Die Datenschutz-Grundverordnung der EU und ihre Relevanz für Schweizer Unternehmen

von hauser@m-win.ch, Tel. +41 (52) 269 21 00

Nach Geltung der Datenschutz-Grundverordnung sollte derjenige, der empfindliche Bussen vermeiden will, das Thema Datenschutz nicht auf die leichte Schulter nehmen. Gerade auch Schweizer Unternehmen können schnell in den Anwendungsbereich fallen und sollten sich daher informieren und entsprechende Massnahmen ergreifen.

Ab dem 25. Mai 2018 gilt die VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (sog. Datenschutz-Grundverordnung) unmittelbar in der EU, ohne dass die Mitgliedstaaten diese in das jeweilige nationale Recht umsetzen müssen. Aufgrund zahlreicher Öffnungsklauseln; also Regelungen, die den Mitgliedstaaten Gestaltungsspielraum einräumen; wird wohl dennoch eine Umsetzung in das nationale Recht erfolgen, in Deutschland z.B. im Rahmen des revidierten BDSG.

Was will die Verordnung?

Durch die Verordnung soll das Datenschutzrecht in der EU vollharmonisiert werden, d.h. das Datenschutzniveau soll in der gesamten EU auf dem gleichen Niveau sein.

Wer wird geschützt?

Der durch die Verordnung gewährte Schutz soll für die Verarbeitung der personenbezogenen Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gelten. Zudem soll der Schutz unabhängig davon gewährleistet werden, ob eine automatisierte Verarbeitung personenbezogener Daten stattfindet oder eine manuelle Verarbeitung von personenbezogenen Daten, sofern die personen-bezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Für wen ist die Verordnung relevant?

Zum einen ist die Verordnung für alle Mitgliedstaaten der EU bindend, zum anderen betrifft sie auch Unternehmen aus Drittstaaten, wenn diese in der EU tätig sind. Der Verordnung unterfallen daher z.B. neben Tochterunternehmen mit Sitz in einem Mitgliedstaat genauso Unternehmen mit Sitz in Drittstaaten (z.B. CH), die personenbezogene Daten erheben, verarbeiten und nutzen, soweit sie ihre Tätigkeit auf die EU ausrichten oder, wenn sie das Verhalten von Personen aus der EU beobachten.

Was bedeutet das für mich?

Die Verordnung beinhaltet verschiedene Neuerungen und Verschärfungen, die es zu beachten gilt. Zum einen bringt die Datenschutz-Grundverordnung weitreichende Informationspflichten mit. Die Informationen müssen «in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache» übermittelt werden. Es muss z.B. darüber informiert werden für welche Zwecke, die personenbezogenen Daten verarbeitet werden sollen sowie die Rechtsgrundlage für die Verarbeitung mitgeteilt werden. Zum anderen ist je nachdem eine Einwilligung der betroffenen Person erforderlich, wobei für die Einwilligung durch Kinder besondere Voraussetzungen festgelegt sind. Des Weiteren regelt die Datenschutz-Grundverordnung ob, wie und in welcher Form personenbezogene Daten verarbeitet werden dürfen und hält spezielle Vorschriften für besondere Kategorien von personenbezogenen Daten bereit. Zudem werden dem Betroffenen Auskunfts-, Berichtigungs-, Löschungs- und Beschränkungsrecht gewährt. Weiter hat dieser ein Recht auf Datenübertragung, das kann je nachdem entweder durch den Betroffenen selbst oder durch den Verarbeiter geschehen.

Zu beachten ist auch, dass der Verarbeiter Datenverarbeitungssysteme und Voreinstellungen daten-schutzfreundlich zu gestalten hat. Weiter müssen gewisse Sicherheitsvorkehrungen zum Schutz der Daten getroffen werden und Verletzungen des Schutzes personenbezogener Daten grundsätzlich binnen 72 h der zuständigen Aufsichtsbehörde angezeigt werden. Sofern eine Verarbeitungsform voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss zudem eine Folgenabschätzung vorgenommen werden; je nachdem sind die Aufsichtsbehörde und die betroffene Person zu involvieren.

Damit die Einhaltung der Datenschutzgrundsätze nachgewiesen werden kann, sollte eine solide Dokumentation der Verarbeitungsvorgänge erfolgen.

Die Vorschriften des Datenschutzrechtes sind komplex und sollten unter Beiziehung eines Experten im Unternehmen umgesetzt werden.

Interessiert mich (Email an sekretariat@m-win.ch; wir melden uns )

Teilen Sie weiter!