DSGVO – Datenschutz ohne Ländergrenzen

Der Datenschutz kennt aufgrund der fortlaufenden Digitalisierung keine Ländergrenzen mehr. Am 25. Mai 2018 endet die Übergangsfrist für die neue europäische Datenschutzgrundverordnung (DSGVO). Dieses Mal können wir als Schweizer nicht «neutral» bleiben, denn laut Schätzungen spezialisierter Anwälte unterstehen rund 95 bis 99% der Schweizer Unternehmen zumindest teils dieser Verordnung.

 

Was kommt auf Sie zu? Erstmal keine Panik – wir verschaffen euch einen Überblick, was das genau heissen soll.

Sie erfassen keine personenbezogene Daten der EU Bürger?

Wenn Sie eine Website haben, tun Sie das automatisch – auch wenn unbewusst. Denn wie möchten Sie sicherstellen, dass sich beispielsweise kein deutscher Staatsbürger auf Ihre Website «verirrt»? (Mit einer Ausnahme: Sie benutzen einen Geo IP Block).

 

Bietet ein Unternehmen mit Sitz in der Schweiz seine Waren oder Dienstleistungen über die eigene Website auch Bewohnern der EU an, ist die DSGVO zu beachten. Ebenso wenn Sie keine Waren oder Dienstleistungen an Bewohner der EU über Ihre Website vertreiben, ist die Anwendbarkeit der DSGVO nicht ausgeschlossen.

 

Als «Erfassen von Daten» zählt bereits die Auswertung der Besucher auf der Webseite, beispielsweise mittels Google Analytics oder eines anderen Analysetools über mehrere Webseiten. Selbst wenn kein Analysetool verwendet wird, gilt die DSGVO, sobald Daten einer natürlichen Person aus dem EU-Raum über ein Kontaktformular gespeichert werden oder wenn Sie für diese Personen die Möglichkeit bieten, einen kostenlosen Newsletter zu abonnieren.

 

Fast 80 % aller Webseiten sammeln Daten mit Trackingcodes wie beispielsweise über Google Analytics oder Facebook.

0

 

Fast alle Webseiten verwenden Cookies für den Spamschutz oder die Wiedererkennung eines Besuchers im Shop.

0

 

Ganze 100 % aller Webserver/Hostingpartner sammeln in den Logdaten mindestens die IP-Adresse der Nutzer.

0

Auch wenn sie die Daten nicht explizit sammeln, passiert es bei jedem Besuch auf Ihrer Website. Also müssen Sie als Schweizer Unternehmen zumindest die Webseiten mit all ihren Funktionen DSGVO konform überarbeiten.

 

Kurz: Die neue europäische Datenschutzgrundverordnung (DSGVO) gilt für die meisten Unternehmen mit Sitz in der Schweiz.

 

Was genau wird in der EU-Datenschutzgrundverordnung geschützt?

Die personenbezogenen Daten wie Name, Adresse, Geburtsdatum, E-Mail-Adressen, IP-Adressen, Fotos oder auch Zahlungsinformationen werden in der neuen Datenschutzgrundverordnung geschützt. Grundsätzlich ist es verboten, solche Daten zu verarbeiten. Bei dieser Verordnung handelt es sich aber um ein Regelwerk für alle Ausnahmen. Eigentlich ein Verbot mit Erlaubnisvorbehalt.

 

Gehen wir die wichtigsten Eckpunkte des Art. 5 der EU-Datenschutzgrundverordnung kurz durch:

 

Rechtsmässigkeit
Gibt es in Ihrem Fall einen Erlaubnisvorbehalt?

 

Transparenz
Haben Sie die Personen, denen die Daten gehören, ausreichend über die Datensammlung informiert?

 

Interessenabwägung
Gibt es in Ihrem Fall ein höheres Interesse, die die DSGVO übersteigt, wie öffentliche Sicherheit oder Geldwäschereigesetz?

 

Zweckbindung
Haben Sie für jeden Zweck, für welchen Sie Daten sammeln, eine separate Einwilligung eingeholt? Und werden Daten gelöscht, sobald sie nicht mehr für den Zweck benötigt werden?

 

Datenminimierung
Sammeln wir effektiv nur Daten, die für die Bearbeitung des Zwecks notwendig sind? Beispielsweise brauchen wir für den Newsletter technisch gesehen nur eine E-Mail-Adresse.

 

Integrität und Vertraulichkeit
Sind all Ihre Mitarbeitenden und Ihre Drittanbieter informiert und zu Vertraulichkeit verpflichtet worden? Haben Sie die entsprechenden Prozesse definiert.

 

Privacy by Design
Sind Ihre Produkte, Angebote und auch Dienstleistungen so gestaltet, dass Sie die personenbezogenen Daten der Nutzer bestmöglich schützen?

 

Privacy by Default
Haben Sie darauf geachtet, dass als Standard immer der höchstmögliche Schutz der personenbezogenen Daten gesetzt ist? Beispielsweise keine Vorangekreuzten «ja, ich stimme zu» Felder.

 

Diese Grundsätze sollen Ihnen helfen, sich durch den «DSGVO-Dschungel» zu schlagen und das Risiko zu minimieren. Damit das Risiko auf eine Strafe, respektive Busse vermieden werden kann.

 

Wie teuer würde eine Missachtung der DSGVO werden?

Wie bereits angekündigt, trifft dieses EU-Recht auch uns Schweizer. Die Maximalstrafen betragen 20 Millionen Euro oder 4 % vom weltweiten Jahresumsatz – ganz schön viel Geld. Dabei ist aber zu verstehen, dass sich Kooperation und Nachweis einer Umsetzung der Verordnung nach bestem Wissen und Gewissen stark strafmildernd auswirken würden.

Minimieren Sie das grösste Risiko: Ihre eigene Website!

 

Was können Sie nun als Schweizer Unternehmen tun? Es sind nunmehr lediglich wenige Tage bis zum Inkrafttreten der Verordnung. Daher wäre es nicht zielführend, sich zuerst mit den vielen Sonderbestimmungen und Details auseinanderzusetzen. Minimieren Sie zuerst das grösste Risiko: Ihre eigene Website. Sie steht jedem EU-Bürger offen und kann mit wenigen Klicks auf Verstösse untersucht werden.

Lastminute: In 10 Schritten zum sicheren Datenschutz

 

Quellen