DSGVO / GDPR – Schweizer KMU noch immer im Dornröschenschlaf


Artikel Download: DSGVO-GDPR-Information.pdf  | SHA1: D4C1C42DC7FE96697DC9F40395D18728BBA259E9 |  SHA256: 54F9F6679AF7D813DF555A7E93C8A2AE3A1BCDF94D30A138F30EDC136340F3FC

 

Was Schweizer Unternehmen jetzt beachten müssen

Ab dem 28. Mai tritt sie in Kraft, die EU-DSGVO (Europäische Datenschutzgrundverordnung). Dass dies auch Unternehmen in der Schweiz betrifft – und zwar nicht nur Grosskonzerne, sondern auch KMUs, sollte sich inzwischen mehrfach herumgesprochen haben. Viele Schweizer KMU sind sich der Risiken jedoch noch immer nicht bewusst und verbleiben weiterhin im Dornröschenschlaf. Das kann jedoch teuer werden. Die Einhaltung der DSGVO muss zudem nachgewiesen werden können. Auf die Unternehmen kommen strenge Meldepflichten bei Datenschutzverletzungen zu, während die Anforderungen an die Einwilligung in eine Datenverarbeitung gleichzeitig steigen.

 

Für wen gilt die EU-DSGVO?

Die EU-DSGVO findet auf jeden Umgang mit Personendaten (einschliesslich Beschaffung, Speicherung, Löschung, ­Anonymisierung, Weitergabe, Web-Analyse Tools etc.; kurz “Verarbeitung”) durch schweizerische Unternehmen Anwendung, wenn das Unternehmen

  • in der EU eine Niederlassung unterhält, etwa eine Tochtergesellschaft, eine Zweigniederlassung, eine Agentur oder eine lokale Repräsentanz, und im Zusammenhang mit der Niederlassung Personendaten verarbeitet (Beispiel: eine Niederlassung in Frankreich verkauft Produkte oder Leistungen für die Hauptniederlassung in der Schweiz und verwendet dafür Name und Adresse von Endkunden oder Kontaktpersonen des Käufers vor Ort)
  • falls keine Niederlassung in der EU besteht: wenn das Unternehmen Angebote auf natürliche Personen in der EU ausrichtet (Beispiel: ein Unternehmen in der Schweiz vertreibt über eine Website Waren oder Dienstleistungen bewusst auch nach Deutschland) oder das Verhalten von Personen in der EU beobachtet (Beispiel: ein SaaS-Anbieter in der Schweiz hat Kunden in der EU).

Eine Pflicht zur Einhaltung der DSGVO kann sich auch aus Verträgen mit Unternehmen in der EU ergeben. Im Ergebnis haben sich sehr viele Unternehmen mit der EU-DSGVO zu befassen, auch wenn sie in der EU keine Niederlassung haben.

 

Welche Konsequenzen drohen bei Nichteinhaltung?

Bei einer Verletzung der EU-DSGVO drohen folgende Konsequenzen

  • Europäische Behörden können gegenüber dem fehlbaren Unternehmen bei einer Verletzung Bussen bis zu 20 Millionen Euro oder falls höher, 4 Prozent des weltweiten Jahresumsatzes verhängen. Die Behörden finanzieren sich mit den Strafgeldern.
  • Verträge verlangen häufig die Einhaltung des anwendbaren Rechts im Allgemeinen oder des Datenschutzrechts im Besonderen. Eine Verletzung kann in solchen Fällen zu Vertragsstrafen, vorzeitiger Beendigung, Schadenersatzforderungen und dem Verlust von Rechten führen
  • In der heutigen Zeit können Verletzungen sehr schnell verbreitet werden, besonders bei Unternehmen, die über einen bekannten Namen verfügen, sensitive Daten bearbeiten, bereits früher Bestimmungen verletzt haben oder die in exponierten Bereichen tätig sind. Entsprechend drohen Reputationsrisiken. Zudem werden schwarze Listen eingeführt werden, wo die Namen der betroffenen Unternehmen geführt werden.

 

Wie lässt sich Compliance sicherstellen?

