Wir spielen gerade

Wir spielen gerade

DSGVO im Überblick

Zurück zur Suche

Sage Advice – Logo
Sage AdviceDer Blog für fundiertes Unternehmerwissen
AbonnierenAbonnieren
DSGVO im Überblick

GDPR bzw. DSGVO, die neue Datenschutzverordnung der EU, tritt ab Mai in Kraft – und betrifft auch Schweizer Unternehmen. Wir zeigen Ihnen, worauf Sie achten müssen.

Am 25. Mai 2018 tritt der neue Datenschutzerlass der EU in Kraft. Unter der Abkürzung DSGVO (Datenschutz-Grundverordnung) bzw. auf Englisch GDPR (General Data Protection Regulation) macht der Erlass Schlagzeilen – auch in der Schweiz. Denn die Datenbestände vieler Schweizer Unternehmen fallen ebenfalls unter die EU-DSGVO. Stärkerer Datenschutz, mehr Pflichten.

Die DSGVO verschärft den Datenschutz für Privatpersonen in der Europäischen Union und nimmt Unternehmen stärker in die Pflicht. Bei Nichtbeachtung der Vorschriften drohen sehr empfindliche Bussen, die bis zu vier Prozent des jährlichen Umsatzes ausmachen können. Auch für Schweizer KMU lohnt es sich, das neue Regelwerk zu kennen und Vorkehrungen zu treffen.

Wann gilt DSVGO für Schweizer Unternehmen?

  • Wer für einen Datenverantwortlichen mit Sitz in der EU Personendaten bearbeitet, zum Beispiel ein schweizerischer Provider, der EU-Kunden bedient oder ein schweizerisches Unternehmen, das für seine in der EU ansässige Schwester-, Mutter- oder Tochtergesellschaft Daten von Personen mit EU-Domizil bearbeitet.
  • Wer Personen in der EU kostenpflichtige oder kostenlose Waren oder Dienstleistungen anbietet.
  • Wer das Verhalten von Individuen in der EU verfolgt, zum Beispiel durch das Tracking von Websites oder Apps.

In den letzten beiden Fällen hat das schweizerische Unternehmen einen Vertreter in der EU schriftlich zu benennen.

Das ist zu beachten:

  • Privatpersonen haben umfangreiche Rechte bezüglich ihrer Daten: Unter anderem müssen Firmen Auskunft geben über die gesammelten Daten, sie müssen die Daten auf Wunsch korrigieren, zurückgeben oder löschen («das Recht auf Vergessenwerden»), soweit dem nicht Aufbewahrungsrechte/-pflichten entgegenstehen (insbes. die Pflicht zur ordentlichen Führung der Geschäftsbücher). Ausserdem kann sich der Kunde gegen gewisse spezifische Verwendungen seiner Daten – beispielsweise für Marketingzwecke – wehren. Die Betroffenen sind neu auch berechtigt, ihre Daten von einem Ort zum anderen zu verschieben – auch zu einem Konkurrenten. Die personenbezogenen Daten müssen entsprechend in einem strukturierten, gängigen und maschinenlesbaren Format vorliegen, damit sie jederzeit problemlos verwendet werden können.
  • Ausdrückliche Zustimmung: Wichtig ist in diesem Zusammenhang auch, dass die Kundinnen und Kunden in den AGB zwingend auf ihre Rechte aufmerksam gemacht werden müssen. Eine stillschweigende Zustimmung zu datenschutzrelevanten Vorgängen ist nicht mehr wirksam: Vorausgewählte Kästchen, welche die Zustimmung der Betroffenen stillschweigend voraussetzen, sind beispielsweise nutzlos, d.h. sie erlauben eine Datenbearbeitung nicht.
  • Nachweis der Einhaltung: Gemäss der in der DSGVO vorgesehenen Rechenschaftspflicht muss ein Unternehmen die Einhaltung der Vorschriften auch nachweisen können, was umfassende Aufzeichnungspflichten mit sich bringt. Dokumentieren Sie jeden Ihrer Schritte. Details dazu erfahren Sie im Leitfaden von Sage zur Anwendung der DSGVO.
  • Meldepflicht: Wird der vorgeschriebene Datenschutz verletzt – werden beispielsweise Daten gestohlen – und müssen die Kunden dadurch mit negativen Folgen rechnen, ist das betroffene Unternehmen verpflichtet, die Verletzung innert 72 Stunden bei der zuständigen Aufsichtsbehörde im entsprechenden EU-Staat zu melden. Wiegt die Verletzung schwer, weil ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen besteht, muss auch der Betroffene selbst unverzüglich informiert werden. Und: Bei Nachlässigkeit im Umgang mit den anvertrauten Daten drohen empfindliche Bussen. Doch hier geht es nicht nur um das finanzielle Risiko, eine solche Veröffentlichung kann unter Umständen auch die Reputation eines Unternehmens nachhaltig schädigen. Die DSGVO sieht keine Ausnahmen für kleine Unternehmen vor.

