Crashkurs: Datenschutz-Grundverordnung Teil 1

Im Mai 2018 wird es ernst, denn dann tritt die Datenschutz- Grundverordnung in Kraft. Nach der zweijährigen Übergangsfrist wird nun die Verordnung vom 25. Mai 2018 verbindlich. Diese ersetzt die bislang geltenden Datenschutzgesetze aus dem Jahre 1995. Diese gilt auch für alle „Drittstaaten“ außerhalb der EU, die Daten der EU-Bürger verarbeiten. Um den Umstieg nicht zu verpassen und um ideal vorbereitet zu sein, stellen wir unseren Lesern einen kleinen Crash-Kurs in Sachen DSGVO zur Verfügung, der die wichtigsten Folgen und die nötigen Anpassungen für Unternehmen in der Schweiz beinhaltet. In diesem ersten Teil der Beitragsreihe wird erklärt, worum es im DSGVO geht und was diese Regelungen für Schweizer Unternehmen angewendet werden.

Um was es geht

Durch die neue Datenschutz-Grundverordung wird erstmals der Datenschutz in der Europäischen Union auf eine einheitliche Basis gestellt. Inhaltlich führt die DSGV wichtige Neuerungen auf wie zum Beispiel:

Das Recht auf Vergessen
Nach diesem Recht können betroffene Personen ihre Daten im Netz durch den Datenverarbeiter löschen lassen.

One-Stop-Shop-Ansatz
Demnach werden Datenschutzverletzungen von den Betroffenen direkt bei der Datenschutzbehörde in ihrem Mitgliedstaat geltend gemacht – unabhängig davon, wo die Verletzung stattgefunden hat.

Geldstrafen
Neu ist auch, dass Verletzungen der Datenschutzregeln mit höchstens 20 Millionen Euro bzw. 4 Prozent des gesamten Jahresumsatzes sanktioniert werden können. Jedoch drohen kleineren Unternehmen keine derartigen Strafen, wenn es sich um kleinere oder erstmalige Verstösse handelt.

Verschärfte Regelungen
Zu wichtigen Punkten des Datenschutzrechts kamen verschärfte Regelungen, wie die Verarbeitung der Daten, der Notwendigkeit zur Einholung der Zustimmung der Betroffenen, dem Inhalt der vertraglichen Regelung bei der Verarbeitung von Daten durch Dritte (Auftrags-Datenverarbeitung) sowie die Voraussetzungen zur Übermittlung von Personendaten in EU-Drittländer.

Personenbezogene Daten und ihre Verarbeitung

Personenbezogene Daten sind Angaben jeglicher Art, die sich auf eine zumindest theoretisch identifizierbare Person beziehen (Art. 4 Nr. 1 DSGVO). Im Zweifel wird von Personenbezug der Daten ausgegangen. Hierzu reicht es schon, wenn die Person mit Hilfe der zur Verfügung stehenden Daten identifiziert werden könnte. Also zählt auch ein pseudonymisiertes Werbe-Cookie mit darin gespeicherten Daten als personenbezogen, weil man die Person anhand der IP-Adresse sowie anhand der Verhaltensmerkmale identifizieren könnte. Folglich gehören auch IP-Adressen und Tracking-Cookies als personenbezogene Daten. Die Verarbeitung von Daten kann dabei fast alle erdenklichen Verwendungen umfassen. Bei nicht-anonymisierten Daten gilt das Erheben, Speichern, Offenlegen, Übermitteln und sogar das Löschen zur Verarbeitung.

Die Anonymität der Daten ist ein wichtiger Aspekt, denn solche Daten lassen keine Rückschlüsse auf eine konkrete Person zu – dazu gehören zum Beispiel Statistiken über die Anzahl Besuche auf der Webseite, bei denen die einzelnen Besucher nicht ersichtlich sind. Jedoch ist es wichtig zu wissen, dass Daten durch deren Ansammlung personenbezogen werden können. So ist die Bonität einer Region an und für sich ein anonymes Datum. Wird die Angabe zur Bonität mit Adressen von Personen verbunden, wird das Datum personenbezogen. Erst wenn man sich sicher ist, dass es sich um anonymisierte Daten handelt, muss man sich keine Gedanken über die DSGVO machen.

