Neues EU-Datenschutzrecht betrifft auch Schweizer KMU

Die EU verschärft ihre Regeln im Hinblick auf den Datenschutz. Aufgrund des grossen Geltungs- und Anwendungsbereichs werden sich auch viele Unternehmen mit Sitz in der Schweiz damit befassen müssen. Konkret betrifft dies Firmen, die personenbezogene Daten verarbeiten und entweder Waren bzw. Dienstleistungen in der EU anbieten oder mithilfe gespeicherter Daten das Verhalten von Personen aus der EU analysieren.

Anforderungen der DSGVO

Wie dem KMU-Portal des Bundes zu entnehmen ist, müssen betroffene Unternehmen 7 Punkte einhalten:

1. Betroffene Personen informieren und ihre Einwilligung einholen
2. «Privacy by design» und «Privacy by default» sicherstellen
3. Einen Vertreter in der EU bezeichnen
4. Die Massnahmen zur Datenverarbeitung in einem Verzeichnis festhalten
5. Falls es zu Datenschutzverletzungen kommt, dies der Behörde melden
6. Eine Folgeabschätzung zum Datenschutz durchführen und technische wie organisatorische Massnahmen dokumentieren
7. Geldbussen bezahlen, falls solche verhängt werden

Dieser 7-Punkte-Katalog bildet die 99 Artikel und 173 Erwägungsgründe umfassende DSGVO naturgemäss nur vage ab. Unter Analysten in der Schweiz haben sich einige Schritte als die wesentlichen für einen sicheren Umgang mit der DSGVO herauskristallisiert. So müssen die Bemühungen zur Umsetzung erkennbar und dokumentiert sein. Die Dokumentationspflicht gilt auch für alle Prozesse bei der Verarbeitung personenbezogener Daten, einschliesslich der Dauer ihrer Speicherung. Darüber hinaus müssen betroffene Personen über die Verarbeitung ihrer Daten informiert werden. Für die grundsätzliche Zulässigkeit der Datenverarbeitung muss mindestens einer dieser Punkte erfüllt sein:

• Es liegt eine Einwilligung vor.
• Sie ist notwendig zur Erfüllung eines Vertrags.
• Sie ist notwendig zur Erfüllung rechtlicher Pflichten.
• Sie ist notwendig zum Schutz lebenswichtiger Interessen.
• Sie ist für die Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich.
• Sie ist zur Wahrung berechtigter Interessen des Verarbeitenden oder eines Dritten erforderlich, wobei die Grundrechte und -freiheiten der betroffenen Person dieses Interesse nicht überwiegen.

Eine erteilte Einwilligung muss übrigens jederzeit widerrufen werden können. Ausserdem haben betroffene Personen das Recht auf Einsicht in die über sie gesammelten Daten und deren Löschung. Von Unternehmen wird erwartet, dass sie dem innert vier Wochen Folge leisten. Sollte es dennoch zu einer Verletzung der Datensicherheit kommen, muss diese innert 72 Stunden gemeldet werden. Ein umfangreiches Dossier zum Thema finden Sie beispielsweise bei der Netzwoche.

Umsetzung in der Schweiz noch ungewiss

Auch in der Schweiz steht eine Revision des Datenschutzgesetzes an. Diese wird in der Sommersession vom Nationalrat behandelt und könnte nach der Überweisung an den Ständerat noch in diesem Jahr verabschiedet werden, was allerdings als eher unwahrscheinlich betrachtet wird. Wann genau ein neues Schweizer Gesetz in Kraft tritt, lässt sich nicht mit Gewissheit vorhersagen. Umso entscheidender ist es für Unternehmen, sich bewusst mit der europäischen DSGVO auseinanderzusetzen, um möglichen Schwierigkeiten vorzubeugen.