Datenschutz (Europäische DSGVO)

Der Umgang mit sensiblen Daten sowie deren Bearbeitung untersteht sowohl in der Schweiz als auch in der EU strengen Regeln. Als Schweizer Unternehmen gilt für Sie das Schweizer Datenschutzgesetz. Halten Sie sich daran und informieren Sie auf Ihrer Website umfassend und transparent darüber, welche Personendaten Sie zu welchen Zwecken bearbeiten (Datenschutzerklärung, AGB). Die DSGVO ist nicht direkt auf Schweizer Unternehmen anwendbar. Gewisse Datenbearbeitungen können aber darunter fallen, sodass die einschlägigen Bestimmungen daraus zur Anwendung kommen. Schweizer Unternehmen können deshalb direkt betroffen sein.

Wann und wo tritt die DSGVO in Kraft?
Die europäische Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 innerhalb der Europäischen Union und in der Schweiz in Kraft (siehe unten). Die Nichteinhaltung dieser Bestimmungen führt zur Anwendung von Sanktionen von bis zu 4% des weltweiten Jahres-umsatzes einer Gruppe/eines Unternehmens.

Wann ist mein Unternehmen betroffen?
• Wenn Sie Waren oder Dienstleistungen für Personen, die sich in der EU befinden, anbieten (z. B. Internetangebote adressiert an in der EU ansässige Personen).
• Wenn Sie mit Lieferanten in der EU zusammenarbeiten.
• Wenn Sie personenbezogene Daten von Personen in der EU im Rahmen eines Mandats verarbeiten, z.B. eine Schweizer Holdinggesellschaft, welche die Gehaltsdaten von Mitar-beitern ihrer Tochtergesellschaften in der EU auf ihrem Server speichert.
• Wenn Sie das Verhalten von Menschen in der EU verfolgen (Profilierung), z.B. eine Webseite eines Schweizer Unternehmens, welche über Cookies Daten von Besuchern mit Sitz in der EU sammelt.

Welchen Daten sind betroffen?
Die personenbezogenen Daten (Name, Vorname und persönliche Daten wie Telefonnummer, E-Mail, Adresse, Geburtsdatum, Herkunft, Zivilstand, Fahrzeugkennzeichen, IP-Adresse). Sie können nur auf legale Weise verarbeitet werden, und zwar
• wenn die Zustimmung erteilt wurde;
• für die Erfüllung eines Vertrags oder die Durchführung vorvertraglicher Abklärungen;
• zur Erfüllung gesetzlicher Verpflichtungen;
• zum Schutz des lebenswichtigen Interesses einer natürlichen Person;
• wenn dies für die Ausübung einer Aufgabe von öffentlichem Interesse oder einer hoheitlichen Tätigkeit erforderlich ist;
• zum Schutz berechtigter Interessen.

Die sensiblen personenbezogenen Daten (rassische/ethnische Herkunft, politische Meinung-en, religiöse/philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische / biome-trische / gesundheitliche Daten, Sexleben/sexuelle Orientierung, Strafregister) dürfen in keiner Weise verarbeitet werden, ausser
• im Falle einer ausdrücklichen Zustimmung;
• wenn dies für die Verteidigung der Rechte im Zusammenhang mit dem Arbeitsrecht und dem Sozialschutz notwendig ist;
• im Falle des Schutzes lebenswichtiger Interessen, wenn die Person ihre Zustimmung nicht erteilen kann;
• wenn die Verarbeitung auf der Grundlage von ausreichenden Garantien einer gemein-nützigen Organisation vorbehaltlich anderer Bestimmungen erfolgt;
• wenn die Daten von der betroffenen Person veröffentlicht werden;
• wenn es notwendig ist, Rechte vor Gericht geltend zu machen;
• wenn diese Verarbeitung auf der Grundlage des Rechts eines Mitgliedstaats, des öffentlichen Interessens und anderer ähnlichen, genau beschriebenen Gründe erfolgt ist.

Welche Massnahmen sind zu ergreifen?
Bestandsaufnahme, Aussortieren und Sicherung der Daten (in Papier- oder elektronischer Form)
> Welche Kategorien von verarbeiteten Daten gibt es, wie sensibel sind diese, und zu welchem Zweck, wo, bis wann, wie sind sie gespeichert?
> Das PIA (Privacy Impact Assessment) erlaubt es, zukünftige Risiken zu minimieren und Datenschutzverletzungen zu verhindern. Es besteht insbesondere darin, die Art der Risiken für das Privatleben, die sich durch die Gestaltung eines neues Produktes oder einer neuen Dienstleistung ergeben, zu minimieren; die Art der Verarbeitung der personenbezogenen Daten und deren Zweckbindungen festzulegen; die Mittel aufzulisten, die zur Sicherheit der Verarbeitung eingesetzt wurden und die Vertraulichkeit zu gewährleisten; die (technischen und organisatorischen) Lösungen zu bestätigen, um die Risiken hinsichtlich der Datenver-arbeitung zu reduzieren.
> Diese Lösungen verfolgen vor allem den Zweck, die Eigentümer der Daten (data owner) und die Verarbeitungsverantwortlichen festzulegen; die Daten durch Verschlüsselung und Anonymisierung zu minimisieren; die Daten zu speichern; dessen Verletzung zu verwalten; den Datenzugang zu prüfen; Daten von Dritten zu verwalten; gegen schädliche Codes zu kämpfen; die Schwachstellen in Hardware, Software, Netzwerken und Papierdokumenten zu vermindern usw.

Interne Regeln aktualisieren
> Einführung von Verfahren und Praktiken, die bewirken, dass der Datenschutz jederzeit gewährleistet wird, unter Berücksichtigung aller Ereignisse, die während der Lebensdauer der Verarbeitung personenbezogener Daten auftreten können (Sicherheitslücken, Ver-waltung von Berichtigungs- und Zugangsanfragen, Änderung der gesammelten Daten, Anbieterwechsel usw.).

Verträge aktualisieren
> Insbesondere durch die Aufnahme von Klauseln in die Verträge von Subunternehmen und von Mitarbeitern. Diese Vertragsklauseln sollen gewährleisten, dass die gesetzlichen Bestimmungen betreffend den Daten, die Ihnen anvertraut wurden, eingehalten werden.

Nützliche Links
Check-Liste und Leitfaden zur Umsetzung
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter und die DSGVO auf dem KMU Portal des Bundes