Vorhängeschloss auf einer Karte

DSGVO in der Schweiz: Das müssen Sie darüber wissen

Der Datenschutz hat in den letzten Jahren aufgrund der immer weiter voranschreitenden Digitalisierung mehr und mehr an Bedeutung gewonnen. Bereits vor zwei Jahren hat die EU eine neue Verordnung zum Schutz von Daten verabschiedet, die die nationalen Gesetze verschärft. Nun kommt die DSGVO als Regelung zur Anwendung und Unternehmen sind gezwungen, mehr für den Datenschutz zu unternehmen. Auch zahlreiche Firmen in der Schweiz müssen die neuen Gesetze befolgen.

Was ist die DSGVO und wann tritt sie in Kraft?

Die neue Datenschutz-Grundverordnung, kurz DSGVO, wurde am 24. Mai 2016 verabschiedet. Den Unternehmen wurde eine zweijährige Übergangsfrist gewährt, so dass ab dem 25. Mai 2018 die Verordnung innerhalb der gesamten EU verbindlich ist. Mit dem Inkrafttreten erhalten Bürger mehr Kontrolle über ihre Personendaten, Unternehmen werden in puncto Datenschutz vermehrt zur Verantwortung gezogen und die Datenschutzbehörden werden gestärkt. Zudem wird das Datenschutzgesetz innerhalb der EU vereinheitlicht.

Im Gegensatz zu einer EU-Richtlinie ist eine Verordnung in der gesamten EU unmittelbar anwendbar. Eine Umsetzung in nationales Recht ist nicht nötig, da die EU-Verordnung in allen Mitgliedstaaten direkt gilt.

Betrifft die DSGVO auch die Schweiz?

Die Verordnung besitzt extraterritorialen Charakter und ist daher auch in der Schweiz anzuwenden. Auswirkungen gibt es für viele Schweizer Firmen. Nicht nur grosse Konzerne, auch kleine und mittelständische Unternehmen sind betroffen. Daher haben sich die meisten Schweizer Unternehmen auch in den letzten zwei Jahren darauf eingestellt. In folgenden Fällen ist die DSGVO von Unternehmen in der Schweiz zu beachten:

  • Bei der Verarbeitung personenbezogener Daten, wenn der Verantwortliche oder der Auftragsbearbeiter eine Niederlassung in der EU betreibt (Niederlassungsprinzip)
  • Wenn der Wohnort der betroffenen Personen sich innerhalb der EU befindet, Waren und Dienstleistungen aber aus der Schweiz kommen (Zielmarktprinzip)
  • Wenn das (Internetnutzungs-) Verhalten von Personen innerhalb der EU beobachtet wird (z.B. durch Google Analytics)

Die Verordnung gilt demnach auch für Schweizer Unternehmen, wenn eine Zweigstelle oder ein Tochterunternehmen in der EU ansässig ist. Bei der Bearbeitung von Daten von Personen mit Aufenthalt in der Europäischen Union gilt ebenso die Verordnung für Schweizer Unternehmen, wenn diese Daten für das Waren- und Dienstleistungsangebot in der EU bearbeitet wurden. Dabei ist es egal, ob es sich um Staatsangehörige eines Mitgliedsstaates handelt.

Auch wenn Schweizer Unternehmen als Auftragsverarbeiter agieren, also im Auftrag europäischer Unternehmen personenbezogene Daten bearbeiten, müssen sie die DSGVO beachten. Dies betrifft in grossem Umfang die Beobachtung des Verhaltens der Internetnutzer. Vor allem geht es um verhaltensbasierte bzw. personenbezogene Werbung, die nur durch eine Beobachtung der Aktivitäten möglich wird.

Was muss man machen, damit man DSGVO-konform handelt?

Eine grössere Umstellung bringt die Rechenschaftspflicht mit sich, die mit der DSGVO einher geht. Die Rechenschaftspflicht besagt, dass der für die Bearbeitung der Daten Verantwortliche die Einhaltung der allgemeinen Grundsätze nachweisen muss. Also besteht hier eine Beweislastumkehr. Es gibt aber noch weitere Pflichten der Unternehmen:

 

