geldbusse, die Unternehmen im Fall einer Datenschutzverletzung zahlen müssen, kann bis zu 4% des weltweiten Jahresumsatzes im vergangenen Geschäftsjahr betragen.
Empfehlenswert ist, der Self-Check der Economiesuisse unter www.dsat.ch durchzuführen, um die Unterstellung im konkreten Einzelfall zu klären. Sollten Sie dazu Unterstützung brauchen, hilft Ihnen der Hausjurist oder wir sehr gerne weiter.
In der Schweiz ist man zurzeit daran, diese Richtlinien an die schweizerischen Verhältnisse anzupassen und in ein Gesetz zu packen. Die politischen Mühlen in der Schweiz mahlen bekanntlich langsam, weshalb die Umsetzung einige Zeit in Anspruch nehmen dürfte.
Haben Sie Fragen? Gerne stehen wir Ihnen für Antworten zur Verfügung.
