Wir empfehlen allen Unternehmen sich von Anfang an auf die bevorsthende DSGVO vorzubereiten. Und das gilt nicht nur für EU, sondern auch für viele Schweizer Unternehmen!

Sieben Punkte wurden vom Staatssekretariat für Wirtschaft (SECO) veröffentlicht, mit denen das neue Europäische Datenschutzrecht in der Schweiz eingehalten werden kann.

1. Betroffene Personen informieren und Einwilligung einholen

Wenn die Legitimität einer Datenverarbeitung auf der Einwilligung der betroffenen Person beruht, muss diese freiwillig gegeben werden. Die Einwilligung muss anhand der ausführlichen und gut erkennbaren Informationen, aktiv und ausdrücklich erfolgen.

Wichtig: Welche personenbezogene Daten dürfen erfasst und wie an welche Drittanbieter weitergegeben werden.

2. “Privacy by design” und “Privacy by default” gewährleisten

Bereits bei der Planung der Datenverarbeitung muss das Unternehmen technische und organisatorische Massnahmen ergreifen, um die Einhaltung der DSGVO sicherstellen zu können und zu schützen. Daten dürfen zudem standardmässig nur für den jeweiligen Verwendungszweck erhoben werden.

3. Einen Datenschutzbeauftragten / Vertreter in der EU ernennen

Die Pflicht, einen Vertreter in der EU zu benennen, entfällt, wenn die Datenverarbeitung nur gelegentlich erfolgt oder aber keine besonderen Datenkategorien betrifft sowie nahezu kein Risiko mit sich bringt.

Wichtig: Wenn weniger als 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, muss kein Datenschutzbeauftragter benannt werden. Das bedeutet, die meisten Kleinunternehmen brauchen glücklicherweise wohl keinen Datenschutzbeauftragten in der EU. Die genauen Regeln finden Sie hier in der Quelle

4. Ein Verzeichnis der Verarbeitungstätigkeiten erstellen

Das Unternehmen oder seine Zwischenhändler müssen eine Übersicht mit einer Reihe von Informationen zu den Methoden der Datenverarbeitung führen.

5. Verstösse gegen den Datenschutz an die Aufsichtsbehörde melden

Die Firma muss schnelle Mechanismen vorsehen, mit denen die betroffenen Personen und die zuständigen Aufsichtsbehörden im Falle einer Datenschutzverletzung benachrichtigt werden.

Wichtig: Wenn Sie merken, dass (personenbezogene) Daten gestohlen wurden (z.B. Sie gehackt wurden), muss dies innerhalb von 72 Stunden gemeldet werden.

6. Eine Datenschutz-Folgenabschätzung durchführen

Eine Art der Datenverarbeitung, die ein hohes Risiko mit sich bringt, dass Rechte und Freiheiten verletzt werden könnten, muss einer Folgenabschätzung unterzogen werden.Bei den meisten Kleinunternhemen sollte das jedoch nicht zutreffen. Mehr zu den Datenschutz-Folgeschätzung finden Sie hier

7. Geldbussen bei Verstössen gegen die DSGVO

Die DSGVO sieht Geldbussen bis zu EUR 20 Mio. oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor. Auch die zivilrechtliche Haftung für Schadenersatz wird in Zukunft strenger werden, da die DSGVO ausdrücklich auch eine Haftung für “immateriellen Schaden” vorsieht. Auch Unternehmen ohne Niederlassung in der EU sind von der DSGVO betroffen, sofern sie Waren oder Dienstleistungen an Personen in der EU anbieten (mit oder ohne Bezahlung) oder das Verhalten von Personen in der EU beobachten, z.B. auf ihrer Website oder in einer App. Auch wer an der Datenverarbeitung für solche Zwecke als Verantwortlicher oder Auftragsverarbeiter mitwirkt, untersteht der DSGVO.

Sind die Bussen in der Schweiz genauso hoch wie un der EU?

Nein, in der Schweiz ist ein wesentlich geringerer Strafrahmen vorgesehen, nämlich nur 250’000 Franken und nicht 20 Mio oder 4% wie in der EU (Stand 09/2017).

Aber Achtung:  Voraussichtlich werden die Behörden in der EU die Möglichkeit haben, Verfahren und Bussen auch bei Unternehmen in der Schweiz durchzusetzen.

Quelle kmu.admin.ch (vom 07.02.2018)