×

Das neue EU Datenschutzgesetz DSGVO fordert auch Schweizer Unternehmen

RSS
DSGVO in der Schweiz

Die DSGVO (Datenschutzgrundverordnung) ist in diesen Tagen bei Unternehmen und Datenschützer in aller Munde. Dies aufgrund des nahenden Stichtages, dem 25. Mai 2018, ab welchem die Verordnung zur Anwendung gilt. Unternehmen müssen ab dann strengere Regeln einhalten, damit personenbezogene Daten besser geschützt werden.

Mit EU-Datenschutz-Grundverordnung (DSGVO) wird der Datenschutz nun so weitreichend geregelt, wie nie zuvor. Diese Verordnung betrifft nicht nur Unternehmen in der EU, sondern auch den Rest der Welt. Um der Verordnung zu entsprechen, müssen Unternehmen wissen, wie die DSGVO personenbezogene Daten definiert, wo diese Daten sich im Unternehmen befinden, wie sie genutzt werden, wer auf sie zugreifen darf und vieles mehr.

 
 

Was ist die DSGVO?

Die DSGVO ist ein EU-Gesetz, das unmittelbar in den Mitgliedsstaaten wirkt. Ziel ist die Schaffung eines einheitlichen Rechtsrahmens innerhalb der EU, welcher die grundlegenden Bestimmungen über den Datenschutz regelt.
Neben verschiedenen anderen Bereichen, regelt die DSGVO auch die Erfassung von Daten, welche im Internet (auch von Drittstaaten ausserhalb der EU) gesammelt werden. Dementsprechend muss jede Schweizer Unternehmung, welche Online-Aktivitäten (eine Webseite, einen Newsletter, einen Online-Shop etc.) betreibt, genau abklären, inwiefern sie von der DSGVO tangiert ist und welche Vorschriften eingehalten werden müssen.
Nutzer erhalten mit der neuen DSGVO somit auch mehr Rechte und können verlangen, dass ihre persönlichen Daten gelöscht und/oder ausgehändigt werden.
Hier geht’s zum Gesetzestext: Datenschutzgrundverordnung

 
 

Für wen gilt die DSGVO?

Von der neuen Datenschutzgrundverordnung sind nicht nur Unternehmen, die in der EU angesiedelt sind, betroffen. Die DSGVO findet auf jeden Umgang mit Personendaten (einschliesslich Beschaffung, Speicherung, Löschung, Anonymisierung, Weitergabe etc.; kurz «Verarbeitung») durch schweizerische Unternehmen Anwendung, sofern das Unternehmen:

• mit einer Niederlassung innerhalb der EU vertreten ist (dazu zählen Tochtergesellschaften, Zweigniederlassung, Agenturen oder lokale Repräsentanzen) und im Zusammenhang mit dieser Niederlassung Personendaten verarbeitet.

Angebote auf natürliche Personen in der EU ausrichtet (Beispiel: ein Unternehmen in der Schweiz vertreibt über eine Website Waren, Angebote oder Dienstleistungen bewusst auch nach Deutschland, Österreich, Frankreich etc.) und somit auch Personendaten von Kunden in der EU erfasst und gespeichert werden.

• das Verhalten von Personen in der EU beobachtet (z.B. Benutzer-Tracking auf Websiten mittels Google Analytics, Newsletter-Statistiken erfasst etc.). 

Verträge mit Unternehmen in der EU eingegangen ist, welche das Unternehmen verpflichtet die DSGVO einzuhalten.

Im Ergebnis haben sich sehr viele oder fast alle Unternehmen in der Schweiz mit der EU-DSGVO zu befassen – auch wenn sie in der EU keine Niederlassung haben.

 

Was passiert bei Nichteinhaltung?

