Von Simon Richle publiziert am 19. April 2018

DSGVO in der Schweiz: 7 Punkte, die betroffene Unternehmen beachten müssen

Ab dem 25. Mai gilt EU-weit die neue Datenschutzgrundverordnung (DSGVO) der Europäischen Union, was, besonders bei Marketing-Verantwortlichen, in den nächsten Wochen bestimmt für die eine oder andere Schweissperle auf der Stirn sorgen wird – auch in der Schweiz. Denn obwohl die Schweiz nicht grundsätzlich dem EU-Recht unterliegt und somit nicht ganzheitlich dem im Englischen General Data Protection Regulation (GDPR) genannten Gesetz unterstellt ist, gibt es bestimmte Fälle, in denen das DSGVO auch ausserhalb der EU greift.

Wer ist in der Schweiz betroffen?

Es bestehen genau zwei Szenarien, in denen Unternehmen, die in der Schweiz ansässig sind, direkt von den Regelungen der DSGVO betroffen sind, obwohl sie eigentlich nicht innerhalb der EU wirtschaften:

  • Für Schweizer Unternehmen, die explizit auch EU-Bürgern ihre Waren oder Dienstleistungen anbieten, gilt das DSGVO ab dem 25. Mai vollumfänglich – auch bei unentgeltlichen Angeboten. Dies ist beispielsweise der Fall, wenn in einem Webshop Kunden aus einem EU-Land angesprochen, Preise in Euro aufgeführt oder Versandpreise in EU-Länder angegeben werden. Auch Inhalte in Sprachen von EU-Ländern – ausser den Schweizer Landessprachen – reichen bereits aus.
  • Auch Schweizer Unternehmen, die durch Datenverarbeitung das Nutzungsverhalten von EU-Bürgern erfassen wollen, sind vom DSGVO/GDPR betroffen. Wenn also beispielsweise für die Profilerstellung eines Nutzers dessen Internetaktivitäten mit Google Analytics oder ähnlichen Tools nachvollzogen werden, greift auch hier die neue Datenschutzgrundverordnung.

Welche Punkte müssen von den betroffenen Schweizer Unternehmen beachtet werden?

Um sich vor den immens hohen Bussgeldern - diese können bis zu 20 Millionen Euro oder 4% des Jahresumsatzes betragen - bei Verstössen gegen das DSGVO zu schützen, müssen von den betroffenen Unternehmen zwingend einige Richtlinien eingehalten werden. Wir haben für Sie deshalb 7 Punkte zusammengestellt, mit deren Einhaltung Sie sich vor Fehltritten schützen können:

  1. Holen Sie vor der Datenverarbeitung eine Einwilligung ein! Die betroffenen Nutzer müssen dabei ohne jeglichen Zwang frei wählen können, ob ihre Daten gespeichert und verwendet werden dürfen. Ausserdem müssen sie ausreichend über die Einwilligung, welche online erfolgen kann und jederzeit widerrufbar sein muss, und die Datenverarbeitung genügend informiert werden.
  1. Schützen Sie die Daten Ihrer Nutzer! Durch den „Privacy by Design“-Ansatz müssen Sie bereits bei der Planung einer neuen Datenverarbeitung die nötigen Datenschutz-Massnahmen miteinbeziehen, indem Sie beispielsweise für eine regelmässige Datenbereinigung oder -löschung sowie für die Anonymisierung der Daten sorgen.
  1. Sorgen Sie für datenschutzfreundliche Voreinstellungen! Der „Privacy by Default“-Ansatz hält die Unternehmen dazu an, ihre User durch datenschutzfreundliche Voreinstellungen zu schützen. Dazu zählt unter anderem, dass nur diejenigen Daten gesammelt werden dürfen, die für den Prozessablauf auch wirklich notwendig sind. So muss beispielsweise die Standardeinstellung bei der Erlaubniseinholung für die Datenverarbeitung „nicht erlauben“ sein, und Onlineshops müssen auch Einkäufe ermöglichen, ohne dass ein Nutzerprofil erstellt werden muss.
  1. Ernennen Sie einen EU-Vertreter! Vom DSGVO/GDPR betroffene Schweizer Unternehmen müssen einen in der EU ansässigen Datenschutz-Vertreter ernennen. Ein solcher dient als Anlaufstelle für sämtliche Anfragen, die von betroffenen Privatpersonen oder Aufsichtsbehörden ausgehen und die Einhaltung der Datenschutzgrundverordnung oder die Auskunft über gespeicherte Nutzerdaten betreffen.
  1. Erstellen Sie ein Verzeichnis von Ihren Verarbeitungstätigkeiten! Bezüglich der Sammlung und Verarbeitung von Nutzerdaten müssen Sie jederzeit absolut transparent sein. Sämtliche Prozesse der Datenverarbeitung müssen dokumentiert werden, wobei deklariert werden muss, welche Daten gesammelt und wofür diese genutzt werden, wer zum Kreis der Betroffenen gehört und wer die allfälligen Empfänger der gesammelten Daten sind.
  1. Melden Sie DSGVO-Verletzungen! Verstösse gegen die Datenschutzgrundverordnung der EU müssen innerhalb von 72 Stunden bei der Aufsichtsbehörde gemeldet werden. Zudem sollten Sie in einem solchen Fall wenn nötig auch die betroffenen Personen über die Verletzung der GDPR benachrichtigen.
  1. Führen Sie im Zweifelsfall eine Datenschutz-Folgenabschätzung durch! Wenn bei einer Datensammlung anhand bestimmter Eigenschaften der Erfassung, beispielsweise des Umfangs, des Zwecks oder der verwendeten Technologien, ein Risiko für die Freiheit und Rechte von betroffenen Personen besteht, ist eine Datenschutz-Folgenabschätzung notwendig. Falls daraus tatsächlich ein zu hohes Risiko resultiert, ist unbedingt die Aufsichtsbehörde für eine Beratung zu konsultieren.

 

New Call-to-action

Sind die Punkte auch für nicht direkt betroffene Unternehmen Relevant?

Für Schweizer Unternehmen, die nicht von der EU-DSGVO betroffen sind, stellt sich nun noch die Frage, ob sie den 7 Punkten trotzdem ihre Aufmerksamkeit schenken sollten. Die relativ simple Antwort hierzu lautet: Unbedingt!

Auch wenn es momentan noch nicht so weit ist, wird das Schweizer Datenschutz-Recht womöglich ab 2019 an das der Europäischen Union angepasst werden und ein revidiertes Schweizer Datenschutz-Gesetz (SDG) in Kraft treten. Deshalb ist also auch den momentan noch nicht betroffenen Unternehmen anzuraten, sich zumindest einmal mit dem Thema DSGVO und den dazugehörigen Pflichten für Ihr Unternehmen zu beschäftigen. Ihr Zukunfts-Ich wird es Ihnen danken.

 

Disclaimer

An dieser Stelle möchte ich noch darauf hinweisen, dass es sich bei diesem Blogartikel nicht um eine Rechtsberatung handelt. Die obenstehenden Informationen haben daher keine rechtsverbindliche Wirkung. Zur rechtsverbindlichen Prüfung in Ihrem Unternehmen sollten Sie in jedem Fall einen juristischen Experten hinzuziehen. Wir lassen uns in diesem Zusammenhang von unserem Datenschutzbeauftragten RA Christian Welkenbach (http://www.tcilaw.de/ ) beraten.