Viele Unternehmen in der Schweiz müssen sich auf die EU-DSGVO vorbereiten und entsprechende Massnahmen treffen. Das folgende Vorgehen hat sich als grobe Richtschnur bewährt

  • Vorbereitung: Zusammenstellung der existierenden Dokumente und Unterlagen im Bereich des Datenschutzes (beispielsweise Verarbeitungsverzeichnisse, Richtlinien, Datenschutzerklärungen, Agreements, IT-Sicherheitsrichtlinien, Vertragsvorlagen, Mitarbeiterrichtlinien etc.), Überlegungen zu den im Unternehmen bereits vorhandenen Ressourcen und Kenntnissen; Vorbereitung eines (je nachdem grösseren oder kleineren) Umsetzungsprojekts mit einer passenden Bezeichnung, einem realistischen Zeitplan und angemessenen internen oder externen Ressourcen.
  • Dokumentation und rechtliche Einschätzung: Bestehende Datenverarbeitungen sind zu erfassen und zu dokumentieren, und es sind Überlegungen erforderlich, ob die datenschutzrechtlichen Anforderungen eingehalten werden.
  • Umsetzungsmassnahmen: Falls sich ergibt, dass das Unternehmen die anwendbaren Anforderungen nicht einhält, sind Umsetzungsmassnahmen notwendig. Es ist sinnvoll, mit Massnahmen zu beginnen, die rasch und mit verhältnismässig geringem Aufwand umgesetzt werden können, etwa der Erarbeitung einer internen Datenschutzrichtlinie, einem Datenübermittlungsvertrag für gruppeninterne Datenbekanntgabe ins Ausland, insbesondere ausserhalb der EU beziehungsweise des EWR, internen Dienstleistungsverträgen mit Shared-Service-Gesellschaften und Dienstleistungsverträgen mit Drittanbietern. Einige dieser Massnahmen können parallel zur Dokumentation und zur Gap-Analyse durchgeführt werden. Bei riskanteren Verarbeitungen sind gegebenenfalls weitere Massnahmen erforderlich. Technische Massnahmen in der Umsetzung sind ebenso erforderlich, wie die organisatorischen.

 

Was ist neu?

Die DSGVO führt zahlreiche neue Pflichten für Unternehmen ein:

  • Meldepflichten bei Datenschutzverletzungen (möglichst binnen 72 Stunden) an die zuständige Aufsichtsbehörde (Art. 33 DSGVO); damit wird das Risiko von Reputationsschäden signifikant erhöht; Benachrichtigung der betroffenen Personen bei hohem Risiko von Persönlichkeitsverletzungen.
  • Benennung eines internen oder externen Datenschutzbeauftragten (Art. 37 DSGVO) mit Dokumentations- und Nachweispflichten.
  • Datenschutz durch Technikgestaltung (Privacy by Design; Art. 25 Abs. 1 DSGVO) und datenschutzfreundliche Voreinstellungen (Privacy by Default; Art. 25 Abs. 2 DSGVO).
  • Big Data: Pflicht zur vorgängigen Durchführung einer Datenschutz-Folgenabschätzung (Data Protection Impact Assessment; Art. 35 DSGVO).
  • Koppelungsverbot bei Einwilligung (Art. 7 Abs. 4 DSGVO).
  • Ausbau der Rechte der betroffenen Personen (Kunden).
  • Auslagerung von der Datenverarbeitung (Auftragsverarbeitung) nur auf der Grundlage eines Vertrages (Standardvertragsklauseln) bei hinreichenden Garantien des Auftragsdatenverarbeiters (z.B. Datenschutzsiegel; Art. 28 Abs. 1 DSGVO).
  • Keine Unter-Auftragsverarbeitung (Sub-Sub-Akkordanten) ohne schriftliche Genehmigung des Verantwortlichen (Art. 28 Abs. 2 DSGVO).
  • CH-Unternehmen muss einen Vertreter in der EU benennen (Art. 27 Abs. 1 DSGVO).
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO).

 

Für schweizerische Unternehmen besteht jedoch nicht übermässiger Grund zur Panik, welche keine der obigen Anforderungen erfüllen müssen. Sie müssen sich jedoch mit der EU-DSGVO befassen und auseinandersetzen, denn eines ist klar, jeder, der eine Webseite betreibt inkl. Webanalyse Tools beherbergt mit Sicherheit auch Besucher aus dem EU-Ausland. Somit greift in diesem Moment bereits die DSGVO / GDPR. Die wesentlichen Compliance-Lücken lassen sich jedoch durchaus mit vernünftigem Aufwand schliessen.

Für weitergehende Fragen stehen wir ihnen jederzeit unter 041 787 01 64 zur Verfügung.

 

Verwandetes Thema: Datenschutzbeauftragter

 

Gerne beraten wir sie zu diesem Thema. Nehmen sie jetzt Kontakt mit uns auf