Im Mai 2018 ist die EU-Datenschutz-Grundverordnung (GDPR) verbindlich geworden. GDPR ist die Abkürzung für General Data Protection Regulation.
Die GDPR, zu Deutsch DSGVO (Datenschutz-Grundverordnung), soll alle EU-Bürger vor Verletzungen ihrer Privatsphäre und ihrer Daten schützen.
Die DSGVO gilt für Organisationen innerhalb der EU und ausserhalb der EU, wenn diese mit EU-Datensubjekten zusammenarbeiten oder deren Verhalten überwachen. Ausserdem gilt sie für alle juristischen Personen, die personenbezogene Daten von betroffenen Personen innerhalb der EU verarbeiten und aufbewahren.
Welche Konsequenzen bringt die GDPR mit sich?
Auch, wenn die wesentlichen Konzepte der früheren Datenschutzrichtlinie gleichbleiben, bringt die neue GDPR Änderungen mit sich. Das sind die wichtigsten:
- Die auffälligste Änderung ergibt sich aus dem weitreichenden Geltungsbereich der GDPR. Denn sie gilt für jede juristische Person, die personenbezogene Daten von betroffenen Personen mit Wohnsitz in der Europäischen Union verarbeitet, unabhängig vom Standort des Unternehmens.
Davor bezog sie sich auf die Datenverarbeitung ‘im Rahmen einer Niederlassung’. Das hat zu vielen Unsicherheiten geführt. Die GDPR macht ihre Gültigkeit jedoch ziemlich deutlich – sie gilt für die Verarbeitung personenbezogener Daten durch für die Verarbeitung Verantwortliche und Auftragsverarbeiter in der EU, unabhängig davon, ob die Verarbeitung innerhalb der EU stattfindet oder nicht. - Die GDPR gilt für die Verarbeitung personenbezogener Daten von betroffenen Personen innerhalb der EU durch einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter, der nicht in der EU ansässig ist, lediglich in den Fällen, in denen es um das Angebot von Waren oder Dienstleistungen für in der EU ansässige Personen und die Überwachung von Verhaltensweisen geht, die in der EU stattfinden.
- Unternehmen aus Nicht-EU-Ländern, die Daten von in der EU ansässigen Personen verarbeiten, sind verpflichtet, einen Vertreter in der EU zu haben.
Was ist im Falle eines Verstosses gegen die Verordnung zu erwarten?
Nach Inkrafttreten der GDPR müssen Unternehmen, die dagegen verstossen, mit Folgendem rechnen:
- Geldbussen in Höhe von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro, wenn der in Euro umgerechnete Prozentsatz diesen Betrag nicht übersteigt. Das ist das maximale Bussgeld, das bei den drastischsten Verstössen zu erwarten ist. Es würde zum Beispiel fällig werden, wenn keine ausreichende Zustimmung der Kunden zur Datenverarbeitung eingeholt wird oder wenn gegen die grundlegenden Konzepte des Privacy by Design verstossen wird.
- Gemäss Artikel 28 kann ein Unternehmen mit 2% des weltweiten Jahresumsatzes bestraft werden, wenn es seine Aufzeichnungen nicht kontrolliert.
- Die Aufsichtsbehörde und die betroffenen Personen nicht über einen Verstoss zu informieren oder keine Folgenabschätzung durchzuführen, kann ebenfalls mit 2 % des Jahresumsatzes bestraft werden.
- Diese Vorschriften gelten sowohl für die für die Verarbeitung Verantwortlichen als auch für die Auftragsverarbeiter. Das bedeutet, dass “Clouds” nicht von der Umsetzung der GDPR ausgeschlossen sind.
Was sind die neuen Rechte und Pflichten von EU-Bürgern in Sachen Datenschutz-Grundverordnung?