Bei Nichteinhaltung der Bestimmungen kommen riesige Strafen auf Unternehmungen zu. Die Bussgelder können auf bis zu 20 Millionen Euro beziehungsweise bis zu vier Prozent des Jahresumsatzes ausgesprochen werden. Bei grösseren Konzernen kann dies dann schon in die Milliarden gehen. Somit wird ab dem 25. Mai 2018 der Datenschutz erstmals auf der gleichen Stufe wie die Steuerpflicht stehen.

 

Was ist nun zu tun?

Zum Handeln aufgefordert sind fast alle Unternehmungen, welche eine Webseite betreiben und der DSGVO unterstehen. Die Gründe dafür sind zum Teil offensichtlich, zum Beispiel wenn auf einer Internetseite Web-Analyse Tools wie Google Analytics zum Einsatz kommen. Diese Tools sammeln personenbezogene Daten in Form von IP-Adressen und Cookies. Dementsprechend muss die Datengewinnung anonymisiert und der User über die Datenaufzeichnung informiert werden.

Jedoch sind auch Webseitenbetreiber, welche keine Web-Analyse Tools in Betrieb haben, nicht vor der DSGVO befreit. Die «Datenkraken» von bekannten Suchmaschinen und sozialen Netzwerken können nämlich auch ohne das Bewusstsein des Webseitenbetreibers Daten sammeln. Kommt auf einer Webseite beispielsweise ein sogenanntes Social Plugin wie ein Facebook Share Button zum Einsatz, können bereits Daten an den Social Media Giganten geliefert werden. Oder haben Sie einen einfachen Anfahrtsplan anhand einer Karte von Google Maps auf Ihrer Seite eingebunden? Auch in diesem Falle kann es sein, dass Daten erfasst und unverschlüsselt weitergegeben werden, was eine DSGVO Rechtswidrigkeit darstellen würde.

Ein weiteres Potenzial für einen Verstoss gegen die Verordnung stellen die Newsletter-Abonnenten dar. Viele Unternehmen haben in ihrem Newsletter-Verteiler viele Adressen, bei welchen nicht mittels «Double-opt-in»-Verfahren die Erlaubnis des Empfängers eingeholt wurde und schon gar nicht nachgewiesen werden kann. Zudem sind kombinierte Anmelde-Prozedere (z.B. Wettbewerb-Teilnahme und Newsletter-Anmeldung) nicht mehr erlaubt und müssen vom Verteiler entfernt werden.

Dementsprechend müssen beinahe alle Webseiten anhand der neuen gesetzlichen Rahmenbedingungen überarbeitet werden, um sicher zu stellen, dass keine Gesetzes-Verstösse vorliegen. Nur so können Sie das Risiko minimieren, Bussen zu erhalten.

 
 

Wir sind Ihnen bei der Einhaltung der Richtlinien behilflich

Sehr gerne helfen wir Ihnen bei der Einhaltung der DSGVO in Ihren Online-Aktivitäten. Kontaktieren Sie uns direkt per Telefon +41 71 788 39 60 oder per Mail an infowebstobe.ch, damit wir mit Ihnen das weitere Vorgehen besprechen können.

DSGVO-Beratung - jetzt Kontakt aufnehmen

 
 

Haftungshinweis

Der Inhalt dieses Blog-Beitrages wurde vom Verfasser auf Basis der aktuell verfügbaren Literatur erstellt. Es wird darauf hingewiesen, dass viele Fragen noch nicht abschliessend geklärt wurden und für die Schweiz zusätzliche das revidierte Datenschutzgesetz zählen wird. Somit sind zu einigen Punkten noch unterschiedliche Auffassungen vertreten. Auf Richtigkeit und Vollständigkeit wird keine Haftung übernommen. Die Inputs im Blog-Beitrag ersetzen keine individuelle Rechtsberatung und müssen pro Unternehmen gesondert geprüft werden.

 
Keine Kommentare
Kommentar hinzufügen

Felder mit * sind Pflichtfelder!

Aktuelle Kommentare

    Archiv

    Verwandte Posts