Europäischer Datenschutz

Die neue EU-DSGVO: Auswirkungen auf Schweizer Unternehmen

Uhr
von Bettina Schuhmacher, Contract Manager Legal, Ricoh Schweiz

Am 25. Mai 2018 tritt die neue Europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft, die auch Auswirkungen auf Schweizer Unternehmen haben wird. Einzelpersonen erhalten mehr Kontrolle über ihre personenbezogenen Daten und Unternehmen werden bei Verstössen zur Verantwortung gezogen.

(Source: Anyka / Fotolia.com)
(Source: Anyka / Fotolia.com)

Die EU-DSGVO findet Anwendung, wenn folgende Bedingungen erfüllt sind:

  • Sachlicher Anwendungsbereich: wenn eine "ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten stattfindet, sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen" (Art. 2 Abs. 1 DSGVO). Gemeint sind also alle personenbezogenen Daten, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Darunter fallen auch Daten, die auf den ersten Blick nicht als persönlich einzustufen sind, wie zum Beispiel Nutzer IDs oder GPS-Daten.

  • Räumlicher Anwendungsbereich: wenn der Datenverantwortliche oder -bearbeiter seine Niederlassung in der EU hat, unabhängig davon, ob die Bearbeitung in der EU stattfindet. Die DSGVO betrifft zudem alle Unternehmen, Behörden und gemeinnützigen Organisationen, die Waren und Dienstleistungen an Personen in der EU verkaufen, beziehungsweise Daten von EU- Bürgern erfassen und sammeln. Weshalb sie auch auf Schweizer Unternehmen anwendbar sein kann, wenn diese etwa Kundendaten von EU-Bürgern erfassen (Art. 3 DSGVO).

Wesentliche Neuerungen

Doch welche Rechte und Pflichten sieht die neue DSGVO vor? Gleich bleibt, wie Personendaten bearbeitet werden dürfen: Nötig ist eine Einwilligung oder ein Rechtfertigungsgrund für die Erfassung und dass Personendaten durch angemessene organisatorische und technische Massnahmen geschützt werden.

Neu sind die Kontrollmöglichkeiten der betroffenen Personen: Verankert wurden unter anderem das Recht auf Information oder ein Berichtigungsrecht. Ausserdem sind Datenverantwortliche nun verpflichtet, die Einhaltung der allgemeinen Grundsätze der EU-DSGVO aktiv nachweisen zu können.

Die Verordnung sieht besonders folgende Pflichten vor:

  • Personendaten müssen durch angemessene technische oder organisatorische Massnahmen gesichert sein ("privacy by design"; "privacy by default").

  • Bei mehr als 250 Beschäftigten muss der Datenverantwortliche ein elektronisches Register führen, in der die Bearbeitungstätigkeiten erfasst werden.

Mögliche organisatorische und technische Massnahmen sind beispielsweise:

  • Pseudonymisierung und Verschlüsselung personen­bezogener Daten

  • Zugangskontroll- und Identifikationsmanagement­systeme für den Zugang zu den Daten

  • die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls schnellstmöglich wiederherzustellen

Bei Verletzungen des Schutzes personenbezogener Daten muss dies der Aufsichtsbehörde, in einigen Fällen auch der betroffenen Person, gemeldet werden. Wenn verschiedene Voraussetzungen erfüllt sind, können die Aufsichtsbehörden Sanktionen verhängen. Diese Sanktionen können aus­ser abschreckenden Massnahmen (etwa Mahnungen, Verwarnungen) auch Geldbussen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes umfassen.

Es gibt also verschiedene, technische Massnahmen, die man ergreifen kann, um den Schutz der erfassten Daten zu gewährleisten. Ob die Einhaltung der EU-DSGVO auch für Ihr Unternehmen Pflicht ist und welche Lösung für Sie sinnvoll ist, muss jeweils einzeln abgeklärt werden.

Webcode
DPF8_92020