GDPR – Die neue Datenschutzverordnung der EU betrifft auch Schweizer Firmen
Die General Data Protection Regulation (GDPR) der EU bringt einschneidende Veränderungen mit sich - auch für Unternehmen in der Schweiz. Die Anwendbarkeit in der Praxis bleibt abzuwarten.
Ab dem 28. Mai 2018 drohen Schweizer Firmen Strafen in Millionenhöhe, wenn sie die neue Datenschutzgrundverordnung der EU verletzen.
Wer ist betroffen?
Alle natürlichen oder juristischen Personen sowie Behörden, die personenbezogene Daten von EU-Bürgern verarbeiten. Dazu gehört auch, wer Datenbearbeitungen im Auftrag von EU-Unternehmen durchführt und wer Webstatistiken von Besuchern aus der EU erhebt.
Was ist neu?
-
Strafandrohung: Bei einem Verstoss droht eine Busse von 2 bis 4 Prozent des weltweiten Jahresumsatzes bzw. 10 bis 20 Mio. EU – je nachdem was höher ist.
- Personenbezogene Daten: Der Begriff wird weiter ausgelegt. Künftig genügt es, wenn eine Kombination von anonymen Daten eine Identifizierung ermöglicht.
- Einwilligung: Betroffene (bei Kindern unter 13 Jahren der Erziehungsberechtigte) müssen eine explizite Einwilligung zur Bearbeitung ihrer Daten geben und zwar bevor Daten erhoben werden. Diese Einwilligung kann jederzeit widerrufen werden.
- Berichtigung und Löschung: Anträge von Berechtigten zur Berichtigung oder Löschung von Daten müssen innerhalb eines Monats kostenlos erledigt werden.
- Inventar: Es muss ein Inventar der Datensammlungen in der Organisation geführt werden.
- Portabilität: Personenbezogene Daten müssen vom einen zum anderen Anbieter (z.B. Facebook zu Google+) übertragen werden können.
- Menschliches Gehör: Die Bearbeitung von Anfragen darf nicht ausschliesslich automatisiert sein: ein Betroffener hat das Recht, dass seitens des Anbieters eine menschliche Person involviert ist.
- Datenschutz: Die Anforderungen an den Datenschutz wurden erhöht und beinhalten auch die Datenintegrität und den Schutz vor Datenverlust.
- Mitteilung von Verletzungen: Die Verantwortlichen müssen die zuständigen Behörden innerhalb von 72 Stunden über eine Verletzung der Schutzbestimmungen informieren in schweren Fällen auch die Betroffenen.
- Accountability: Wer personenbezogene Daten erhebt oder bearbeitet, muss nachweisen können, dass er GDPR-compliant ist.
- Vertreter in der EU: Schweizer Firmen müssen im Zusammenhang mit dem Datenschutz einen Vertreter in der EU benennen, ausser wenn die Datenbearbeitung nur gelegentlich stattfindet, keine nennenswerte Datenmenge betrifft oder wenn die Daten nicht besonders sensitiv sind.
Was bedeutet das?
Einiges ist klar. Zum Beispiel muss die Datenschutzerklärung explizit und vor der Erhebung von Daten angezeigt und akzeptiert werden. Vieles ist aber unklar. Was müssen Schweizer Firmen berücksichtigen, wenn sie Deutsche Mitarbeitende beschäftigen, was Schweizer Ärzte, wenn sie Patienten aus der EU behandeln? Was bedeutet die Portabilität der Daten für Web Shops oder Banken? Wie müssen Firmen sicherstellen, dass bei Minderjährigen der Erziehungsberechtigte der Datenbearbeitung zugestimmt hat? Wie kann zweifelsfrei sichergestellt werden, dass jemand berechtigt ist, Daten einzusehen oder zu löschen?
Sicher ist, dass man sich auch in der Schweiz mit der GDPR auseinandersetzen und prüfen muss, ob und welche Massnahmen erforderlich sind. Das ist nicht immer trivial. Ein Prozess, mit dem potentiell Tausende die Herausgabe/Löschung/Berichtigung ihrer Daten fordern und mit dem diese Forderung innert einem Monat umgesetzt werden kann, ist nicht von heute auf morgen umzusetzen. Und es bleiben nur noch eineinhalb Jahre bis zur Inkraftsetzung.
Weiterführende Links:
https://en.wikipedia.org/wiki/General_Data_Protection_Regulation
http://www.linklaters.com/pdfs/mkt/london/TMT_DATA_Protection_Survival_Guide_Singles.pdf
http://www.homburger.ch/de/aktuell/publikationen/dataprotection/