Datenschutz: DSGVO bringt neue Regeln für EU, auch Schweiz betroffen

DSGVO
geralt / Pixabay

Um den Missbrauch von Daten zu verhindern, tritt ab 25. Mai 2018 in allen EU-Mitgliedstaaten die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Was sich durch die DSGVO ändert und inwieweit die Schweizer betroffen sind, lesen Sie hier.

Die europäische Datenschutz-Grundverordnung (DSGVO) bringt eine Reihe von Veränderungen für den Umgang mit personenbezogenen Daten mit sich. Davon betroffen sind fast alle Unternehmen in der EU. Denn Ausnahmeregelungen, etwa zugunsten kleinerer Betriebe, gibt es wenige. Grundsätzlich sollte sich also jeder Unternehmer mit der DSGVO befassen, raten Experten.

Ob Kundendaten oder die Bewerberkartei, sobald ein Unternehmen personenbezogene Daten verarbeitet, unterliegt es in der Regel der DSGVO. So findet die Verordnung Anwendung auf die automatisierte Verarbeitung personenbezogener Daten ebenso wie für die nichtautomatisierte Verarbeitung von personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Wann dürfen Daten verarbeitet werden?

Wenn von der betroffenen Person eine Einwilligung zur Verarbeitung vorliegt:

  • Der Text der Einwilligung muss vom Verantwortlichen zweifelsfrei nachgewiesen werden können
  • Zustimmung und Widerruf müssen in einfacher Sprache gleichermaßen präsent sein (Textgröße, Formulierung, Optik, …)
  • Der Zweck der Verarbeitung muss in klaren Worten dargelegt werden
  • Datenminimierung ist vorgeschrieben (unnötige Daten dürfen nicht gespeichert werden)
  • Daten dürfen nur zum eindeutigen Zweck der Erhebung verarbeitet werden

Zur Abwicklung eines Vertrages

  • Es dürfen an die Erhebung der Daten keine weiteren Angebote oder Verträge gekoppelt werden (Kopplungsverbot). Es gilt das Gebot der Freiwilligkeit.

Zur Erfüllung rechtlicher Verpflichtungen

  • Verträge
  • Rechtliche Aufbewahrungsfristen

Beispielhafter Formulierungsvorschlag für die Einwilligung:
„Der Vertragspartner stimmt zu, dass seine persönlichen Daten, nämlich … (die Datenarten genau aufzählen, z.B. „Name“, „Adresse“, etc) zum Zweck der … (genaue Zweckangabe, z.B. „zur Zusendung von Werbematerial über die Produkte der Firma …“) bei der Firma NN gespeichert werden. Diese Einwilligung kann jederzeit bei … (Angabe der entsprechenden Kontaktdaten) widerrufen werden.“

Die technischen Voreinstellungen

Datenschutzrechtliche Voreinstellungen sollen sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden (Artikel 25 DS-GVO). Es sind also technische und organisatorische Maßnahmen und Verfahren zu treffen, damit die Rechte der betroffenen Personen geschützt werden. Ein Beispiel dafür ist die Pseudonymisierung der Daten. Außerdem schreibt die Verordnung datenschutzfreundliche Voreinstellungen vor. (Im Fachjargon: Privacy by design, privacy by default)

Das muss ich tun:

  • Regelmäßige Änderung der Zugangsdaten
  • Regelmäßige Kontrolle der Zugänge (Accounts)
  • Regelmäßige Backups
  • Regelmäßige Kompatibilitätschecks
  • Regelmäßiges Löschen personenbezogener Daten
  • Regelmäßige Updates und Upgrades

Verzeichnis anlegen ist Pflicht

DSGVO
ProSmile / Pixabay

Unternehmen müssen außerdem mit der neuen Verordnung Klarheit über folgende Fragen haben:

  • welche personenbezogenen Daten,
  • wann,
  • wo,
  • wie,
  • warum und
  • von wem

verarbeitet werden.

Ob Informationen tatsächlich weiterverarbeitet oder auch nur gespeichert werden, ist dabei einerlei.

Die EU-Datenschutz-Grundverordnung verlangt das Führen eines immer aktuellen Verzeichnisses aller Verarbeitungstätigkeiten, bei denen personenbezogene Daten involviert sind. Darunter fallen zum Beispiel Zweck, Datenkategorien, Löschfristen und Empfänger der Informationen.

In der Verordnung sind nur die notwendigen Inhalte des Verzeichnisses definiert, es gibt keine Vorschriften zur Form!

Das Recht auf Löschung

Grundsätzlich steht immer der Datenschutz im Vordergrund und jeder hat das Recht auf Datenlöschung – ohne Begründung.

Datenschutzbeauftragter für besonders sensible Daten

Unter gewissen Voraussetzungen ist die Bestellung eines Datenschutzbeauftragten Pflicht. Und zwar dann, wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler personenbezogener Daten besteht. Dazu zählt unter anderem, wenn Gesundheitsdaten gesammelt und verarbeitet werden oder Monitoring oder Profiling von natürlichen Personen vorgenommen wird.

Verstöße gegen DSGVO können teuer werden

Wer gegen die DSGVO verstößt, muss künftig mit hohen Strafen rechnen: Die Geldbußen bei schweren Verstößen reichen bis zu 20 Millionen Euro oder, im Falle eines Unternehmens, bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.

Die DSGVO ist ein umfassendes Thema. Wir raten allen Betroffenen, sich professionelle Hilfe für die Umsetzung zu holen!

Es gibt zahlreiche Ratgeber und Checklisten online. Umfassende Informationen finden Sie zum Beispiel bei der Wirtschaftskammer Österreich.

Checklisten, To-Do’s und umfassende Informationen für Unternehmer und Freelancer zum Thema DSGVO finden Sie zu einem günstigen Preis zum Beispiel in dem Leitfaden “Erste Hilfe zur Datenschutzgrundverordnung” aus dem C.H. Beck Verlag: 

Warum die Schweiz betroffen ist

Die neue Datenschutzverordnung verpflichtet die EU-Kommission nach Inkrafttreten, alle Gleichwertigkeits-Anerkennungen mit Drittstaaten, die bereits bestehen, zu überprüfen. Darunter fällt auch die Anerkennung der Schweizer Gesetze. „Wir erwarten, dass Drittstaaten, welche die Anerkennung behalten wollen, sich dem Datenschutzniveau der EU anpassen“, heisst es dazu aus der EU-Kommission.

Im ersten Teil der Verordnung wird der Datenaustausch zwischen Behörden geregelt. Diesen muss die Schweiz auf Grund ihrer Schengenmitgliedschaft in nationales Recht übernehmen. Tut sie das nicht, steht ihre Mitgliedschaft auf dem Spiel.

Den zweiten Teil, in dem es um den Umgang mit Daten in Unternehmen geht, müsste die Schweiz nachvollziehen, also an das EU-Recht anpassen. Tut sie das nicht, wird der Zugang für Schweizer Firmen zum EU-Markt erschwert.

  • Das Schweizer Datenschutzgesetz finden Sie hier.
  • Hier geht es zur Seite der DSGVO.
  • Einen spannenden Artikel über die politische Diskussion rund um die DSGVO und die Schweiz finden Sie im Tages Anzeiger.
  • Einen Vergleich des Datenschutzes in Deutschland und der Schweiz finden Sie hier.
  • Mehr zum Thema Onlinemarketing erfahren.

-> Hier geht’s zum kostenlosen Datenschutz-Generator der Deutschen Gesellschaft für Datenschutz.

Karin Bornett

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


*