Lesezeit: 5 Minuten
Datenschutz reloaded: Neue Datenschutzregeln in der EU…
Am 25. Mai 2018 tritt eine neue Datenschutzverordnung der EU in Kraft, die so genannte „EU-DSGVO“. Die neuen Regeln betreffen den Umgang von Unternehmen mit Personendaten. Ziel ist eine massive Verstärkung des Datenschutzes.
Ab Ende Mai ist eine Datenbearbeitung durch ein Unternehmen gemäss EU-DSGVO grundsätzlich verboten, es sei denn, das Unternehmen hat einen besonderen Grund für die Datenbearbeitung oder verfügt über eine Einwilligung der betroffenen Personen. Fakt ist, dass heute in der Schweiz gerade das Gegenteil gilt: Unternehmen dürfen grundsätzlich Daten bearbeiten, es sei denn, diese Bearbeitung sei ausnahmsweise verboten.
…mit Auswirkungen auf Schweizer Unternehmen!
Die EU-DSGVO gilt nicht nur in den EU-Staaten, sie betrifft auch viele Schweizer Unternehmen. Etwa alle Schweizer Unternehmen, die Kunden in der EU ihre Produkte verkaufen oder ihre Dienstleistungen anbieten. Möglicherweise ist also auch Ihr Unternehmen betroffen. Können Ihre Kunden etwa online Waren bestellen oder Dienstleistungen in Auftrag geben? Verschicken Sie Ihren Kunden oder Dritten den firmeneigenen Newsletter? Oder bieten Sie kostenlose Informationen, Waren oder Dienstleistungen Personen an, die sich möglicherweise in der EU befinden?
Ist Ihre Firmen-Website in englischer Übersetzung oder in einer anderen Sprache verfügbar, die keine Landessprache der Schweiz ist? Oder können Ihre Kunden Waren und Dienstleistungen auch in Euro bezahlen? Oder haben Sie früher oder vor Kurzem Verträge abgeschlossen, die regeln, dass das Recht irgendeines EU-Staates anzuwenden ist? Etwa Verträge über Ersatzteillieferungen oder Software-Verträge?
Weiter fallen alle Schweizer Unternehmen unter das neue Datenschutzrecht, die im EU-Raum Geschäftsstrukturen haben. Hat Ihre Unternehmung beispielsweise eine Niederlassung in der EU? Etwa eine Tochtergesellschaft in Frankreich, eine Zweigniederlassung in Liechtenstein oder eine Agentur in England? Übrigens ist es egal, ob diese Zweigniederlassung beispielsweise eine GmbH oder eine Einzelfirma ist.
Ihr Unternehmen ist ebenfalls betroffen, wenn Sie die Besuche Ihrer Webseite auswerten (Webtracking/Google Analytics/Targeting). Auch das heute sinnvolle und erfolgreiche Online-Marketing für Ihr Unternehmen führt in den allermeisten Fällen zur Anwendbarkeit der neuen EU-DSGVO. Haben Sie schliesslich einem EU-Unternehmen Datenverarbeitungsaufträge erteilt? Oder speichern Sie Ihre Firmendaten in einer niederländischen oder irischen Cloud? Haben Sie diesfalls klar geregelt, wie und nach welchen Regeln beispielsweise personenbezogene Daten bearbeitet werden und wie der Datenschutz sichergestellt wird (so genannter Datenverarbeitungsauftrag)? Oder werten Sie mit Ihrem Unternehmen in der Schweiz Daten von EU-Unternehmen aus? Oder stellen Sie Speicherplatz auf Ihren Servern auch Personen oder Unternehmen in der EU zur Verfügung?
Wenn Sie auch nur eine der obenstehenden Fragen mit «ja» beantworten, ist davon auszugehen, dass Ihr Unternehmen von den neuen Datenschutzregeln betroffen ist.
Was droht – Geldbussen und Vertragsverletzung
Drastisch sind die Strafen, welche die EU-DSGVO im Verordnungstext nennt: Geldbussen bis 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes des betroffenen Unternehmens. Im Vergleich zum geltenden Schweizer Recht mit Strafen bis CHF 10‘000.00, droht also eine massive Verschärfung der Sanktionsmöglichkeiten.
Im Alltag für Sie möglicherweise noch wichtiger ist, dass Verträge mit EU-Firmen oft die Anwendbarkeit des ausländischen Staates, also etwa von deutschem Recht, verlangen. In diesem Fall drohen bei Nichteinhaltung der EU-DSGVO eine Vertragsverletzung (eventuell mit Strafdrohung), eine vorzeitige Beendigung des Vertrages oder auch Schadenersatzforderungen. Die Wahrscheinlichkeit ist gross, dass künftig neue Verträge ohne das Akzeptieren der Verpflichtung, die EU-DSGVO einzuhalten, gar nicht mehr abgeschlossen werden können.
Was ist zu tun?
Klar ist, dass der Datenschutz spätestens jetzt zur Chefsache werden muss. Die Unternehmensleitung muss möglichst rasch den Überblick gewinnen, wo im Unternehmen Datenschutz-Lücken im Hinblick auf die neue europäische Datenschutzregelung bestehen und was zu tun ist. Da zahlreiche Pflichten für Unternehmen überhaupt erst mit der neuen EU-DSGVO eingeführt werden, ist davon auszugehen, dass fast alle Schweizer Unternehmen mehrere rechtliche Vorkehren treffen und im Bereich (Online-)Marketing technische und/oder organisatorische Anpassungen vornehmen müssen.
Kommentare