Die EU-Datenschutzregelung betrifft auch in der Schweiz ansässige KMU. Diese müssen ab dem 25. Mai 2018 sieben gesetzliche Vorgaben einhalten, andernfalls drohen Geldbussen.
Um zu bestimmen, ob ein Unternehmen in den Anwendungsbereich der DSGVO fällt, ist es wichtig, ob sich die natürlichen Personen, deren Daten verarbeitet werden, in der EU befinden, und ob die Absicht besteht, Personen im EU-Raum anzusprechen.
Unternehmen, die in den Anwendungsbereich der DSGVO fallen, müssen sieben zentrale Pflichten einhalten. Die Schweizer Rechtsanwaltskanzlei Kellerhals Carrard fasst sie wie folgt zusammen:
Informieren und die Einwilligung der betroffenen Person einholen: Wenn die Legitimität einer Datenverarbeitung auf der Einwilligung der betroffenen Person beruht, muss diese freiwillig gegeben werden und auf einer ausführlichen, erkennbaren und bestimmten Information beruhen. Sie hat aktiv und ausdrücklich zu erfolgen. Hingegen erfordert sie keine bestimmte Form und kann auch mündlich gegeben werden. Wichtig ist, dass die Firma die Einwilligung nachweisen kann. Und es muss jederzeit möglich sein, sie zu widerrufen.
«Privacy by design» und «Privacy by default» gewährleisten: Schon bei der Planung der Datenverarbeitung muss das Unternehmen technische und organisatorische Massnahmen ergreifen, um die Einhaltung der DSGVO sicherzustellen und die Daten der betroffenen Personen zu schützen (Privacy by design). Darüber hinaus muss es über Voreinstellungen gewährleisten, dass standardmässig nur Daten erhoben werden, die für den jeweiligen Verwendungszweck erforderlich sind (Privacy by default).
Einen Vertreter in der EU ernennen: Die Pflicht, einen Vertreter in der EU zu benennen, entfällt, wenn die Datenverarbeitung nur gelegentlich erfolgt, keine besonderen Datenkategorien betrifft und nahezu kein Risiko mit sich bringt.
Ein Verzeichnis der Verarbeitungstätigkeiten erstellen: Das Unternehmen oder seine Zwischenhändler müssen eine Übersicht mit einer Reihe von Informationen zu den Methoden der Datenverarbeitung führen.
Verstösse gegen den Datenschutz an die Aufsichtsbehörde melden: Die Firma muss schnelle Mechanismen vorsehen, mit denen die betroffenen Personen und die zuständigen Aufsichtsbehörden im Falle einer Datenschutzverletzung benachrichtigt werden.
Eine Datenschutz-Folgenabschätzung durchführen: Eine Art der Datenverarbeitung, die ein hohes Risiko mit sich bringt, dass Rechte und Freiheiten verletzt werden könnten, muss einer Folgenabschätzung unterzogen werden.
Bei Verstössen gegen die DSGVO Geldbussen zahlen: Die Geldbusse, die Unternehmen im Fall einer Datenschutzverletzung zahlen müssen, kann bis zu 4% des weltweiten Jahresumsatzes im vergangenen Geschäftsjahr betragen.
(Newsletter KMU Portal 2/2018, 22.2.2018, www.kmu.admin.ch)