Das Recht auf Benachrichtigung bei Datenschutzverletzungen
Mit der GDPR wird die Benachrichtigung über eine Datenschutzverletzung in allen Mitgliedstaaten verpflichtend, wenn zu erwarten ist, dass eine Datenverletzung die Rechte und Freiheiten von Personen gefährdet. Die Benachrichtigung muss innerhalb von 72 Stunden nach Bekanntwerden des Verstosses erfolgen. Darüber hinaus sind Datenverarbeiter verpflichtet, ihre Kunden und die für die Verarbeitung Verantwortlichen zu informieren. Das muss unverzüglich geschehen, nachdem sie von der Datenverletzung erfahren haben.
Das Recht auf Löschung von Daten
Das Recht auf Datenlöschung erlaubt es einer Person, von dem für die Datenverarbeitung Verantwortlichen zu verlangen, dass er die personenbezogenen Daten dieser Person löscht, jede weitere Verbreitung der Daten unterbindet und die Verarbeitung der Daten durch Dritte einstellen lässt.
Die Forderung nach Löschung bezieht sich auf Daten, die für den ursprünglichen Zweck der Verarbeitung nicht mehr von Bedeutung sind, oder auf Daten, für die die betroffene Person nicht mehr ihre Einwilligung gegeben hat.
Dieses Recht verlangt von den für die Verarbeitung Verantwortlichen, die Rechte der Betroffenen mit dem öffentlichen Interesse an der Verfügbarkeit der Daten zu vergleichen, wenn sie diese Art von Forderungen berücksichtigen.
Das Recht auf die Übertragbarkeit der Daten
Eine Neuerung, die die GDPR mit sich bringt, ist das Recht auf Datenübertragbarkeit, d.h. das Recht einer betroffenen Person, die sie betreffenden personenbezogenen Daten, die sie zuvor in einem “gängigen und maschinenlesbaren Format” erhalten hat, an einen anderen für die Verarbeitung Verantwortlichen zu übermitteln.
Das Konzept des eingebauten Datenschutzes
Im Gegensatz zum neuartigen Konzept des Rechts auf Datenübertragbarkeit ist der “Datenschutz durch Technik” eine Regel, die in der EU schon seit vielen Jahren gilt. Aber erst jetzt wird sie durch die Datenschutz-Grundverordnung in das rechtliche Arsenal aufgenommen.
Der Grundsatz des “eingebauten Datenschutzes” verlangt, dass der Datenschutz von Anfang an in die Gestaltung von Systemen einbezogen wird und nicht nur ein Zusatz ist. Darüber hinaus verlangt Artikel 23 von den für die Verarbeitung Verantwortlichen, nur die Daten zu speichern und zu verarbeiten, die für die Erfüllung ihrer Aufgaben unbedingt erforderlich sind. Sie müssen den Zugriff auf personenbezogene Daten auf diejenigen zu beschränken, die die Verarbeitung durchführen müssen.
Das Recht, die Datenschutzbeauftragten zu überspringen
Wäre es nicht schön, wenn es einen Mechanismus gäbe, der es den für die Verarbeitung Verantwortlichen ermöglichen würde, die Verpflichtung zur Mitteilung ihrer Datenverarbeitungsaktivitäten an die lokalen Datenschutzbehörden zu umgehen und den enormen bürokratischen Aufwand zu vermeiden, den die meisten Mitgliedstaaten mit ihren uneinheitlichen Meldeanforderungen verursachen?
Mit der DSGVO wird es nicht mehr verpflichtend sein, jede lokale Datenschutzbehörde über Datenverarbeitungsaktivitäten zu informieren. Es wird auch nicht mehr erforderlich sein, grünes Licht für Übermittlungen auf der Grundlage der Mustervertragsklauseln (MCCs) zu erhalten. Vielmehr werden interne Aufzeichnungspflichten bestehen. Die Bestellung eines Datenschutzbeauftragten wird nur für diejenigen für die Verarbeitung Verantwortlichen und Auftragsverarbeiter verpflichtend sein, deren Haupttätigkeit in der Verarbeitung von Daten besteht, die eine ständige und systematische Überwachung der betroffenen Personen in grossem Umfang oder von bestimmten Datenkategorien oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Verstössen erfordern.
