Zum Inhalt springen

Sven Jennessen WebIT, Daten, Sicherheit Was ist DSGVO für die Schweiz?

Was ist DSGVO für die Schweiz?

Auch für Schweizer Unternehmen gelten die Vorschriften der EU-Verordnung, sobald sie personenbezogene Daten von EU-Bürgern verarbeiten. Was Verarbeitung heisst – und welche sonstigen Themen auf uns zukommen, erfährst du hier.

Dieser Beitrag ist Teil der Blogserie zur DSGVO (GDPR) für die Schweiz.

Bedeutung der DSGVO

Die Datenschutz-Grundverordnung ist ein Gesetz der Europäischen Union, das für alle Mitgliedsstaaten Anwendung findet. Damit soll erstmals eine länderübergreifende rechtliche Grundlage geschaffen werden, die den Datenschutz vereinheitlichen soll. Gleichzeitig sollen jedoch auch wirtschaftliche Interessen der datenverarbeitenden Unternehmen berücksichtigt werden. Was aber genau hat eigentlich die Schweiz damit zu tun?

DSGVO betrifft alle Schweizer Websites

Die EU-Datenschutz-Grundverordnung findet auch Anwendung bei Schweizer Unternehmen, wenn Sie personenbezogene Daten von Personen verarbeiten, die ihren gewöhnlichen Aufenthalt in der EU haben. Dies gilt in Bezug auf Waren- und Dienstleistungsangebote, unabhängig davon, ob eine Zahlung erforderlich ist oder nicht.

Quelle: www.edoeb.admin.ch

Dies bedeutet auch, dass bereits eine Website, die ein Besucher aus der EU anschauen kann, ausreichen kann, um der DSGVO zu unterstehen – denn sie beinhaltet ein Angebot deiner Waren oder Dienstleistungen.

Inhalte der Verordnung

Grundprinzipien

Das EU-Parlament verfolgt das Ziel der Einheitlichkeit und Harmonisierung des Datenschutzrechts. Die Verordnung beinhaltet aber auch weitere Ziele:

  • Wahrung der Grundrechte und Grundfreiheiten bei personenbezogenen Daten
  • Zusammenarbeit der Mitgliedsstaaten zum Datenaustausch
  • Rechtsrahmen und Vertrauensbasis durch Sicherheit und Kontrolle
  • Übernahme in nationale Rechtsvorschriften, gleichzeitig aber auch …
  • gleichwertiges Schutzniveau – trotz nationaler Spielräume

Sachlicher Anwendungsbereich

Laut Artikel 2 Abs. 1 DSVGO gilt die Verordnung "für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten, aber auch für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert werden oder gespeichert werden sollen“.

Das bedeutet für dich: Wenn du personenbezogene Daten von EU-Bewohnern verarbeitest – oder diese speicherst oder speichern willst, greifen die Bestimmungen des DSGVO.

Begriffsbestimmungen

Was heisst "personenbezogene Daten"? Eine kleine Auswahl dieses Ausdrucks und anderer wichtiger Begriffe, erklärt uns Art. 4 DSGVO "Begriffsbestimmungen" genauer:

Personenbezogene Daten

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Verarbeitung

Jeder ausgeführte Vorgang, der mit oder ohne Hilfe automatisierter Verfahren … in Zusammenhang mit personenbezogenen Daten steht". Dazu gehört

  • das Erheben,
  • das Erfassen,
  • die Organisation,
  • das Ordnen,
  • die Speicherung,
  • die Anpassung oder Veränderung,
  • das Auslesen,
  • das Abfragen,
  • die Verwendung,
  • die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,
  • den Abgleich oder die Verknüpfung,
  • die Einschränkung,
  • das Löschen oder die Vernichtung

Einschränkung der Verarbeitung

Die Markierung gespeicherter personenbezogener Daten – mit dem Ziel, ihre künftige Verarbeitung einzuschränken.

