in Kraft seit 25.05.2018
Die neue Datenschutz-Grundverordnung (DSGVO) [1] der EU ist am 25.05.2018 in der gesamten Europäischen Union (EU) in Kraft treten. Unter bestimmten Voraussetzungen ist sie auch auf Unternehmen mit Sitz in der Schweiz anwendbar.
Welche Schweizer Unternehmen können betroffen sein?
Schweizer Unternehmen sollten sich an die DSGVO halten, wenn sie personenbezogene Daten von natürlichen Personen aus der EU verarbeiten und damit folgende Zwecke verfolgen:
- Waren- und Dienstleistungsangebote (entgeltlich oder unentgeltlich) an diese Personen oder
- Erhebung und Analyse des Verhaltens dieser Personen, sofern und soweit das Personenverhalten in den Mitgliedstaaten der EU stattfindet.
Um zu bestimmen, ob ein Unternehmen, welches seinen Sitz ausserhalb der EU hat, in den Anwendungsbereich der DSGVO fällt, muss analysiert werden, ob die Absicht zu folgenden Aktivitäten besteht:
- Warenverkauf oder Dienstleistungsangebot in der EU
- Indizien
- Erwähnung von Kunden, die sich in den EU-Mitgliedstaaten befinden
- EU-gängige Währung
- etc.
- Indizien
Bei der Analyse der Betroffenheit frägt sich, ob ein klarer Wille erkennbar ist, das Verhalten von natürlichen Personen im EU-Raum zu analysieren:
- Nutzung von Profiling-Tools
- Google Analytics
- etc.
Was sollten die betroffenen Unternehmen vorkehren?
Schweizer Unternehmen, die von der neuen EU-Verordnung betroffen sind, haben seit 25.05.2018 folgende Pflichten zu erfüllen:
- Information und Einholung der Einwilligung zur Datenverarbeitung durch die betroffene Person
- Garantie von «Privacy by design» und «Privacy by default»
- Benennung eines Datenschutz-Vertreters in der EU
- Erstellung eines Verzeichnisses der Datenverarbeitungstätigkeiten
- Pflicht zur Meldung von Verletzungen des Datenschutzes an die Aufsichtsbehörde
- Durchführung einer Datenschutz-Folgenabschätzung.
Sanktion bei einer DSGVO-Verletzung
Unternehmen, die eine Datenschutzverletzung begangen haben, können zur Bezahlung einer Geldbusse in Höhe von bis zu 4% ihres weltweiten Jahresumsatzes des vergangenen Geschäftsjahrs verpflichtet werden.
Revision des Schweizerischen Datenschutzgesetzes (DSG)
Das Schweizer Pendant zur DSGVO, das Bundesgesetz über den Datenschutz (DSG), befindet sich derzeit in Revision und es ist davon auszugehen, dass der Schweizer Souverän gleiche oder ähnliche Datenschutzbestimmungen wie die DSGVO enthält, ins DSG aufnimmt.
Unternehmen, die ihre Organisation nach der DSGVO ausrichten, werden bei Inkrafttreten der DSG-Revision voraussichtlich nur geringfügige Anpassungen vornehmen müssen.
Weitere Detailinformation zum Erlass
Für einen DSGVO-Überblick wird statt einer Inhaltswiederholung wird auf den Newsflyer von Bürgi Nägeli Rechtsanwälte verwiesen:
- Mögliche Reflexwirkung der Europäischen Datenschutz-Grundverordnung (DSGVO) auf Unternehmen und Privatpersonen in der Schweiz | bnlawyers.ch
Quelle
LawMedia-Redaktionsteam
Weiterführende Informationen / Linktipps
- Exkurs: DSGVO
- Datenschutzgesuch | daten-schutz-ch
- Datenschutz: Muster / Download
- Bundesgericht: 4A_688/2011 – Urteil vom 17. April 2012 | polyreg.ch
[1] Englisch: General Data Protection Regulation (GDPR); französisch: Règlement général sur la protection des données (RGPD)