Wie sollten Sie sich auf die Durchsetzung der Verordnung vorbereiten?
- Schärfen Sie das Bewusstsein in Ihrem Unternehmen.
- Stellen Sie Unterstützung der Führungskräfte für verbindliche finanzielle Entscheidungen sicher.
- Überprüfen Sie Ihren aktuellen Datenschutz- und Sicherheitsstatus.
- Führen Sie eine gründliche SWOT-Analyse im Hinblick auf die Anpassung an die Anforderungen der Datenschutz-Grundverordnung durch.
- Implementieren Sie angemessene administrative und technologische Sicherheitsmassnahmen, die Sicherheitsverletzungen erkennen und darauf reagieren.
Die gesamte Führungsebene sollte stets auf spätere Änderungen der gesetzlichen Bestimmungen achten.
GDPR in der Schweiz – Mythen und Missverständnisse
Der etwas zweideutige Wortlaut und die Komplexität der GDPR / DSGVO begünstigen Mythen und Missverständnisse. Einige von ihnen finden ihren Weg auch in Veröffentlichungen und Empfehlungen von Beratern.
In einem äusserst lesenswerten Blogbeitrag der renomierten Kanzlei Vischer werden zehn Mythen beleuchtet, die vielen in der Praxis begegnen (nämlich im Rahmen laufender GDPR-Compliance-Projekte für Schweizer Unternehmen).
Hier sind die 10 Mythen (und ob sie stimmen oder falsch sind):
1. Unter der GDPR erfordert die Verarbeitung personenbezogener Daten immer die Zustimmung der betroffenen Person – FALSCH
Im Gegensatz zum Schweizer Bundesdatenschutzgesetz (DSG) basiert die DSGVO auf dem Grundsatz, dass die Verarbeitung personenbezogener Daten verboten ist. Für die Datenverarbeitung ist ein guter Grund (eine sogenannte Rechtsgrundlage) erforderlich. Die Einwilligung ist nur eine von sechs möglichen Rechtsgrundlagen für die Datenverarbeitung (Art. 6(1) GDPR).
Die folgenden Rechtsgrundlagen sind von grösserer Bedeutung und in der Praxis leichter zu handhaben: Notwendigkeit für die Erfüllung eines Vertrags mit der betroffenen Person; Erfüllung einer rechtlichen Verpflichtung durch den für die Verarbeitung Verantwortlichen, die im Recht der EU oder eines Mitgliedstaats (nicht im Schweizer Recht!) festgelegt ist; oder überwiegende berechtigte Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten.
2. Gemäss der DSGVO ist für das Profiling auf der Grundlage personenbezogener Daten immer eine Einwilligung erforderlich – FALSCH
Die Profiling-Methode der Verarbeitung unterliegt nur dann strengeren Regeln, wenn das Profiling “rechtliche Auswirkungen” auf die betroffene Person hat oder diese Person “in ähnlicher Weise erheblich beeinträchtigt”. Dies wird bei den meisten werbebezogenen Profilen und bei der Personalisierung von Angeboten wohl kaum der Fall sein.
Nur durch eine extrem weite Auslegung der einschlägigen Bestimmungen (insbesondere Art. 22(1) und 35(3)(a) DSGVO) könnte man zu dem Schluss kommen, dass das “Profiling” für gezielte Werbung oder personalisierte Angebote erhöhten Anforderungen unterliegt – nämlich der obligatorischen Einwilligung und der Durchführung einer Datenschutz-Folgenabschätzung.
Hinweis: Die EU hat 2021, nach 4 jähriger Beratung die Verabschiedung der ePrivacy-Verordnung verabschiedet, die noch strengere Anforderungen an Online-Tracking und Profiling mit sich bringt. Hier lesen Sie die Details dazu.
