Was bedeutet die neue Datenschutz-Verordnung GDPR?
Die GDPR ist die europäische General Data Protection-Regulation, im EU-Sprachgebrauch Datenschutz-Grundverordnung (DSGVO). Sie ist ab dem 25. Mai 2018 anzuwenden. Auch Schweizer Unternehmen müssen den Richtlinien folgen, wenn sie mit EU-Firmen und -Verbrauchern Geschäfte tätigen. Unterlassungen können empfindliche Geldbussen nach sich ziehen.
Auswirkungen der europäischen Datenschutzverordnung auf Schweizer Unternehmen
Die neue Verordnung GDPR müssen auch Schweizer Unternehmen mit europäischem Geschäftsverkehr und ab einer Belegschaft von 250 Mitarbeitenden oder bei einer systematischen Verarbeitung von Personendaten beachten. Sie haben dann einen Datenschutzbeauftragten zu bestimmen, den das DSG (Schweizer Datenschutzgesetz) bislang noch nicht vorsieht. Es soll aber dahingehend revidiert werden. Der Datenschutzbeauftragte rapportiert an die Geschäftsleitung und auch an die Behörden, wenn er Datenschutzverletzungen feststellt.
Die wesentlichen Regelungen der GDPR
Als wesentlich gilt unter anderem das “Recht auf Vergessenwerden” (Artikel 17 DSGVO). Das bedeutet, dass personenbezogene Daten zu löschen sind, wenn sie nicht mehr benötigt werden. Die Löschung können Betroffene verlangen, Unternehmen müssen sie aber auch freiwillig und ungefragt vornehmen. Ein weiteres Recht betrifft die Datenübertragbarkeit (Artikel 20 DSGVO), betroffenen Personen sind ihre Daten in einem maschinenlesbaren Format auszuhändigen.
Mögliche Sanktionen der Datenschutzverordnung
Die EU setzt bei Verstössen harte Bussgelder durch. Sie können vier Prozent des Jahresumsatzes und maximal 20 Millionen Euro (knapp 24 Millionen Franken) erreichen (Artikel 83 DSGVO, Absatz 5). Die EU-Mitgliedsstaaten können die Sanktionsmöglichkeiten zusätzlich ausweiten. Der Erwägungsgrund 149 erlaubt es beispielsweise, bei Verstössen gegen die DSGVO Gewinne einzuziehen.
Privacy by Design und Privacy by Default
Diese beiden Begrifflichkeiten sollten Unternehmer kennen, sie werden im Erwägungsgrund 78 genannt. Das Design von Datenverarbeitungsanlagen muss laut DSGVO so beschaffen sein, dass es dem Datenschutz genügt. Unternehmen müssen also moderne, sichere Anlagen einsetzen, die einen ausreichenden Schutz gegen Hackerangriffe bieten. Vielleicht noch wichtiger ist die Beachtung von Privacy by Default. Das betrifft die Voreinstellungen bei der Aufnahme von personenbezogenen Daten. Es reicht künftig nicht mehr, dass Unternehmen ihre Kunden bei der Datenerfassung auf die Möglichkeit der Werbung an die hinterlegte Adresse hinweisen und ihnen anbieten, diese Möglichkeit (aktiv) abzuwählen. Vielmehr müssen die Unternehmen diesen Punkt so gestalten, dass der Kunde aktiv anwählen müsste, dass er Werbung haben möchte. Wenn er nichts unternimmt, werden seine Daten auf keine andere Weise als zum ursprünglichen Zweck (zum Beispiel Kauf im betreffenden Online-Shop) verwendet.
Meldepflichten der GDPR
Kommt es zu Verstössen gegen den Datenschutz, muss der Datenschutzbeauftragte diese in den nächsten 72 Stunden der zuständigen Behörde melden. Das ist ein knapper Zeitraum, in welchem oft nicht einmal die Ursache eines Datenlecks auszumachen ist. Vielfach sickern Daten ungewollt nach aussen. Manchmal rächen sich auch (ehemalige) Mitarbeiter an ihrem Arbeitgeber und geben personenbezogene Daten weiter. Sollte so ein Vorfall viele Daten betreffen, würde das Unternehmen in eine kritische Situation geraten: Alle Betroffenen müssen ebenfalls informiert werden.
Wie kommen Schweizer Unternehmen den Anforderungen der Datenschutzverordnung nach?
Alle Unternehmen – auch die der Schweiz – sollten künftig den Datenschutz noch stärker als bisher schon in der Entwicklungsphase von Produkten und Dienstleistungen implementieren. Da sich in den nächsten Jahren das IoT (Internet of Things) ganz sicher flächendeckend durchsetzen wird, dürfte diese Implementierung durchaus ein wichtiges Thema werden. Betroffen sind unter anderem Fitnesstracker, Lokalisierungsmöglichkeiten von intelligenten Fahrzeugen und intelligente Stromzähler. Es gibt zahllose weitere Bereiche, in denen der Datenschutz neu überdacht werden muss.
Wie gut sind die Schweizer Unternehmen gegenwärtig aufgestellt?
Anfang 2018 äusserte sich die Länderchefin von Microsoft Marianne Janik zum Thema. Nach ihrer Einschätzung waren zu diesem Zeitpunkt höchstens 35 bis 40 Prozent der Schweizer Firmen DSGVO-konform aufgestellt. Viele Unternehmen würden einfach abwarten, was wohl auf sie zukäme, so Janik, doch das sei falsch. Die EU werde bezüglich des Datenschutzes ab dem 25. Mai 2018 eine Null-Toleranz-Politik fahren. Wer durch einen nachlässigen Umgang mit personenbezogenen Daten auffalle, müsse umgehend mit den geschilderten Sanktionen rechnen.
Bist du unsicher, was deinen Webauftritt und die DSGVO angeht? Kontaktiere uns! Wir helfen dir gern weiter.
