logo visevo                     vision and evolution

EU Datenschutz-Grundverordnung (EU-DSGVO)

Fahne EUDie Datenschutz-Grundverordnung der EU (EU-DSGVO) wurde am 14. April 2016 vom Europäischen Parlament angenommen und tritt am 25. Mai 2018 in Kraft. Die Grundverordnung aktualisiert und modernisiert die Datenschutzrichtlinie von 1995 (Richtlinie 95/46/EG).
Ab diesem Zeitpunkt ist die DSGVO für alle Akteure, die auf dem Gebiet der Europäischen Union tätig sind, unmittelbar anwendbar. Dieses für Europa grundlegende Dokument wird auf eine Vielzahl von Schweizer Unternehmen direkte Auswirkungen haben.

 

Welche Schweizer Unternehmen sind betroffen?

DSGVO auf SUnternehmenSachlicher Anwendungsbereich (Art. 2 § 1 DSGVO)

Die EU-DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Räumlicher Anwendungsbereich (Art. 3 DSGVO)

Gegenüber der Richtlinie 95/46/EG wurde der Anwendungsbereich erweitert, neu extraterritoriale Anwendung.
Ob die EU-DSGVO bei Schweizer Unternehmen zur Anwendung kommt, hängt von zwei Kriterien ab: Kriterium der Niederlassung und Kriterium des Zielmarktes.

 

Kriterium Niederlassung

Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.

Die EU-DSGVO kommt zur Anwendung bei Schweizer Unternehmen,

  • welche Personaldaten im Auftrag eines Unternehmens in der EU bearbeiten
  • welche die Datenverarbeitung an ein Unternehmen in der EU auslagern

Kriterium Zielmarkt

Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht.

Die EU-DSGVO kommt zur Anwendung bei Schweizer Unternehmen,

  • welche betroffenen Personen in der EU Waren oder Dienstleistungen anbieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist
  • welche das Verhalten betroffener Personen in der EU beobachten (z.B. Webtracking)

Bei der Beurteilung, ob die Verordnung zur Anwendung kommt, ist stets der Einzelfall und insbesondere die Absicht des Verantwortlichen zu berücksichtigen.

 

Welche Pflichten haben betroffene Unternehmen?

Eines der Ziele der europäischen Reform besteht darin, die Kontrollmöglichkeiten betroffener Personen und die Erkennbarkeit zu erhöhen.

Die Rechte der betroffenen Personen wurden gegenüber der Richtlinie 95/46/EG erweitert. Die betroffenen Personen haben unter anderem folgende Rechte (Art. 13 – 20 DSGVO): Recht auf Informationen im Zeitpunkt der Erhebung, Recht auf Berichtigung und Löschung ihrer Personendaten, Recht auf eine Kopie ihrer Daten sowie Angabe weiterer Informationen zu ihren Daten, Recht auf Datenübertragbarkeit an andere Unternehmen, Recht auf Mitteilung bei Bearbeitung oder Löschung ihrer Daten, Recht auf Einschränkung der Bearbeitung ihrer Daten. 

Artikel 12 der DSGVO verpflichtet die betroffenen Unternehmen, Verfahren und Mechanismen vorzusehen, die es den betroffenen Personen ermöglicht, ihre Rechte auszuüben.

Die betroffenen Schweizer Unternehmen haben eine Reihe von Pflichten zu erfüllen.