3. Die DSGVO gilt für die Datenverarbeitung durch Schweizer Unternehmen, wenn sie Waren an Endkunden in der EU liefern oder Dienstleistungen erbringen – FALSCH
Es ist nicht die Bereitstellung von Waren oder Dienstleistungen, die die Anwendbarkeit der DSGVO auslöst. Vielmehr führt das Angebot von Waren oder Dienstleistungen (mit oder ohne Bezahlung) an Endkunden (Einzelpersonen) in der EU (oder im EWR) dazu, dass die entsprechende Verarbeitung personenbezogener Daten der DSGVO unterliegt.
Die Datenverarbeitung durch Schweizer Unternehmen, die ihr Angebot erkennbar (auch) auf den EU-Endkundenmarkt ausrichten (z.B. Werbung, die sich auch an Endkunden in der EU richtet oder Angebote eines Online-Shop-Anbieters, die erkennbar auch auf Endkunden in der EU abzielen), fällt gemäss Art. 3(2)(a) GDPR. Neben dem Niederlassungsprinzip (Art. 3(1) GDPR) stützt sich die GDPR auf das Marktplatz- (oder Zielmarkt-) Prinzip (Art. 3(2) GDPR).
Selbst die Datenverarbeitung im Rahmen der “Verhaltensbeobachtung”, die innerhalb der EU stattfindet (Art. 3(2)(b) GDPR), unterliegt nur dann der GDPR, wenn die Beobachtung im Zusammenhang mit einer EU-Endkundenmarktorientierung erfolgt (Zielmarktprinzip). Dies ist nach dem grundlegenden Prinzip des Völkerrechts, bekannt als Comity (gegenseitige Achtung der Rechtsprechung), erforderlich und ähnelt dem Prinzip der Markteffekte, wie es im EU-Wettbewerbsrecht gilt.
4. Wenn Schweizer Unternehmen ihr Angebot auf den EU-Endkundenmarkt ausrichten, unterliegt das Unternehmen als solches bei allen Datenverarbeitungsaktivitäten der DSGVO – FALSCH
Die DSGVO gilt für Datenverarbeitungstätigkeiten, nicht für Unternehmen oder Organisationen im Allgemeinen. Das schweizerische Datenschutz- oder Arbeitsrecht gilt für die Verarbeitung personenbezogener Daten von Mitarbeitern mit Sitz in der Schweiz und für die Datenverarbeitung im Zusammenhang mit dem Angebot von Dienstleistungen an Endkunden (Einzelpersonen) in der Schweiz. Dies gilt auch dann, wenn die Datenverarbeitung durch Unternehmen in der Schweiz im Zusammenhang mit dem Anbieten von Dienstleistungen auf dem EU-Endkundenmarkt (oder der Überwachung des Nutzerverhaltens, die in der EU stattfindet) der DSGVO unterliegt.
5. Datenverarbeitungsaktivitäten von Schweizer Unternehmen unterliegen der DSGVO, wenn sie einen Dienstleister in der EU beauftragen, die Datenverarbeitung in ihrem Namen durchzuführen (grenzüberschreitendes Outsourcing) – FALSCH
Die DSGVO gilt für die Datenverarbeitung, die im Rahmen der Aktivitäten einer Niederlassung eines in der EU ansässigen Auftragsverarbeiters (z.B. des Betreibers eines Rechenzentrums in Deutschland) erfolgt. Die DSGVO gilt jedoch nicht für Datenverarbeitungsaktivitäten von Schweizer Unternehmen, nur weil diese ihre Aktivitäten an einen in der EU ansässigen Auftragsverarbeiter auslagern (z.B. wenn eine Schweizer Online-Plattform von Amazon in Deutschland gehostet wird).
