Europäische Datenschutz-Grundverordnung
Ausgangslage
In gut einem Monat, am 25. Mai 2018, tritt die neue Europäische Datenschutz-Grundverordnung (DSGVO) in Kraft. Mit der neuen Verordnung soll in der Europäischen Union bzw. im Europäischen Wirtschaftsraum ein höheres und einheitliches Datenschutzniveau erreicht werden, das auch der Digitalisierung gerecht wird.
Die DSGVO wird auch für eine Vielzahl von Schweizer Unternehmen direkte Auswirkungen haben. In den Grundsätzen basiert die DSGVO zwar auf den bisherigen Richtlinien wie Rechtmässigkeit, Treu und Glauben, Transparenz, Zweckbindung, Richtigkeit, etc., die Rechte und Pflichten der betroffenen Personen und Unternehmen werden aber erheblich ausgebaut. Vor allem der räumliche Anwendungsbereich wird erweitert und betrifft, bei gegebenen Voraussetzungen, auch die Datenbearbeitung ausserhalb der EU (Extraterritorialität).
Wer ist von der Änderung betroffen
Mit dem Marktortprinzip ist gemeint, dass die Verordnung überall dort zur Anwendung kommt wo potentiell Daten von Personen oder Unternehmen aus der EU verarbeitet werden können. Hat ein Schweizer Unternehmen also beispielsweise eine Tochtergesellschaft in der EU und Zugriff auf dessen Daten, gilt die DSGVO auch für das Unternehmen in der Schweiz. Auch Schweizer Online-Shops die ihre Waren und Dienstleistungen auch Personen aus der EU anbieten sind von der Verordnung betroffen.
Somit fallen folgende Unternehmen nicht unter die DSGVO:
- keine Niederlassung in der EU
- kein Angebot von Waren oder Dienstleistungen an Personen mit Niederlassung in der EU
- keine Beobachtung des Verhalten von Personen mit Niederlassung in der EU
Was muss ich als betroffenes Unternehmen beachten?
Unternehmen, die unter die DSGVO fallen, haben u.a. folgende Regeln zu berücksichtigen:
- Rechtmässigkeit: Eine Einwilligung oder eine sonstige zulässige Rechtsgrundlage liegt vor
- Treu und Glauben: Die Datenverarbeitung erfolgt auf redliche und vertrauenswürdige Weise
- Transparenz: Die Datenverarbeitung ist für die betroffenen Personen umfassend erkennbar.
- Zweckbindung: Die Datenverarbeitung erfolgt einzig zu einem eindeutig festgelegten und legitimen Zweck
- Datenminimierung: Personenbezogene Daten müssen dem Zweck angemessen auf das notwendige Mass beschränkt werden.
- Richtigkeit: Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein.
- Speicherbegrenzung: Identifizierbare Personendaten werden nur solange gespeichert, wie es der Zweck erfordert.
- Integrität und Vertraulichkeit: Bei der Verarbeitung von Personendaten ist eine angemessene Sicherheit zu gewährleisten.
- Rechenschaftspflicht: Unternehmen sind für die Einhaltung dieser Grundsätze und deren Nachweis verantwortlich.
Detaillierte Informationen zu der Bedeutung oben stehender Regeln bietet die Webseite des eidgenössichen Datenschutz- und Öffentlichkeitsbeauftragten oder finden Sie auch auf zahlreichen weiteren Webseiten im Netz.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter: