PARTNER-POST Was sich mit der EU-DSGVO ändert

Die EU-Datenschutz-Grundverordnung gilt auch für die Schweiz

Uhr
von Cornelia Lehle, Sales Director G Data Schweiz

Ab dem 25. Mai 2018 läuft die Übergangsfrist der EU-Datenschutz-Grundverordnung (EU-DSGVO) ab. Ab dann muss sie in der gesamten Europäischen Union verbindlich angewendet werden. Warum die EU-DSGVO auch für die Schweiz als Nicht-EU-Land eine wichtige Rolle spielt, wird in diesem Artikel erklärt.

(Source: aleksandr_samochernyi / Freepik // Netzmedien)
(Source: aleksandr_samochernyi / Freepik // Netzmedien)

Zum ersten Mal wird mit der neuen EU-Datenschutz-Grundverordnung EU-DSGVO eine einheitliche rechtliche Grundlage in der Europäischen Union geschaffen. Ganz allgemein gesprochen wird mit der EU-DSGVO der Schutz persönlicher Daten gestärkt und durch sie wird festgelegt, ob und in welcher Weise die Daten erhoben, verwendet und gespeichert werden dürfen. Was viele Schweizer Unternehmen nicht wissen: Jede Bürgerin und jeder Bürger der Europäischen Union erhält diesen besonders gestärkten Schutz, weshalb auch Firmen aus der Schweiz, die mit Kunden aus der EU interagieren oder Daten erheben, jene Datenschutzgesetze beachten müssen. Selbiges gilt auch dann, wenn eine Niederlassung oder eine Tochtergesellschaft in der EU existiert. Wenn jenes Dienstleistungsunternehmen Kundendaten verarbeitet und diese mit dem IT-Rechenzentrum des Hauptsitzes in der Schweiz austauscht, so gilt auch hier die EU-DSGVO.

Cyberattacken sind ausnahmslos meldepflichtig

Unternehmen, die mit personenbezogenen Daten arbeiten, sind dazu aufgefordert, geeignete Massnahmen zum Schutz von Kundendaten zu ergreifen. Die in der jüngsten Vergangenheit immer öfter auftretenden Datenschutzpannen sollen unter eine Meldepflicht fallen. Hierfür bedarf es auch einen externen oder internen Datenschutzbeauftragten, der bei den Behörden zu benennen ist.

Fortan müssen Unternehmen, laut den Vorgaben des Art. 33 EU-DSGVO, Datenpannen, bei der der Schutz von personenbezogenen Daten verletzt wurde, binnen 72 Stunden nach Bekanntwerden der Aufsichtsbehörde gemeldet werden. Erhält indes die Behörde Kenntnis über einen Verstoss, so muss das Unternehmen laut Art. 83 EU-DSGVO Bussgelder von bis zu 20 Millionen Euro bezahlen, respektive 4 Prozent des weltweiten Firmenjahresumsatzes. Diese Summen werden beispielsweise dann aufgerufen, wenn ein Unternehmen das Recht auf Vergessenwerden verletzt.

Es wird Zeit für die Datenschutz-Folgen­abschätzung

In allen Betrieben werden heutzutage, in welcher Form auch immer, EDV-Systeme genutzt. Diese werden hauptsächlich zur Auftragsbearbeitung, Kundenkarteipflege oder zum kommunikativen Austausch mit verschiedenen externen Dienstleistern verwendet. Und genau hier beginnt es, interessant zu werden, denn ein Schweizer Unternehmen, das beispielsweise einen französischen Dienstleister beauftragt, muss sicherstellen, dass Vertraulichkeit und Integrität der Daten weiter gewährleistet sind. Sofern hierbei ersichtlich wird, dass durch die Auftragsdatenverarbeitung ein erhöhtes Risiko für die Rechte der Betroffenen besteht, muss laut Art. 35 EU-DSGVO eine Datenschutz-Folgenabschätzung stattfinden. Sie gliedert sich in Eskalationsstufen, die sich von der Überprüfung des Risikos für die Rechte und Freiheiten der Betroffenen, bis hin zu der Informationspflicht gegenüber der Aufsichtsbehörde erstrecken.

Man kann es nicht oft genug sagen: Der 25. Mai 2018 rückt immer näher. Je nach Unternehmensgrösse sollten Schweizer Unternehmen den Aufwand, den die EU-DSGVO verursacht, nicht unterschätzen. Deshalb sollte spätestens jetzt gehandelt werden, um nicht unnötigerweise noch mehr Zeit zu verlieren – die Verordnung und die Deadline stehen.

Webcode
DPF8_68819