Auch Schweizer Unternehmen direkt betroffen
Direkt betroffen sind auch viele Scheizer Unternehmen. Insbesondere im Falle einer Niederlassung in der EU oder eines Angebots von Waren und Dienstleistungen an Personen in der EU ist die DSGVO auf Schweizer Unternehmen anwendbar.
Verwendet ein Unternehmen personenbezogene Daten natürlicher Personen, die sich in der EU befinden, und steht dies Datenverarbeitung im Zuammenhang mit einem Angebot von Waren oder Dienstleistungen oder hat zum Ziel, das Verhalten natürlicher Personen in EU-Raum zu verfolgen, fällt dies sehr wahrscheinlich in den Anwendungsbereich der DSGVO. Um festzustellen, ob ein Unternehmen unter die neuen Datenschutzbestimmungen fällt ist also massgebend, ob sich die natürlichen Personen, deren Daten verarbeitet werden, in der EU befinden, und ob die Absicht besteht, Personen im EU-Raum anzusprechen.
Betroffene Schweizer Unternehmen müssen ab dem 25. Mai 2018 die Vorgaben der DSGVO einhalten, andernfalls drohen Geldbussen von bis zu CHF 20 Millionen oder von bis zu 4 Prozent des weltweiten Umsatzes.
Pflichten der betroffenen Unternehmen
Schweizer Unternehmen, die unter die Regelung er DSGVO fallen, unterliegen zahlreichen Pflichten. Betroffene Schweizer Unternehmen müssen daher ihre Aktivitäten, insbesondere ihre Website, mit den DSGVO-Bestimmungen in Einklang bringen.
Betroffene Unternehmen müssen sieben zentrale Pflichten einhalten:
- Informieren und Einholen der Einwilligung der betroffenen Person: Wenn die Legitimität einer Datenverarbeitung auf der Einwilligung der betroffenen Person beruht, muss diese freiwillig erfolgen und auf einer ausführlichen, erkennbaren und bestimmten Information beruhen. Die Einwilligung muss aktiv und ausdrücklich erfolgen, bedarf aber keiner bestimmten Form und kann auch mündlich gegeben werden. Wichtig ist, dass die Einwilligung nachgewiesen werden kann. Zudem muss der jederzeitige Widerruf der Einwilligung möglich sein.
- Gewährleisten von „Privacy by design“ und „Privacy by default“: Bereits bei der Planung der Datenverarbeitung müssen technische und organisatorische Massnahmen ergriffen werden, um die Einhaltung der neuen Datenschutzbestimmungen zu gewährleisten und die Daten der betroffenen Personen zu schützen (Privacy by design).Über Voreinstellungen muss gewährleistet werden, dass standardmässig nur Daten erhoben werden, die für den jeweiligen Verwendungszweck erforderlich sind (Privacy by default).
- Ernennen eines Datenschutz-Vertreters in der EU: Es muss ein Datenschutz-Vertreter in der EU bestimmt werden. Dieser dient in erster Linie als Anlaufstelle für Aufsichtsbehörden und betroffene Personen in der EU für Fragen der Verarbeitung personenbezogener Daten. Diese Pflicht entfällt, wenn die Datenverarbeitung nur gelegentlich erfolgt, keine besonderen Datenkategorien betrifft und nahezu kein Risiko birgt.
- Erstellen eines Verzeichnisses der Verarbeitungstätigkeiten: Es muss eine Übersicht mit einer Reihe von Informationen zu den Methoden der Datenverarbeitung geführt werden.
- Melden von Verstössen gegen den Datenschutz an Aufsichtsbehörde: Es müssen schnelle Mechanismen vorgesehen werden, mit denen die betroffenen Personen und die zuständigen Aufsichtsbehörden im Falle einer Datenschutzverletzung benachrichtigt werden.
- Durchführen einer Datenschutz-Folgenabschätzung: Birgt eine bestimmte Art der Datenverarbeitung ein hohes Risiko, dass Rechte und Freiheiten verletzt werden könnten, muss sie einer Folgenabschätzung unterzogen werden.
- Zahlen von Geldbussen bei Verstössen gegen die DSGVO: Im Fall einer Datenschutzverletzung können hohe Bussen von bis zu CHF 20 Millionen oder von bis zu 4 Prozent des weltweiten Umsatzzahlen verhängt werden.
Immerhin ist davon auszugehen, dass Schweizer Unternehmen, welche die DSGVO-Bestimmungen umsetzen, damit voraussichtlich auch den Anforderungen des revidierten Schweizer Datenschutzsrecht genügen werden.
Versand eines Newsletters beispielsweise
Die DSGVO gilt auch für kostenlose Waren und Dienstleistungen, so bspw. veun Versand eines E-Books oder eines Whitepapers per E-Mail oder eines E-Mail-Newsletters an Personen in der EU. Da auch IP-Adressen als personenbezogene Daten im Sinne der DSGVO gelten ist davon auszugehen, dass der Betrieb einer Website unter die Regelung fällt.
Beim Versand eines Newsletters etwa muss das Unternehmen beweisen können, dass es eine explizite Einwilligung des Empfängers (bspw. für den regelmässigen Empfang eines Newsletters) erhalten hat. Stammen bspw. die E-Mail-Adressen der Empfänger eines Newsletters aus verschiedenen Quellen, können alle Personen per E-Mail angeschrieben und um eine Einwilligung (z.B. durch Klick auf einen Bestätigungslink) gebeten werden. Jeder versendete Newsletter muss einen Abmeldelink enthalten. Bei neuen Newsletter-Anmeldungen muss das Double-Opt-in-Verfahren angewandt werden.