Voraussetzungen für Erlaubnisse

Vertragsabwicklung und Anfragen
Wie bisher auch, können personenbezogene Daten verarbeitet werden, wenn diese für die Erfülung des Vertrages notwendig ist. Beispielsweise kann es sich hier um die Angaben im Kontaktformular handeln, welche bei einem Webshop-Anbieter einem Warenspediteur weiterleiten darf – zum Beispiel die Adresse des Käufers für das Erhalten seiner Bestellung.

Gesetzliche Verpflichtungen
Die Verarbeitung der Daten ist erlaubt, wenn sie durch andere Gesetze vorgeschrieben ist – Beispielsweise die Aufbewahrung von Rechnungen während mehrerer Jahre ist Pflicht. In diesem Fall ist die Datenaufbewahrung erlaubt.

Berechtigte Interessen
Handelt es sich um wirtschaftliche Interessen – wie zum Beispiel bei einer Beschäftigtenkontrolle, Marketing, Direktwerbung oder bei der IT-Sicherheit – dann ist die Verarbeitung personenbezogener Daten auf Grundlage berechtigter Interessen gestattet. Jedoch sind die wirtschaftlichen Interessen mit den Interessen der Nutzer am Datenschutz abzuwägen.

Was bedeutet das für Schweizer Firmen? 

Es ist wichtig für die Schweiz, dass das schweizerische Datenschutzrecht mit demjenigen der EU übereinstimmt, damit die Voraussetzungen gegeben sind, dass das schweizerische Recht von der EU als angemessen anerkannt wird. Ansonsten würde der wichtige Datenaustausch für schweizerische Firmen mit Unternehmen der EU sehr erschwert.

Die DSGVO gilt auch für alle Schweizer Unternehmen, wenn sie Daten von in der EU ansässigen Personen bearbeiten, um ihnen Dienstleistungen oder Services in der EU anzubieten. Ebenfalls gilt die Verordnung dann, wenn die Daten dazu dienen, das Online-Verhalten der Personen zu beobachten, z.B. die Analyse von Website Besuchern oder von App-Nutzern aus der EU etc. Somit sind alle Schweizer Exporteure, Online-Händler, Versandhändler und Online- Anbieter von Dienstleistungen betroffen.

Datenschutzanforderungen

Diese Firmen müssen einen Vertreter in der EU benennen, ausser wenn sie Daten von in der EU ansässigen Personen nur gelegentlich bearbeiten und keine umfangreiche Bearbeitung von besonders schützenswerten Personendaten beinhalten (z.B. Daten über Gesundheit).

Damit die Übergangsfrist bis im Mai 2018 richtig genutzt wird, empfehlen wir bereits jetzt mit den Vorbereitungsarbeiten zu beginnen und die notwendigen Anpassungen durchzuführen, um die neuen Datenschutzanforderungen zeitgerecht einhalten zu können.

Checkliste: Erlaubte Datenverarbeitung?

Zum Schluss sollten sie folgende Checkliste durchgehen, um herauszufinden, ob es sich bei den von Ihnen verwendeten Daten um erlaubte Datenverarbeitung handelt. Sofern ein Punkt auf die von Ihnen verwendete Bearbeitungsart zutrifft, handelt es sich erlaubte Datenverarbeitung.

  • Berechtigte Interessen (IT-Sicherheit, Direktwerbung etc.)
  • Schutz lebenswichtiger Interessen von Menschen (in der Gesundheitsbranche)
  • Gesetzliche Pflichten
  • Vertragserfüllung (Daten an Spediteur)
  • Einwilligungen

Nun haben sie einen groben Überblick über die der DSGVO erhalten.
Im nächsten Blogbeitrag erwarten Sie dann die Spezialregeln, welche Daten man nutzen darf  und welche nicht.