NEWS.

GDPR oder DSGVO: Die neuen Richtlinien betreffen auch Schweizer Unternehmen

GDPR oder DSGVO

Die neue Datenschutz-Grundverordnung setzt auch Schweizer Unternehmen unter Druck: Wer personenbezogene Daten aus EU-Ländern in seinen Datensystemen hat, muss ab dem 25. Mai 2018 die neue Verordnung einhalten. Ist Ihr Unternehmen vorbereitet?

 

Was ist die Datenschutz-Grundverordnung (DSGVO)?

In weniger als 100 Tagen ist es so weit, die neue Datenschutz-Grundverordnung DSGVO (auf Englisch: General Data Protection Regulation GDPR) tritt in Kraft: Ab dem 25. Mai 2018 gilt die neue EU-weite Datenschutzverordnung für alle Unternehmen, Behörden, gemeinnützige und andere Organisationen, die Waren und Dienstleistungen an Personen in der EU verkaufen beziehungsweise Daten von EU-Bürgern erfassen und sammeln.

Die neue Verordnung vereinheitlicht Datenschutzgesetze der 28 EU-Mitgliedstaaten und ersetzt die bisherige EU-Datenschutzrichtlinie. Aktuell läuft die zweijährige Umsetzungsfrist, die DSGVO ist bereits seit dem 24. Mai 2016 in Kraft, ab dem 25. Mai 2018 ist die Umsetzung und Einhaltung Pflicht.

 

Weshalb eine neue Regelung?

Das aktulle Datenschutzgesetz ist 23 Jahre alt - es stammt sozusagen aus den Kindertagen des Internets. In Zeiten von Cloud Computing und rasanten technischen Entwicklungen ist das Gesetz regelrecht veraltet. Die neue DSGVO ist die Anpassung an diese Entwicklungen.

 

Wie und wen schützt die neue Verordnung?

Die DSGVO ermöglicht gemäss der Europäischen Kommission den "freien Datenverkehr im gesamten digitalen Binnenmarkt. Sie wird für einen besseren Schutz der Privatsphäre aller EU-Bürger sorgen, das Vertrauen und die Sicherheit der Verbraucher steigern und gleichzeitig vor allem für kleinere Unternehmen neue Möglichkeiten eröffnen."

Die gesetzlichen Massnahmen bieten Einzelpersonen mehr Kontrolle über ihre personenbezogenen Daten und sollen für Transparenz über die Nutzung der Daten sorgen. Im Kern geht es um die Rechte auf Information, Auskunft und Vergessenwerden. Ein neues Recht auf Datenübertragbarkeit ermöglicht es Bürgern, ihre Daten von einem Unternehmen zu einem anderen zu übertragen.

    Die Einhaltung soll durch Kontrollen und härtere Bestrafung bei Missachtung gewährleistet werden.

     

    Betrifft die DSGVO auch die Schweiz?

    Ja, denn die DSGVO gilt für die personenbezogenen Daten von EU-Kunden und betrifft somit alle Schweizer Unternehmen, die in der EU Dienstleistungen anbieten, selbst wenn sie ausserhalb der EU ansässig sind.

    Die DSGVO tritt per 25. Mai in der Schweiz nicht in Kraft. In Bundesbern wird über Anpassung des Datenschutzgesetzes diskutiert, das mehr Transparenz, härtere Strafen und mehr Kompetenzen für den Eidgenössischen Datenschutzbeauftragen beinhaltet. Aktuell laufen in der European Free Trade Association (kurz: EFTA, zu der Norwegen, Dänemark, Lichtenstein und die Schweiz gehören) Abklärungen, ob die DSGVO von der EU übernommen wird.

    Der aktuellen Stand dieser Überprüfung wird auf dieser Website protokolliert: http://www.efta.int/eea-lex/32016R0679 (EN)

     

    Um welche Daten geht es?

    Gemäss der DSGVO gehören zu den personenbezogenen Daten alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Dazu gehören nicht nur Namen, Adresse etc., sondern auch Daten wie IP-Adressen, Nutzer-IDs oder User-IDs, GPS-Daten, Cookies, MAC-Adressen, UDID, Social Media Posts, Medizinische Informationen, Standort- oder Bankdaten und mehr.

     

    Welche Rechte hat die Einzelperson?

    • Vollständiges Auskunftsrecht über Zweck und Rechtsgrundlage der Verarbeitung
    • Einfordern der Löschung seiner Daten, wenn der Verarbeitungszweck erfüllt ist (Frist: innerhalb eines Monats)
    • Transfer von verarbeiteten Daten zu einem anderen Unternehmen
    • Recht auf Richtigstellung von Informationen

     

    Welche Anfordungen müssen Unternehmen erfüllen?

    Die DSGVO fordert Unternehmen ihre Systeme und Prozesse für den Datenschutz zu überprüfen und diese organisatorisch und technisch zu aktualisieren. Der richtige Weg zur 'Compliance' kann aufwändig sein und Ressourcen beanspruchen. Folgende Anforderungen stellt die Verordnung:

    • Datenschutz als Grundbaustein (Data Protection by Design) und datenschutzfreundliche Voreinstellungen (Data Protection by Default)
    • Pseudonymisierung & Verschlüsselung personenbezogener Daten
    • Benennung eines Datenschutzbeauftragten, der die Einhaltung der Bestimmungen überwacht
    • Einführung und Implementierung geeigneter Richtlinien und Prozesse (um die Einhaltung der GDPR zu demonstrieren)
    • Information über Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde binnen 24 Stunden
    • Verhinderung von unbefugtem Zugriff auf personenbezogene Daten

     

    Was passiert im Ernstfall?

    Wird der Schutz personenbezogener Daten in einem Unternehmen verletzt, muss das Unternehmen die Datenschutzbehörden innerhalb von 72 Stunden über den Vorfall informieren. Die EU setzt auf Kontrollen und hohe Geldstrafen, sollte die DSGVO von einem Unternehmen nicht eingehalten werden.

     

    Wer kann helfen?

    Die weitreichenden Anforderungen an Soft- und Hardware, die mit dieser neuen Verordnung einhergehen, verlangen ein hohes Mass an Professionalität und Knowhow, um die entsprechenden Anpassungen gesetzeskonform umsetzen zu können. In enger Zusammenarbeit mit unseren Partnern und Lieferanten sind wir dazu in der Lage, Ihnen Hilfestellung zu leisten. Von der Expertise bis hin zur kompletten Planung und Umsetzung, können wir Ihnen auf der ganzen Bandbreite zur Seite stehen.
     

     

    Links

    Leitfaden zu neuen Datenschutzbestimmungen der Europäischen Kommission

    Questions and Answers - General Data Protection Regulation  (Europäische Kommission)