Seit 25. Mai 2018 gelten in der Europäischen Union neue und strengere Datenschutzvorschriften. Die Datenschutz-Grundverordnung (DSGVO; in Englisch “General Data Protection Regulation (GDPR)”) ist in den 28 Mitgliedstaaten der EU und in den Vertragsstaaten des EWR direkt anwendbar. Kaum ein Schweizer Unternehmen, hat keine Mitarbeitenden aus dem EU-Raum. Welche Regeln gelten für diese Unternehmen?
Anwendbarkeit auf Schweizer Unternehmen
Aufgrund des Marktortprinzips (im grenzüberschreitenden Verkehr gilt das Recht des Ortes, auf dessen Markt ein Angebot ausgerichtet ist) ist die DSGVO auch auf Unternehmen ausserhalb der EU anwendbar, wenn diese Waren- oder Dienstleistungen in der EU anbieten oder das Verhalten von Personen in der EU beobachten. Schweizer Unternehmen sind zudem indirekt betroffen, da in der laufenden Revision des Schweizer Datenschutzgesetzes die meisten Punkte der DSGVO übernommen werden.
Jedes Unternehmen muss selbst prüfen, ob es aufgrund seiner Geschäftstätigkeit der DSGVO unterliegt. Dabei ist stets die Absicht des Verantwortlichen zu berücksichtigen. Folgende Faktoren spielen hier eine Rolle:
- Geschäftstätigkeit (auch) auf Kunden in der EU ausgerichtet
- Zweigniederlassung in der EU
- Angabe einer Telefonnummer mit internationaler Vorwahl
- Wegbeschreibung aus einem EU-Land zu dem Ort, wo der Dienst angeboten wird
- Nutzung der First-Level-Domain eine EU-Landes
- Beobachtung des Verhaltens der betroffenen Person (v.a. verhaltensbasierte Werbung, Webtracking)
Jedoch, gilt die blosse Zugänglichkeit einer Webseite oder die Verwendung einer Sprache, die in einem EU-Land gebräuchlich ist, nicht als ausreichender Anhaltspunkt. Die DSGVO ist also nicht allein deshalb anwendbar, weil ein Unternehmen Personen aus der EU bei sich arbeiten lässt. Werden jedoch gezielt Kandidaten mit Wohnsitz in der EU rekrutiert, so muss die DSGVO beachtet werden.
Die wichtigsten Pflichten der DSGVO
Eine der wichtigsten Neuerungen ist die Verankerung der Rechenschaftspflicht des Verantwortlichen, wonach dieser die Einhaltung der allgemeinen Grundsätze aktiv nachweisen können muss. Mit anderen Worten wurde das Prinzip der Beweislastumkehr eingeführt.
Die wichtigsten Pflichten sind:
Auswirkungen auf Schweizer Unternehmen
Die Anwendung der DSGVO ist im Einzelfall zu beurteilen und kann sich in Zukunft noch ändern. Allerdings kann jetzt schon gesagt werden, dass die Anforderungen im Bereich Datenschutz und Datensicherheit markant gestiegen sind, so z.B.:
- Der Datenschutz bei Produkten und Dienstleistungen muss bereits in der Planungsphase berücksichtigt werden (“privacy by design”).
- Unternehmen mit mehr als 250 Beschäftigten müssen ein Register mit allen Bearbeitungstätigkeiten führen.
- Wenn die Bearbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person zur Folge hat, muss eine Datenschutz-Folgeabschätzung durchgeführt werden.
- Es besteht neu die Pflicht, der Aufsichtsbehörde Verletzungen des Schutzes personenbezogener Daten zu melden (möglichst innerhalb von 72 Stunden).
- Unternehmen müssen einen Datenschutzvertreter in der EU benennen.
Es empfiehlt sich auf jeden Fall, die Anwendbarkeit der DSGVO auf das eigene Unternehmen genau zu prüfen. Bei Verstössen droht eine Busse von maximal 4% des globalen Umsatzes oder EUR 20 Mio., je nachdem welcher Betrag höher ist.
Falls die DSGVO ohnehin eingeführt werden muss, z.B. weil Europa ein wichtiger Absatzmarkt ist, sollten die gleichen Regeln auch für die internen Mitarbeitenden gelten. Auf alle Fälle lohnt es sich nicht, verschiedene Standards für Datenschutz im gleichen Unternehmen zu pflegen.