  • Der Grundsatz der Verantwortlichkeit:
    Kontrollsysteme und -mechanismen müssen vom Verantwortlichen eingerichtet werden, um die Konformität der Bearbeitung zu gewährleisten.
  • Frühzeitige Berücksichtigung des Datenschutzes:
    Unternehmen müssen bereits bei der Entwicklung des Angebots von Produkten und Dienstleistungen den Datenschutz berücksichtigen. Datenschutzfreundliche Voreinstellungen müssen versichert werden. Die Schlagworte sind hier „privacy by design“ und „privacy by default“. Nähere Informationen dazu finden Sie bei weka.ch.
  • Führung eines elektronischen Registers:
    Unternehmen mit weniger als 250 Beschäftigten sind ausgenommen, andere müssen ein Register führen. Artikel 30 § 1 DSVGO beschreibt, was in dieses Register gehört.
  • Angemessene Sicherheitsvorkehrungen:
    Ein angemessenes Schutzniveau ist mit organisatorischen und technischen Vorkehrungen zu gewährleisten. Dazu gehören beispielsweise Verschlüsselung, Pseudonymisierung und Verfügbarkeit bzw. Belastbarkeit von Systemen.
  • Vertraulichkeit der Bearbeitung:
    Dem Auftragsbearbeiter unterstellte Personen dürfen nur dann Daten verarbeiten, wenn der Verantwortliche die Anweisung dafür gibt.
  • Meldepflicht bei Verletzung:
    Werden die personenbezogenen Daten unberechtigt oder unbeabsichtigt vernichtet, verloren oder verändert, muss die zuständige Aufsichtsbehörde davon unterrichtet werden. Ist absehbar, dass die Verletzung Risiken für Rechte und Freiheiten von Personen darstellt, muss die Aufsichtsbehörde innerhalb von 72 Stunden in Kenntnis gesetzt werden.

 

  • In folgenden Fällen ist die Ernennung eines Datenschutzbeauftragten erforderlich:
    • In Behörden und öffentlichen Einrichtungen
    • Wenn mehr als 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind.
    • In Unternehmen, die sensible Daten bearbeiten.
    • Darüber hinaus kann die EU oder ihre Mitgliedstaaten weitere Fälle vorschreiben, einen Datenschutzbeauftragten zu ernennen, die aktuell noch nicht in der DSGVO enthalten sind.
  • Ausarbeitung von Verhaltensregeln:

Verhaltensregeln, die abhängig von den spezifischen Anforderungen des Unternehmens und den Besonderheiten der Datenbearbeitungssektoren sind, müssen aufgestellt werden. Diese werden an die zuständige Datenschutzbehörde übermittelt und geprüft, ob sie mit der DSGVO konform sind. Ein Zertifizierungsmechanismus ist ebenfalls vorgesehen.

  • Benennung eines Vertreters:

Sind die Bedingungen erfüllt, dass die Verordnung auch für ein bestimmtes Schweizer Unternehmen gilt, muss dieses genau einen Vertreter benennen. Dieser Vertreter muss in einem einzigen der EU-Staaten seinen Sitz einnehmen, in dem Personen leben, deren Daten bearbeitet oder Verhalten beobachtet werden.

Dieser Vertreter ist für den Kontakt zwischen den Aufsichtsbehörden und auch für die Personen, deren Daten erhoben werden, zuständig. Ein Vertreter muss nicht ernannt werden für:

  1. „eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschliesst und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, oder
  2. Behörden oder öffentliche Stellen.“

Sanktionen

Wenn Verstösse gegen die DSGVO vorliegen, werden Sanktionen verhängt, die wirksam, verhältnismässig und abschreckend sein sollen. Dafür gibt es verschiedene Möglichkeiten, wie beispielsweise:

  • Mahnungen,
  • Verwarnungen,
  • Förmliche Bekanntmachungen,
  • Beschränkungen der Bearbeitung
  • oder Geldbussen.

Die Geldbussen können bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen, so dass hier durchaus ein abschreckender Faktor vorhanden ist.

 

Zusammenfassung und Fallbeispiel DSGVO für KMU in der Schweiz:

Ein kleines, mittelständisches Transport und Kurier Unternehmen mit Sitz in Bern, 10 Mitarbeiter erledigt Aufträge vorwiegend im DACH Raum (Deutschland, Österreich, Schweiz). Die Firma fällt unter die DSGVO, da Handelsbeziehungen in die EU bestehen. Was muss die Firma unternehmen, damit sie DSGVO konform arbeitet?

  1. Sie muss ihre Kunden informieren und die Einwilligung der Personen einholen, deren Daten verarbeitet werden
  2. Datenmapping: Systematische und präzise Erfassung der bearbeiteten Personendaten und Bearbeitungsvorgänge durchführen
  3. Es muss „privacy by design“ und „privacy by default“ garantiert werden (siehe weka.ch.)
  4. Es muss ein Vertreter im EU Raum benennt werden, sofern mehr als 10 Personen ständig mit personenbezogenen Daten beschäftigt sind. Das heisst, die Firma im Fallbeispiel sowie die Mehrheit der Schweizer Kleinunternehmer brauchen wohl keinen Datenschutzbeauftragten und keinen Vertreter im EU Raum!
  5. Ein Verzeichnis der Verarbeitungstätigkeiten muss erstellt werden
  6. Verletzungen des Datenschutzes an die Aufsichtsbehörde melden
  7. eine Datenschutz-Folgenabschätzung (DSFA) durchführen
  8. bei Verstössen gegen die DSGVO drohen hohe Bussgelder.

 

Bildquelle: Ivan Marc – 774890887 / Shutterstock.com.
Die Datenschutzerklärung der WebAgentur Wymann finden Sie hier