Datenschutz (Europäische DSGVO)
Der Umgang mit sensiblen Daten sowie deren Bearbeitung untersteht sowohl in der Schweiz als auch in der EU strengen Regeln. Als Schweizer Unternehmen gilt für Sie das Schweizer Datenschutzgesetz. Halten Sie sich daran und informieren Sie auf Ihrer Website umfassend und transparent darüber, welche Personendaten Sie zu welchen Zwecken bearbeiten (Datenschutzerklärung, AGB). Die DSGVO ist nicht direkt auf Schweizer Unternehmen anwendbar. Gewisse Datenbearbeitungen können aber darunter fallen, sodass die einschlägigen Bestimmungen daraus zur Anwendung kommen. Schweizer Unternehmen können deshalb direkt betroffen sein.
Wann und wo tritt die DSGVO in Kraft?
Die
europäische Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai
2018 innerhalb der Europäischen Union und in der Schweiz in Kraft (siehe
unten). Die Nichteinhaltung dieser Bestimmungen führt zur Anwendung von
Sanktionen von bis zu 4% des weltweiten Jahres-umsatzes einer
Gruppe/eines Unternehmens.
Wann ist mein Unternehmen betroffen?
•
Wenn Sie Waren oder Dienstleistungen für Personen, die sich in der EU
befinden, anbieten (z. B. Internetangebote adressiert an in der EU
ansässige Personen).
• Wenn Sie mit Lieferanten in der EU zusammenarbeiten.
•
Wenn Sie personenbezogene Daten von Personen in der EU im Rahmen eines
Mandats verarbeiten, z.B. eine Schweizer Holdinggesellschaft, welche
die Gehaltsdaten von Mitar-beitern ihrer Tochtergesellschaften in der EU
auf ihrem Server speichert.
• Wenn Sie das Verhalten von Menschen
in der EU verfolgen (Profilierung), z.B. eine Webseite eines Schweizer
Unternehmens, welche über Cookies Daten von Besuchern mit Sitz in der EU
sammelt.
Welchen Daten sind betroffen?
Die personenbezogenen Daten
(Name, Vorname und persönliche Daten wie Telefonnummer, E-Mail,
Adresse, Geburtsdatum, Herkunft, Zivilstand, Fahrzeugkennzeichen,
IP-Adresse). Sie können nur auf legale Weise verarbeitet werden, und
zwar
• wenn die Zustimmung erteilt wurde;
• für die Erfüllung eines Vertrags oder die Durchführung vorvertraglicher Abklärungen;
• zur Erfüllung gesetzlicher Verpflichtungen;
• zum Schutz des lebenswichtigen Interesses einer natürlichen Person;
• wenn dies für die Ausübung einer Aufgabe von öffentlichem Interesse oder einer hoheitlichen Tätigkeit erforderlich ist;
• zum Schutz berechtigter Interessen.
Die sensiblen personenbezogenen Daten (rassische/ethnische
Herkunft, politische Meinung-en, religiöse/philosophische
Überzeugungen, Gewerkschaftszugehörigkeit, genetische / biome-trische /
gesundheitliche Daten, Sexleben/sexuelle Orientierung, Strafregister)
dürfen in keiner Weise verarbeitet werden, ausser
• im Falle einer ausdrücklichen Zustimmung;
• wenn dies für die Verteidigung der Rechte im Zusammenhang mit dem Arbeitsrecht und dem Sozialschutz notwendig ist;
• im Falle des Schutzes lebenswichtiger Interessen, wenn die Person ihre Zustimmung nicht erteilen kann;
•
wenn die Verarbeitung auf der Grundlage von ausreichenden Garantien
einer gemein-nützigen Organisation vorbehaltlich anderer Bestimmungen
erfolgt;
• wenn die Daten von der betroffenen Person veröffentlicht werden;
• wenn es notwendig ist, Rechte vor Gericht geltend zu machen;
•
wenn diese Verarbeitung auf der Grundlage des Rechts eines
Mitgliedstaats, des öffentlichen Interessens und anderer ähnlichen,
genau beschriebenen Gründe erfolgt ist.
Welche Massnahmen sind zu ergreifen?
► Bestandsaufnahme, Aussortieren und Sicherung der Daten (in Papier- oder elektronischer Form)
>
Welche Kategorien von verarbeiteten Daten gibt es, wie sensibel
sind diese, und zu welchem Zweck, wo, bis wann, wie sind sie
gespeichert?
> Das PIA (Privacy Impact Assessment) erlaubt es,
zukünftige Risiken zu minimieren und Datenschutzverletzungen zu
verhindern. Es besteht insbesondere darin, die Art der Risiken für das
Privatleben, die sich durch die Gestaltung eines neues Produktes oder
einer neuen Dienstleistung ergeben, zu minimieren; die Art der
Verarbeitung der personenbezogenen Daten und deren Zweckbindungen
festzulegen; die Mittel aufzulisten, die zur Sicherheit der Verarbeitung
eingesetzt wurden und die Vertraulichkeit zu gewährleisten; die
(technischen und organisatorischen) Lösungen zu bestätigen, um die
Risiken hinsichtlich der Datenver-arbeitung zu reduzieren.
>
Diese Lösungen verfolgen vor allem den Zweck, die Eigentümer der Daten
(data owner) und die Verarbeitungsverantwortlichen festzulegen; die
Daten durch Verschlüsselung und Anonymisierung zu minimisieren; die
Daten zu speichern; dessen Verletzung zu verwalten; den Datenzugang zu
prüfen; Daten von Dritten zu verwalten; gegen schädliche Codes zu
kämpfen; die Schwachstellen in Hardware, Software, Netzwerken und
Papierdokumenten zu vermindern usw.
► Interne Regeln aktualisieren
>
Einführung von Verfahren und Praktiken, die bewirken, dass der
Datenschutz jederzeit gewährleistet wird, unter Berücksichtigung aller
Ereignisse, die während der Lebensdauer der Verarbeitung
personenbezogener Daten auftreten können (Sicherheitslücken, Ver-waltung
von Berichtigungs- und Zugangsanfragen, Änderung der gesammelten Daten,
Anbieterwechsel usw.).
► Verträge aktualisieren
>
Insbesondere durch die Aufnahme von Klauseln in die Verträge von
Subunternehmen und von Mitarbeitern. Diese Vertragsklauseln sollen
gewährleisten, dass die gesetzlichen Bestimmungen betreffend den Daten,
die Ihnen anvertraut wurden, eingehalten werden.
Nützliche Links
• Check-Liste und Leitfaden zur Umsetzung
• Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter und die DSGVO auf dem KMU Portal des Bundes