Der entscheidende Faktor ist die Verantwortung für die spezifischen Datenverarbeitungstätigkeiten. Unternehmen in der Schweiz müssen das Schweizer Datenschutzgesetz in Bezug auf die Datenverarbeitung einhalten, für die sie dem Schweizer Datenschutzgesetz (und nicht der Datenschutz-Grundverordnung) unterliegen. Dies gilt selbst dann, wenn sie solche Datenverarbeitungsaktivitäten an in der EU ansässige Auftragsverarbeiter auslagern.
6. Bei Vertragsverhältnissen mit externen Dienstleistern ist eine Datenverarbeitungsvereinbarung gemäss Art. 28(3) GDPR immer erforderlich. Dies gilt insbesondere auch für das Mandatsverhältnis – FALSCH
Art. 28(3) GDPR (Verpflichtung zum Abschluss eines Datenverarbeitungsvertrags) soll sicherstellen, dass ein für die Verarbeitung Verantwortlicher die Bestimmungen der GDPR auch dann einhält, wenn er einen Dritten (Auftragsverarbeiter) mit der Durchführung von Datenverarbeitungstätigkeiten beauftragt, für die der für die Verarbeitung Verantwortliche verantwortlich ist und bleibt (Outsourcing von Geschäftsprozessen oder Datenverarbeitung).
Der für die Verarbeitung Verantwortliche legt die Zwecke und Mittel der Datenverarbeitung fest (Art. 4(7) GDPR). Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten im Auftrag und nur nach den Anweisungen des für die Verarbeitung Verantwortlichen – jedoch nicht für Zwecke, die der Auftragsverarbeiter bestimmt (Art. 4(8) und Art. 28(3) GDPR).
Beispiele
Typische Beispiele für die Beziehung zwischen Verantwortlichem und Auftragsverarbeiter (Outsourcing):
Eine Bank beauftragt einen Rechenzentrumsbetreiber mit der Speicherung und Bereitstellung ihrer Daten (Outsourcing).
Ein Unternehmen nutzt Microsoft Office 365, Zoho oder eine andere cloudbasierte Software (z.B. ein Spesenabrechnungstool für Mitarbeiter).
Begründung: Die Bank/das Unternehmen behält die Kontrolle über die Zwecke der Verarbeitung. Geschäftsprozesse/Verarbeitungsaktivitäten werden ausgelagert, für die die Bank/das Unternehmen verantwortlich ist und auch im Falle einer Auslagerung verantwortlich bleibt.
Typische Beispiele, bei denen keine Beziehung zwischen Verantwortlichem und Auftragsverarbeiter besteht und daher keine Vereinbarung im Sinne von Art. 28(3) GDPR erforderlich ist:
Ein Unternehmen beauftragt einen Rechtsanwalt mit der Erbringung juristischer Dienstleistungen (gegebenenfalls unter Offenlegung des Namens des Mitarbeiters, den das Unternehmen zu entlassen beabsichtigt).
Eine Versicherungsgesellschaft beauftragt einen Arzt mit der Erstellung eines Gutachtens über den Anspruch eines Versicherten.
Begründung: Auch wenn der Mandant die Rechtsdienstleistung/das Gutachten veranlasst und wenn der Mandant dem Anwalt personenbezogene Daten (z.B. eines Arbeitnehmers) zur Verfügung stellt, ist und bleibt der Anwalt für die Verarbeitung dieser Daten zum Zwecke der Rechtsberatung verantwortlich. Der Rechtsanwalt erbringt die Dienstleistung in Übereinstimmung mit den für ihn geltenden Berufspflichten. Der Mandant bleibt jedoch verantwortlich für die Verarbeitung der personenbezogenen Daten für die Zwecke des Mandanten – z.B. die Durchführung des Arbeitsverhältnisses gemäss den vertraglichen und datenschutzrechtlichen Verpflichtungen.