Das ist zu tun:

Im Zweifelsfall sollten Sie sich intensiv mit der neuen europäischen Datenschutzverordnung befassen. Denn es braucht nicht viel, damit auch eine Schweizer Firma unter die neue EU-Verordnung fällt. Sage stellt Ihnen Unterlagen und ein Webinar zur Verfügung, die Ihnen detaillierter Auskunft geben.

  • Analysieren Sie den Ist-Zustand: Als erstes müssen Sie wissen, wessen Daten wo «liegen». Das tönt einfach, ist jedoch unter Umständen anspruchsvoll. So ist eine Kundendatenbank relativ einfach zu kontrollieren. Aber wissen Sie genau, welche Mails von welchem Absender wo gespeichert oder gesichert sind? Diese so genannten unstrukturierten Daten machen Datenschutzverantwortlichen am meisten Bauchschmerzen.
  • Passen Sie die Prozesse an: Reagieren Sie nicht erst auf eine Anfrage oder den Löschungswunsch eines Kunden. Bereiten Sie sich darauf vor, indem Sie frühzeitig die entsprechenden Prozesse definieren: Wer macht was womit? So können Sie schnell und professionell reagieren, wenn eine Anfrage bei Ihnen aufschlägt.
  • Technische und organisatorische Massnahmen: Um den Datenschutz während der gesamten Lebensdauer personenbezogener Daten zu erfüllen, müssen Datenschutzerwägungen vorab in jede Stufe der später geplanten Verarbeitung integriert werden. Dieser eingebaute Datenschutz heisst «Privacy by Design». Zudem dürfen nur diejenigen personenbezogenen Daten verarbeitet werden, die für den jeweils zulässigen Bearbeitungszweck zwingend erforderlich sind. “Privacy by Default” ist eine konkrete Umsetzungsvorgabe zur Datenminimierung, die neu per Verordnung geregelt ist.
  • Datenschutzbeauftragter: Die DSGVO verlangt, dass Unternehmen und Dritte, die personenbezogene Daten im Auftrag dieser Unternehmen verarbeiten unter bestimmten Umständen einen Datenschutzbeauftragten (Data Protection Officer, DPO) ernennen. Detaillierte Voraussetzungen erfahren Sie in folgendem Sage-Factsheet.
  • Holen Sie sich professionellen Rat: Dieser Artikel greift nur gewisse Teilbereich der neuen Datenschutz-Grundverordnung auf. Gerade bei der Optimierung der Prozesse, der Analyse der Daten und bei der Anpassung von AGB lohnt es sich unter Umständen, eine Fachperson beizuziehen.

Und die Schweiz?

Auch in der Schweiz steht ein neues Datenschutzgesetz an, das voraussichtlich in weiten Teilen die Vorschriften der DSVGO reflektieren wird. Es liegt seit Mitte September 2017 als Entwurf vor und wird als nächstes von den Räten behandelt. Firmen, die von DSVGO nicht betroffen sind, tun also gut daran, sich ebenfalls schon jetzt seriös auf eine neue Gesetzeslage auch in der Schweiz vorzubereiten.