Viele Schweizer Unternehmen verkaufen ihre Waren oder Dienstleistungen in der EU. Oder sie haben eine Website, die von Menschen aus der EU besucht wird. Sie sammeln dabei Daten von Kundinnen und Kunden mit Wohnsitz in der EU. Die Daten werden u.a. in der Schweiz gelagert. Dieses Sammeln und Transferieren von Daten wird durch die Datenschutzgesetze der Schweiz und der EU geregelt. Sie schützen so die Interessen der betroffenen Bürger.
Datenschutzgesetze
Das zurzeit geltende Datenschutzgesetz der Schweiz (DSG) wurde 1992 erlassen. In den vergangenen Jahren hat aber die Technik grosse Fortschritte gemacht. Daher hat der Bundesrat Ende 2016 den Entwurf für eine Revision des DSG in die Vernehmlassung geschickt. Die EU hat ihre Regelungen bereits 2016 revidiert. Der Vorschlag des Bundesrates lehnt sich stark an diese Regelung an. Aber auch wenn die Schweiz noch weniger weit ist als die EU, gilt: Die EU-Regelung muss von Schweizer Unternehmen unter Umständen bereits ab Mai 2018 beachtet werden. Andernfalls könnte der für die Schweizer Wirtschaft wichtige grenzüberschreitende Datentransfer übermässig erschwert werden.
Anwendbarkeit der DSGVO
Unter gewissen Voraussetzungen ist die DSGVO der EU auf Schweizer Unternehmungen direkt anwendbar. Dies ist der Fall, wenn:
- Schweizer Unternehmen Waren oder Dienstleistungen in der EU anbieten und dazu personenbezogene Daten (z.B. Kundenprofil) bearbeiten, oder
- Schweizer Unternehmen das Verhalten von Besucherinnen und Besuchern ihrer Website sammeln und auswerten, wenn diese aus der EU stammen, oder
- Schweizer Unternehmen im Auftrag oder als Konzernzentrale resp. -mitglied eines in der EU domizilierten Unternehmens personenbezogene Daten bearbeiten.
Was haben Schweizer Unternehmen zu beachten?
Schweizer Unternehmen, auf die die DSGVO anwendbar ist, müssen v.a. Folgendes einhalten:
- Die Rechte der betroffenen Personen müssen beachtet werden. Für die Unternehmung heisst das: Aufklärungspflicht, Transparenz, Zweckbindung, ausdrückliche Einwilligung zur Datensammlung usw.
- Datenspeicherung nur so lange, wie es der Zweck erfordert.
- Pflicht zur vorgängigen Durchführung einer Datenschutz-Folgenabschätzung
- Meldepflichten bei Datenschutzverletzungen an die zuständige Aufsichtsbehörde sowie direkte Benachrichtigung der betroffenen Personen bei hohem Risiko von Persönlichkeitsverletzungen
- Auslagerung der Datenverarbeitung nur bei hinreichenden Garantien
- Weitgehende Rechenschaftspflichten über die Verarbeitungsprozesse
- Der Datenschutz gemäss der DSGVO muss durch technische Massnahmen eingehalten werden.
Schweizer Unternehmen müssen folgende Massnahmen ergreifen:
- Erhebung des aktuellen Zustandes der Datenerfassung im Unternehmen
- Benennung eines Datenschutzbeauftragten
- Notwendige Richtlinien und Prozessanpassungen ableiten
- Bestehende Verträge, Datenschutzerklärungen und Abläufe anpassen
- Bewusstsein für Rechenschaftspflicht schaffen
Zu beachten ist dabei, dass die DSGVO bei Missachtung drakonische Strafen vorsehen kann. Immerhin: Der Vorteil dieser Entwicklungen (v.a. für Konsumentinnen und Konsumenten) ist, dass in Europa bald eine weitgehend einheitliche Regelung des Datenschutzes bestehen wird.