7. Die GDPR legt einheitliche Regeln für den Umgang mit personenbezogenen Daten in der gesamten EU fest – FALSCH
Die Datenschutz-Grundverordnung enthält zahlreiche (etwa 70) Öffnungsklauseln – einige obligatorisch, andere fakultativ. Fakultative Öffnungsklauseln ermöglichen es den Mitgliedstaaten, in ihren Datenschutzgesetzen oder anderen Gesetzen, die die DSGVO umsetzen oder ergänzen, Ausnahmen oder Abweichungen von bestimmten Bestimmungen der DSGVO vorzusehen (z.B. Informationspflichten und Offenlegungspflichten).
Art. 88(1) DSGVO ermöglicht es den Mitgliedstaaten (innerhalb bestimmter Grenzen), spezifischere Bestimmungen für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Beschäftigung zu erlassen (z.B. zur Gewährleistung von Gleichheit und Vielfalt am Arbeitsplatz, zum Schutz von Gesundheit und Sicherheit am Arbeitsplatz, zum Schutz der Privatsphäre der Arbeitnehmer oder zur Erfüllung von Arbeitsverträgen).
Art. 23 DSGVO erlaubt es den Mitgliedstaaten (innerhalb bestimmter Grenzen), Ausnahmen oder Einschränkungen zu erlassen, insbesondere in Bezug auf die Informationspflichten (Art. 12-14 DSGVO) und die Rechte auf Auskunft, Berichtigung, Einschränkung, Löschung und Widerspruch (Art. 15 ff.). Deutschland hat davon in dem überarbeiteten Bundesdatenschutzgesetz ausgiebig Gebrauch gemacht.
Art. 37(4) GDPR erlaubt es den Mitgliedstaaten, Unternehmen zu verpflichten, einen Datenschutzbeauftragten zu benennen, auch wenn sie dazu nicht nach Art. 37(1) GDPR. Nach dem überarbeiteten deutschen Bundesdatenschutzgesetz müssen Unternehmen (wie bisher) immer dann einen Datenschutzbeauftragten benennen, wenn mindestens zehn Mitarbeiter regelmässig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (was auf fast alle Unternehmen mit zehn oder mehr Mitarbeitern zutrifft).
Obligatorische Öffnungsklauseln verpflichten die Mitgliedstaaten, Durchführungsbestimmungen zu erlassen, z.B. Institutionen wie eine oder mehrere Datenschutzaufsichtsbehörden einzurichten oder wirksame Rechtsmittel vorzusehen.
8. Die Aufsichtsbehörden werden bei Verstössen gegen die Datenschutz-Grundverordnung immer eine Geldstrafe von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängen – Falsch
Anstelle von (oder zusätzlich zu) Bussgeldern können die Aufsichtsbehörden von Unternehmen oder Organisationen auch Abhilfemassnahmen verlangen. Das können z.B. Verwarnungen oder Verweise an einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter sein. Es kann sich auch um die Anweisung handeln, den Anträgen der betroffenen Personen auf Auskunft oder Löschung nachzukommen oder die Verarbeitungsvorgänge in Einklang mit den Bestimmungen der DSGVO zu bringen.
Vor allem in der Anfangsphase werden viele Aufsichtsbehörden solche Massnahmen ergreifen wollen. Denn so tragen sie dazu bei, das Bewusstsein für die Einhaltung der Datenschutzbestimmungen weiter zu schärfen. Dabei werden sie prüfen, ob ein Unternehmen oder eine Organisation bereits auf dem Weg zur Einhaltung der Vorschriften ist.
Darüber hinaus sind die 20 Millionen Euro (bzw. 10 Millionen Euro) oder 4 % (bzw. 2 %) des weltweiten Jahresumsatzes maximale Geldbussen. Die Aufsichtsbehörden werden die tatsächlichen Geldbussen gemäss den Bedingungen für die Verhängung von Geldbussen (Art. 83 GDPR) berechnen. Entscheidend für die Berechnung sind Art, Schwere und Dauer des Verstosses. Insbesondere müssen die Aufsichtsbehörden den Umfang und den Zweck der betreffenden Datenverarbeitung, die Kategorie der betroffenen Daten, die Anzahl der betroffenen Personen, einschlägige frühere Verstösse des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters und den Grad der Zusammenarbeit mit der Aufsichtsbehörde berücksichtigen (Art. 83(2) DSGVO).
