Pflicht und Kür

Die neue EU-Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 in Kraft. Das Schweizer Pendant dazu, das Bundesgesetz über den Datenschutz (DSG), befindet sich derzeit in Totalrevision. Das DSG wird dabei voraussichtlich die wesentlichen Datenschutzgrundsätze der DSGVO übernehmen. Für Schweizer Unternehmen ist es daher sinnvoll, bereits heute die erforderlichen unternehmensinternen Schritte zur Implementierung dieser Grundsätze zu treffen.

veröffentlicht: September 2018

Ihre Ansprechperson:

Priska Ineichen
lic.iur., Rechtsanwältin
CAS Datenschutz – Unternehmen

Im Folgenden finden Sie eine Zusammenstellung der wichtigsten Fakten:

a) Die DSGVO gilt für alle Unternehmen, die Daten von in der EU befindlichen Personen verarbeiten, um diesen entgeltlich oder unentgeltlich Waren und Dienstleistungen anzubieten oder deren Verhaltensweisen zu beobachten. Dies gilt auch für Unternehmen, die ausserhalb der EU ansässig sind.

b) Verbot mit Erlaubnisvorbehalt: Das Bearbeiten von Personendaten ist grundsätzlich verboten, es sei denn, es liege eine Rechtsgrundlage (Vertrag, Gesetz, Einverständnis, berechtigtes Interesse u. a. m.) vor.

c) Betroffene Personen haben weitreichende Rechte, so namentlich auf Auskunft, Berichtigung und Ergänzung, Einschränkung der Bearbeitung, Vergessen und auf Widerspruch. Als Korrelat zum Auskunftsrecht ergibt sich seitens der Unternehmer eine umfassende Informationspflicht. Die Betroffenen müssen genau darüber informiert werden, welche Daten verarbeitet werden, wie dies geschieht und zu welchem Zweck.

d) Rechenschaftspflicht: Der für die Datenbearbeitung Verantwortliche muss belegen können, dass er die Datenschutzgrundsätze aktiv einhält. Zentraler Baustein, um der normierten Rechenschaftspflicht zu genügen, ist das zu führende Verzeichnis der Verarbeitungstätigkeiten. Zusätzlich müssen auch das Vorhandensein von Einwilligungen, das Ergebnis von Datenschutz-Folgenabschätzungen, sowie geeignete technische und organisatorische Datensicherheitsmassnahmen durch entsprechende Dokumentationen nachgewiesen werden können.

e) Werden die Daten im Auftrag des Verantwortlichen durch einen Dritten bearbeitet, so liegt regelmässig eine sogenannte Auftragsdatenverarbeitung vor. Mit allen diesen Unternehmen und Geschäftspartnern ist ein Auftragsdatenverarbeitungsvertrag abzuschliessen, in der die DSGVO-konforme Verarbeitung sichergestellt wird.

f) Personendaten müssen durch angemessene technische und organisatorische Massnahmen gesichert sein. Eigene Datenbearbeitungen müssen so ausgestaltet sein, dass sie die Einhaltung des Datenschutzes sicherstellen (Privacy by Design) und Standard-Einstellungen, wo es solche gibt, datenschutzfreundlich sind (Privacy by Default).

g) Ernennung eines Datenschutzverantwortlichen oder Vertreters in der EU. h. Verletzungen der DSGVO können mit Bussen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist.

Fazit

Die neuen Grundsätze sind eine moderne Regelung für einen wirksamen und konkreten Schutz personenbezogener Daten von natürlichen Personen. Es ist für jedes Unternehmen eine Herausforderung, diese neuen Grundsätze risikobasiert und ökonomisch effizient im Betrieb zu implementieren. Gerne unterstützen wir Sie dabei, dass Ihre Unternehmung diese Datenschutzgrundsätze jetzt und in Zukunft einhält.