Der Datenschutz kennt aufgrund der fortlaufenden Digitalisierung keine Ländergrenzen mehr. Am 25. Mai 2018 endet die Übergangsfrist für die neue europäische Datenschutzgrundverordnung (DSGVO). Dieses Mal können wir als Schweizer leider nicht «neutral» bleiben, denn laut Schätzungen spezialisierter Anwälte unterstehen rund 95 bis 99% der Schweizer Unternehmen zumindest teils dieser Verordnung.

 

Was kommt da auf Sie zu? Erstmal keine Panik – verschaffen wir uns gemeinsam einen Überblick, was das alles nun genau heissen soll. 

Das alles betrifft Sie nicht, weil Sie keine personenbezogenen Daten der EU Bürger erfassen?

Dies tun Sie – auch wenn unbewusst. Wie möchten Sie sicherstellen, dass sich kein Deutscher Staatsbürger auf Ihre Website «verirrt»? (Ausser Sie benutzen ein Geo IP Block). 

Bietet ein Unternehmen mit Sitz in der Schweiz seine Waren oder Dienstleistungen über die eigene Website auch Bewohnern der EU an, ist damit die DSGVO zu beachten. Und auch wenn Sie keine Waren oder Dienstleistungen an Bewohner der EU über Ihre Website vertreiben, ist die Anwendbarkeit der DSGVO nicht bereits ausgeschlossen. Als «Erfassen» von Daten zählt bereits die Auswertung der Besucher auf der Webseite, bspw. mittels Google Analytics über mehrere Webseiten oder eines anderen Analyse-Tools. Selbst wenn keine Analyse-Tools verwendet werden, gilt die DSGVO, sobald Daten einer natürlichen Person aus dem EU-Raum über ein Kontaktformular gespeichert werden oder wenn für diese Personen die Möglichkeit besteht, bei Ihnen einen kostenlosen Newsletter zu abonnieren.

 

Fast 80% aller Webseiten sammeln Daten mit irgendwelchen Tracking-Codes wie z.B. von Google Analytics oder Facebook.

0

Fast alle Webseiten verwenden Cookies für den Spam-Schutz oder die Wiedererkennung eines Besuchers im Shop.

0

Ganze 100% aller Webserver/Hostingpartner sammeln in den Logdaten mindestens die IP-Adresse der Nutzer.

0

Auch wenn sie die Daten nicht explizit sammeln, passiert es bei jedem Beuch auf Ihrer Website. Also müssen Sie als Schweizer Unternehmen zumindest die Webseiten mit allen Funktionen DSGVO-konform machen. . Kurz: Die DSGVO gilt für die meisten Unternehmen mit Sitz in der Schweiz.

Was genau wird in der EU-Datenschutzgrundverordnung geschützt?

Die personenbezogenen Daten wie Name, Adresse, Geburtsdatum, Email-Adressen, IP-Adressen, Fotos oder auch Zahlungsinformationen. Grundsätzlich ist es verboten solche Daten zu verarbeiten. Bei dieser Verordnung handelt es sich aber um ein Regelwerk für alle Ausnahmen. Eigentlich ein Verbot mit Erlaubnisvorbehalt. 

Gehen wir die wichtigsten Eckpunkte des- Art. 5 des EU-Datenschutz Grundverordnung kurz gemeinsam durch: 

  • Rechtsmässigkeit
    Gibt es in Ihrem Fall einen Erlaubnisvorbehalt? 
  • Transparenz
    Haben Sie die Personen, denen die Daten gehören, ausreichend über die Datensammlung informiert? 
  • Interessenabwägung
    Gibt es in Ihrem Fall ein höheres Interesse, die die DSGVO übersteigen wie öffentliche Sicherheit oder Geldwäschereigesetzt? 
  • Zweckbindung
    Haben Sie für jeden Zweck, für welchen Sie Daten sammeln eine separate Einwilligung eingeholt?
    Daten werden gelöscht, sobald sie nicht mehr für den Zweck benötigt werden. 
  • Datenminimierung
    Sammle ich effektiv nur Daten, die für die Bearbeitung des Zwecks notwendig sind? Beispielsweise brauche ich für den Newsletter technisch gesehen nur eine Email-Adresse. 
  • Integrität und Vertraulichkeit
    Sin all Ihre Mitarbeitenden und Drittanbieter von Ihnen informiert und zu Vertaulichkeit verplfichtet worden? Haben Sie die ensptrechenden Prozesse definiert. 
  • Privacy by Design
    Sind Ihre Produkte, Angebote und auch Dienstleistungen so gestaltet, dass sie die personenbezogenen Daten der Nutzer bestmöglich schützen? 
  • Privacy by Default
    Haben Sie darauf geachtet, dass als Standart immer der höchstmögliche Schutz der personenbezogenen Daten gesetzt ist? Zum Beispiel keine vorangekreuzten «ja, ich stimme zu»-Felder.

Diese Grundsätze im Hinterkopf helfen Ihnen sich durch den «DSGVO-Dschungel» zu schlagen und das Risiko zu minimieren. Denn generell möchten Sie ja damit einfach das Risiko auf eine Strafe respektive Busse vermeiden.

Wie teuer wird eine Missachtung der DSGVO?

Wie bereits angekündigt trifft dieses EU-Recht auch uns als Schweizer. Die Maximalstrafen betragen 20 Millionen Euro oder 4% vom weltweiten Jahresumsatz – also ganz schön viel Geld. Dabei ist aber zu verstehen, dass sich die Kooperation und der Nachweis einer Umsetzung der Verordnung nach bestem Wissen und Gewissen stark strafmildernd auswirken wird.

Minimieren Sie zuerst das grösste Risiko: Ihre eigene Website 

Was tun Sie nun also als Schweizer Unternehmen? Es sind nunmehr lediglich wenige Tage bis zum Inkrafttreten der Verordnung. Daher wäre es nicht zielführend, sich zuerst mit den vielen Sonderbestimmungen und Details auseinanderzusetzen. Minimieren Sie zuerst das grösste Risiko: Ihre eigene Website. Sie steht jedem EU-Bürger offen und kann mit wenigen Klicks auf Verstösse untersucht werden.  

Lastminute: In 10 Schritten zum sicheren Datenschutz