Aufgrund der begrenzten Ressourcen der Aufsichtsbehörden kann man davon ausgehen, dass die private Durchsetzung der Rechte aus der DSGVO zunehmend an Bedeutung gewinnen wird. Die Mitgliedstaaten können qualifizierte Verbände ermächtigen, im Namen der betroffenen Personen zu klagen (Art. 79 und 80(1) GDPR).
9. Nach der GDPR müssen alle für die Verarbeitung Verantwortlichen und Auftragsverarbeiter einen Datenschutzbeauftragten benennen – FALSCH
Die DSGVO verlangt von für die Verarbeitung Verantwortlichen und Auftragsverarbeitern nur dann die Benennung eines Datenschutzbeauftragten, wenn sie im Rahmen ihrer Kerntätigkeit eine umfassende und systematische Überwachung des Verhaltens oder eine umfassende Verarbeitung besonderer Kategorien personenbezogener Daten durchführen (Art. 37(1) DSGVO). Beachten Sie jedoch, dass die DSGVO die Mitgliedstaaten ermächtigt, die Benennung eines Datenschutzbeauftragten in weiteren Fällen zu verlangen (siehe Mythos 7 oben).
Unabhängig von den gesetzlichen Anforderungen wird empfohlen, freiwillig einen Datenschutzbeauftragten zu benennen. Das erleichtert die Einhaltung der umfangreichen Dokumentations- und Rechenschaftspflichten im Rahmen der DSGVO. Es erleichtert auch die Überwachung der Umsetzung der Richtlinien und Prozesse.
10. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte wird die Datenschutz-Grundverordnung gegen Unternehmen in der Schweiz durchsetzen – FALSCH
Die Datenschutzaufsichtsbehörden in den EU-Mitgliedstaaten, die gemäss der DSGVO zuständig sind (Art. 55), sind für die Durchsetzung der DSGVO gegenüber Unternehmen in der Schweiz verantwortlich, deren Datenverarbeitung der DSGVO unterliegt – nicht der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte. In der Praxis werden die Datenschutzaufsichtsbehörden in den EU-Mitgliedstaaten ohne Kooperationsabkommen zwischen der EU und der Schweiz nicht in der Lage sein, Geldbussen gegen Unternehmen in der Schweiz durchzusetzen.
Unternehmen in der Schweiz sind jedoch (mit wenigen Ausnahmen) verpflichtet, einen Vertreter in der EU zu benennen (Art. 27 DSGVO), wenn die DSGVO auf ihre Datenverarbeitung nach dem Marktortprinzip anwendbar ist (Art. 3 (2) DSGVO). Die Aufsichtsbehörden können dem Vertreter Anordnungen gegen das vertretene Unternehmen zustellen.
Schlussfolgerungen gemäss Vischer
Der Wortlaut der DSGVO ist kein leuchtendes Beispiel für einen leicht zu verstehenden und einfachen Rechtsakt. Er gibt Anlass zu zahlreichen Missverständnissen. Wir haben nur eine Auswahl herausgestellt. Dennoch kann man der GDPR zugute halten, dass sie das Thema Datenschutz und Datensicherheit auch in der Schweiz in das Bewusstsein der Unternehmensführung gerückt hat. Die Androhung erheblicher Geldstrafen mag diese Entwicklungen gefördert haben.
Unabhängig von den gesetzlichen Vorgaben ist das Unbehagen von Mitarbeitern und Verbrauchern über den Umgang mit ihren Daten in digitalen Geschäftsmodellen real. Compliance-Projekte sollten daher nicht nur auf die Einhaltung der GDPR abzielen. Sie sollten zwar analysieren, in welchen Szenarien die Datenverarbeitung durch Unternehmen in der Schweiz der GDPR unterliegt. Aber vielmehr sollte das oberste Ziel sein, das Vertrauen von Kunden und Mitarbeitern zu stärken.
