Das neue europäische Datenschutzgesetz ist auch für Schweizer Unternehmen relevant

Seit 2018 ist die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) in Kraft. Mit den neuen Bestimmungen erhalten Bürgerinnen und Bürger mehr Kontrolle über ihre Personendaten. Auch für Schweizer Unternehmen kann die Verordnung von Bedeutung sein.

Die neue Datenschutz-Grundverordnung (DSGVO) hat die Europäische Datenschutzrichtlinie aus dem Jahr 1995 abgelöst. Sie hat das Ziel, das europäische Datenschutzrecht zu modernisieren und zu harmonisieren. In der neuen DSGVO wurde insbesondere das Grundrecht auf Schutz der personenbezogenen Daten gestärkt. Die Betroffenen erhalten mehr Kontrolle und Transparenz bei der Datenverarbeitung, auch und gerade im digitalen Zeitalter. Durch die Datenschutz-Grundverordnung werden die Anforderungen an eine rechtswirksame Einwilligung der betroffenen Personen erhöht und deren Rechte, insbesondere auf Information und Auskunft, erweitert. Die Datenschutz-Grundverordnung gilt für jegliche Verarbeitung personenbezogener Daten.

Die DSGVO ist gemäss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nicht grundsätzlich auf Schweizer Unternehmen anwendbar. Gewisse Datenbearbeitungen können aber darunter fallen, sodass die einschlägigen Bestimmungen daraus zur Anwendung kommen. Auch  Unternehmen aus der Region Basel können deshalb mit der DSGVO durchaus zu tun haben. Zur Verdeutlichung, ob sie von der DSGVO betroffen sind, hat die EDÖB drei Fälle beschrieben, in denen die europäischen Datenschutzrichtlinien angewendet werden müssen. Erstens: Wenn ein Schweizer Unternehmen eine Niederlassung in der EU hat. Zweitens: Wenn es Waren oder Dienstleistungen (über einen Onlineshop) in der EU anbietet. Drittens: Wenn die Firma das Surfverhalten ihrer Kundinnen und Kunden in der EU beobachtet, um ihnen personalisierte Angebote zu unterbreiten.

Wer nicht sicher ist, ob bei seiner Firma die DSGVO zur Anwendung kommt, dem stellt der Wirtschafts-Dachverband economiesuisse einen Online-Check zur Verfügung. Damit lässt sich innerhalb weniger Minuten herausfinden, ob die DSGVO auch für das eigene Unternehmen gilt. Im Umgang mit der neuen DSGVO hat auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte zahlreiche Tipps für Schweizer Unternehmen zusammengestellt. So müssen zum Beispiel Firmen, die regelmässig Personendaten bearbeiten, nach DSGVO ein Verzeichnis ihrer Verarbeitungstätigkeiten erstellen. Auch sollten AGB, Datenschutzerklärungen, Verträge, Webseiten-Einstellungen den Voraussetzungen der DSGVO entsprechen.

Es lohnt sich, genau abzuklären, ob und wie man von der DSGVO betroffen ist. Denn die Strafen sind happig. Die Datenschutz-Grundverordnung sieht bei einem Verstoss gegen den Datenschutz Bussgelder bis zu 20 Millionen Euro oder bis 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vor.

Auch in der Schweiz wird an einem neuen Datenschutzgesetz gearbeitet. So sollen hierzulande ebenfalls bei der personenbezogenen Datenverarbeitung Informations- und Auskunftspflichten von Unternehmen ausgeweitet werden. Ausserdem soll es eine Melde- und teilweise Genehmigungspflicht bei Datentransfer ins Ausland geben. Auch soll ein Bearbeitungsverzeichnis von Daten geführt werden müssen – ausser ein Unternehmen beschäftigt weniger als 250 Mitarbeitende und die Bearbeitung birgt nur ein geringes Risiko. Wann das neue Datenschutzgesetz in Kraft tritt, ist  noch offen.