EU-Datenschutz betrifft Schweizer Unternehmen

Die neue EU-Datenschutzverordnung nimmt Unternehmen in Zusammenhang mit personenbezogenen Daten ab dem 28. Mai 2018 stärker in die Pflicht. Betroffen sind auch die meisten Unternehmen in der Schweiz.

Den Schutz der Persönlichkeit und der Grundrechte von Personen, deren Daten bearbeitet werden, regelt in der Schweiz seit 1992 das Bundesgesetz über den Datenschutz. Für die Bearbeitung von personenbezogenen Daten muss grundsätzlich eine Einwilligung vorhanden und die Bearbeitung zweckbezogen und verhältnismässig sein.

Ab dem 25. Mai 2018 gilt in der Europäischen Union die neue Datenschutz-Grundverordnung (DSGVO). Mit dieser soll die Privatsphäre von Personen künftig besser geschützt werden. Die Verarbeitung von Daten identifizierter oder identifizierbarer Personen ist grundsätzlich verboten, ausser bei Einwilligung oder wenn ein sogenanntes überwiegendes Interesse dafür besteht

Daten von Personen in der EU müssen geschützt werden
Die DSGVO betrifft nicht nur Unternehmen, die ihren Sitz in der EU haben. Betroffen sind auch Unternehmen ausserhalb der EU, die Daten von Personen in der EU verarbeiten – unabhängig von Staatsangehörigkeit und Wohnsitz. Dies ist der Fall, wenn eine Firma Waren oder Dienstleistungen in der EU anbietet (z. B. auch an Schweizer im grenznahen Ausland). Oder wenn ein Unternehmen personenbezogene Daten mit dem Zweck erhebt, das Verhalten der Personen zu analysieren (z. B. mittels Cookies oder Google Analytics).

Je nach Grösse haben Unternehmen künftig eine ganze Reihe neuer Pflichten. So müssen sie unter anderem dokumentieren und Betroffenen auf Anfrage mitteilen, welche Daten sie zu welchem Zweck bearbeiten und an Dritte weitergeben. Personenbezogene Daten müssen auf Verlangen berichtigt oder gelöscht werden.

Bearbeitung von Personendaten erfordert eine Einwilligung
Bei der Erfassung von Daten – beispielsweise bei Newsletter-Anmeldungen – sollten Unternehmen künftig die aktive Einwilligung zur Nutzung der Daten dokumentieren. Konkret bedeutet dies, dass Betroffene eine Newsletter-Anmeldung bestätigen müssen (z.B. mittels Double-Opt-In-Verfahrens). Buttons, in denen das Häkchen automatisch gesetzt wird, stellen gemäss DSGVO keine Einwilligung mehr dar.

Neu müssen nicht mehr die Opfer einen Datenmissbrauch beweisen, sondern die Unternehmen, dass sie sich gesetzeskonform verhalten. Zudem können künftig Aufsichtsbehörden klagen. Bei Verstössen drohen je nach Schweregrad Abmahnungen bis zu abschreckenden Geldbussen.

Als Nutzer von Google, Facebook und anderen Diensten willigt man in deren Nutzungsbestimmungen ein. Damit erlaubt ein Nutzer auch die Bearbeitung und Auswertung seiner Daten z. B. für die Auslieferung von personalisierter Werbung. Unternehmen sollten einen schriftlichen Vertrag zur Auftragsdatenbearbeitung haben, dafür stehen meist Standardverträge der entsprechenden Anbieter zur Verfügung. Bei der Wahl von Software sollte man sicherstellen, dass diese die Datenschutzrichtlinien der EU einhalten (Privacy Shield).

Ferner ist die Verarbeitung von personenbezogenen Daten erlaubt, wenn das Interesse der betroffenen Person am Schutz der Daten das Interesse des Unternehmens an der Verarbeitung der Daten nicht überwiegt (DSGVO Art. 6). Dies ermöglicht grundsätzlich den Einkauf von Adressdaten sowie Dialogmarketing. Wie dies rechtlich ausgelegt werden wird, ist noch unklar.

Entsprechen die bisher eingeholten Einwilligungen den Anforderungen der DSGVO, können Sie davon ausgehen, dass diese Einwilligungen auch nach dem 25. Mai 2018 gültig bleiben. Die Einwilligung muss freiwillig erfolgen und darf nicht an die Erfüllung eines Vertrages gekoppelt werden.

Empfehlungen

Unsere Beispiele dienen der Veranschaulichung und müssen je nach Fall angepasst oder erweitert werden.

  • Machen Sie eine Bestandesaufnahme und dokumentieren Sie die Bearbeitung der personenbezogenen Daten (Erfassung, Übermittlung, Speicherung, Löschung, Zugriff)
  • Passen Sie Ihre Website an: ergänzen Sie rechtliche Hinweise, allgemeine Geschäftsbedingungen und Bestimmungen zum Datenschutz. Weisen Sie auf Opt-Out-Möglichkeiten hin (vgl. auch unsere Datenschutzbestimmungen).
  • Nehmen Sie Daten über Webformulare (inkl. Newsletter-Anmeldungen) nur mit Angabe des Zwecks und Art der Bearbeitung entgegen. Die Einwilligung der Bearbeitung muss dabei aktiv gesetzt werden (vgl. auch unser einfaches Kontaktformular). Newsletter müssen abgemeldet werden können.
  • Ihr Webtracking (z.B. Google Analytics) sollten Sie anonymisieren. Dies macht die Auswertung zwar weniger genau, jedoch personenunabhängig. Bisherige Analytics-Daten müssen laut DSGVO gelöscht werden.
  • Lassen Sie den Einsatz von eingebundenen Webtechnologien prüfen, und ersetzen Sie diese wenn nötig (z.B. Social Plugins, gehostete Schriften, Video-Embedding).
  • Falls Sie ohne entsprechende Einwilligung gemäss DSGVO über personenbezogene Daten von Personen in der EU verfügen, sollten Sie von diesen die Einwilligung einholen oder deren Daten löschen.

 

Selbstverständlich stehen wir Ihnen bei der Umsetzung dieser Massnahmen zur Verfügung. Gerne beantworten wir Ihre Fragen bei einem persönlichen Gespräch. Jetzt Kontaktanfrage senden

 

Haftungsausschluss: Dieser Artikel dient nur der Information und ersetzt keine Rechtsberatung. Es besteht kein Anspruch auf Vollständigkeit, Kommentare an datenschutz@fconnection.com sind willkommen und Änderungen sind vorbehalten (Stand 7. Mai 2018).

> Alle News

Jobs