Profiling

Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten. Hierbei geht es insbesondere darum, Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Pseudonymisierung

Die Verarbeitung personenbezogener Daten, die technischen und organisatorischen Massnahmen in der Weise unterliegen, dass die betroffene Person – ohne Hinzuziehung zusätzlicher Informationen – nicht mehr zugeordnet oder identifiziert werden kann.

Ausnahmen, wann DSGVO keine Anwendung findet

Wo es Regeln gibt, sind Ausnahmen nicht weit. Die Inhalte der EU-Datenschutz-Grundverordnung finden beispielsweise keine Anwendung, wenn folgende Gründe vorliegen:

  1. Tätigkeit fällt nicht in den Anwendungsbereich des Unionsrechts
  2. Mitgliedstaaten im Rahmen ihrer Tätigkeiten, die in den Anwendungsbereich der gemeinsamen Aussen- und Sicherheitspolitik fallen
  3. Natürliche Personen üben ausschließlich persönliche oder familiäre Tätigkeiten aus
  4. Zuständige Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit
  5.  Datenverarbeitung trifft keine EU-Bürger

Sanktionen

Es ist zu empfehlen, die verbleibende Zeit mit Planung und Umsetzung der vom EU-Parlament geforderten Massnahmen zu nutzen, um zum Stichtag 25, Mai 2018 gerüstet zu sein. Bei Nichteinhaltung drohen teils drakonische Strafen, die wie folgt ausfallen können:

  • Mahnungen
  • Verwarnungen
  • Vorübergehende oder dauerhafte Beschränkungen der Bearbeitung

Wenn das alles nicht greift, kann es zu immensen Geldbussen kommen:

  • Bis zu 20 Mio. EUR
  • Bis 4% des weltweiten Jahresumsatzes
  • Auch der aus einem Gerichtsverfahren resultierende Schadenersatz nebst Zinsen kann erhoben werden

Stichtag ist 25. Mai 2018

Etwas Zeit bleibt ja noch. Dennoch solltest du die Vorgaben der Verordnung ernst nehmen und entsprechende Massnahmen bereits vor dem Stichtag umgesetzt haben.

Persönlicher Eindruck

Was für mich auf den ersten Blick wirkt, wie eine weitere Merkwürdigkeit der EU-Gesetzgebung, macht bei näherer Betrachtung doch auch Sinn: In erster Linie sollen nämlich die Grundrechte der einzelnen Bürger in Hinblick auf ihre persönlichen Daten geschützt werden.

Firmen, Unternehmer und Behörden haben dabei ein paar Aufgaben, die bis Mai 2018 umgesetzt werden müssen, um die neuen Bürgerrechte zu schützen. Mit der richtigen Herangehensweise wird das auch gelingen. Und das sollte uns doch allen ein Bedürfnis sein, denn es geht auch um unsere Daten.

Ich wünsche dir viel Erfolg bei den Vorbereitungen und hoffe, dir mit diesem Beitrag ein Stück weiterhelfen zu können.

Herzliche Grüsse
Sven

Wenn du mehr zum Thema DSGVO lesen möchten, hast du hier die Möglichkeit.

 

Haftungsausschluss: Bitte beachte, dass die Beiträge innerhalb der Blogserie keine Rechtsberatung darstellen oder ersetzen. Für eine individuelle Abklärung der Massnahmen in deinem Unternehmen, empfehle ich ggf. einen Rechtsberater aufzusuchen.

Quellen: www.dsgvo-gesetz.de, https://www.edoeb.admin.ch

Sven Jennessen
Lesen Sie mehr Beiträge von Sven Jennessen

Buschtrommeln Erhalte wertvolle Tipps, Anleitungen und Infos

Einfach E-Mail-Adresse eingeben und die neusten Nachrichten, Updates, Anleitungen und Tipps von 2sic und rund um den digitalen Dschungel erhalten.

Social Network Oder/und folge uns auf unseren anderen sozialen Kanälen