Folgende Punkte sind von Schweizer Unternehmen zu beachten:

  • Umfassende Dokumentations- und Nachweispflicht der gespeicherten Daten
  • Die Bearbeitung von Personendaten erfordert eine ausdrückliche Einwilligung der betroffenen Person (aktive Handlung durch betroffene Person)
  • Die Löschpflicht beinhaltet auch das Löschen von Daten, welche an andere Stellen übermittelt wurden. Das Unternehmen muss verhältnismässige Anstrengungen (Löschgesuch) zur Löschung von übermittelten Daten unternehmen
  • Auf Verlangen der betroffenen Person muss ein Unternehmen alle gespeicherten Personendaten dieser Person sowie weitere Informationen betreffend dieser Daten an diese Person auszuhändigen
  • Meldepflicht bei Datenschutzverletzungen: Innert 72 Stunden
  • Die Datenbearbeitung muss durch einen Vertrag geregelt sein
  • Privacy by Design: Datenschutz durch geeignete Gestaltung der Technik (Informatik)
  • Privacy by Default: Datenschutz durch korrekte Voreinstellungen in der Technik (Informatik)
  • Profiling, Datenschutz-Folgeabschätzung
  • Ernennung eines Vertreters mit Sitz in der EU (bei bestimmten Gegebenheiten)
  • Ernennung eines Datenschutzbeauftragten (bei bestimmten Gegebenheiten)
  • Sanktionen: Schadenersatz (auch immaterielle Schäden), Geldbussen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes oder andere Massnahmen der Behörden (z.B. Sperrung der Internetseite)

 

Was ist für Schweizer Unternehmen zu tun?

In einem ersten Schritt sollten Schweizer Unternehmen prüfen, ob sie von der EU-DSGVO betroffen sind.

Ist das Unternehmen betroffen, empfiehlt sich folgende Vorgehensweise

 

1. Situationsanalyse (IST)
  • Welche personenbezogenen Daten bestehen auf welchen Systemen, werden in welchen Prozessen durch welche Aktionen (automatisch / manuell) erhoben und/oder bearbeitet?
  • Welche Datenschutzmassnahmen oder -prozesse bestehen?
  • Welche Verträge und interne Weisungen beinhalten Datenschutzthemen oder müssen mit Datenschutzthemen angepasst werden? 
arrow bottom
 2. Vergleich IST – SOLL (GAP-Analyse)
  • Welche Pflichten werden eingehalten, wo bestehen Lücken?
  • Bewertung von Risiken, Festlegung des Handlungsbedarfs (risikobasierter Ansatz), Identifikation von Schutzzielen.
  • Notwendigkeit eines Datenschutzbeauftragten und / oder Vertreter mit Sitz in der EU?
arrow bottom
 3. Erarbeitung von Massnahmen
  • Erarbeitung von organisatorischen, prozessualen und technischen Massnahmen.
  • Anpassung von Verträgen und internen Weisungen.
arrow bottom
 4. Umsetzung der Massnahmen
  • Umsetzung der organisatorischen, prozessualen und technischen Massnahmen.
  • Ersetzen von bestehenden Verträgen.
  • Einführung eines Datenschutz-Managementsystems (DSMS)
  • Etablierung eines adäquaten Reportings

 

Wie können wir Ihnen helfen?

DSGVO Transfer by visevoWir prüfen für Sie, ob und in welchem Rahmen die EU-DSGVO in ihrem Unternehmen angewandt werden muss.

Wir unterstützen Sie im gesamten Entwicklungsprozess von der Situationsanalyse bis und mit der Umsetzung der Massnahmen.

Die betroffenen Unternehmen müssen Anpassungen in den Bereichen Informatik, Prozesse, Organisation sowie in Verträgen und internen Dokumenten vornehmen.

Basierend unseres ganzheitlichen Entwicklungsansatzes zeigen wir Ihnen auf, wie Sie diese Anpassungen in Kombination entwickeln und umsetzen können.

Wie begleiten Sie nicht nur durch die einzelnen Schritte. Wir erstellen für Sie die erforderlichen Dokumente, überprüfen und passen ihre Verträge an, unterbreiten ihnen Vorschläge zu Anpassungen in den Prozessen, in der Organisation und in der Informatik. Dies ist unser Kerngeschäft.

Haben Sie Fragen zur EU-DSGVO? 

Rufen Sie uns an oder kontaktieren Sie uns über das Kontaktformular!

Ihr direkter Kontakt