Wenn Sie Fragen zur Einhaltung der GDPR in der Schweiz haben, wenden Sie sich bitte an die Rechtsexperten von Vischer unter Data & Privacy Team. KMU Digitalisierung bietet keine Rechtsberatung an. Zudem möchten wir an dieser Stelle auf die kommenden Veränderungen beim Datenschutzgesetz Schweiz: Die 7 wichtigsten Neuerungen für KMU 2023 verweisen.
Wie Zoho mit GDPR umgeht
Zoho hat schon immer die Rechte seiner Nutzer auf Datenschutz und Datensicherheit respektiert. Im Laufe der Jahre hat Zoho sein Engagement in diesem Bereich unter Beweis gestellt, indem es die Branchenstandards immer wieder übertroffen hat.
Zoho sieht keine Notwendigkeit, personenbezogene Daten von Nutzern zu sammeln und zu verarbeiten, die über das hinausgehen, was für das Funktionieren seiner Produkte erforderlich ist. Und das wird sich auch nie ändern. Zoho pflegt eine datenschutzbewusste Kultur. Und die GDPR ist für das Unternehmen eine Gelegenheit, diese noch weiter zu stärken.
Zoho One ist GDPR-konform
Jede App in Zoho One ist GDPR-konform.
Das Zoho-CRM bietet Ihnen das Recht auf Zugriff, das Recht auf Berichtigung, das Recht auf Datenübertragbarkeit, das Recht auf Einschränkung der Verarbeitung und das Recht auf Vergessenwerden.
Campaigns bietet Ihnen ein sauberes E-Mail-Marketing, das sich an die Gesetze dieser Verordnung hält. Sie erreichen nur die Personen, die mit Ihnen in Kontakt treten möchten.
Forms hat verschiedene Möglichkeiten entwickelt, um die GDPR zu erfüllen. Das betrifft die Datenerfassung und -verarbeitung bis hin zur Verwaltung der Rechte der Betroffenen.
Projects verarbeitet Daten, um das zusätzliche Mass an Sicherheit zu gewährleisten, das die GDPR fordert.
Mit Sales IQ werden die Besucher der Website darüber informiert, dass sie verfolgt werden. Der Besucher kann wählen, ob er die Verfolgung zulassen oder ablehnen möchte.
Die obigen Ausführungen sind nur ein kleiner Einblick in die Dienste der Zoho Suite. Wenn Sie mehr über einzelne Zoho-Services erfahren möchten, klicken Sie auf die Links unten.
CRM | Pagesense | Cliq |
Creator | Sign | |
Campaigns | Projects | Reports |
Assist | Flow | Sprints |
Forms | Social | Finance Apps |
Desk | Survey | Docs |
People | Vault |
Schlusswort zu GDPR und KMU Digitalisierung
GDPR sollte uns nicht am unternehmerischen Handeln hintern. Es ist jedoch Teil der Gesetzgebung. Daher haben wir die GDPR-Vorgaben stets im Hinterkopf, sei es bei unserem empfohlenen Zoho oder bei Webseiten, die wir für Kunden erstellen.
Es ist unterdessen ratsam, neue Änderungen in der Gesetzgebung im Auge zu behalten. Das bereits angesprochene Datenschutzgesetz in der Schweiz kommt voraussichtlich 2023. Anpassungen an die EU-Gesetzgebung werden laufend diskutiert. Stehen bleiben oder “Kopf in den Sand-Strategien” sind sicherlich nicht angebracht, sondern das Ende des unternehmerischen Handelns. Daher, packen wir es an! Und zwar rechtlich konform und mit den entsprechenden Tools. Wir begleiten Sie gerne.