Datenschutzgrundverordnung der Europäischen Union (EU) – Was ist zu tun?

Die neue Datenschutzgrundverordnung (DSGVO) der EU trat am 25. Mai 2018 in Kraft. Dieser Beitrag zeigt auf, was Schweizer Unternehmen mit Bezug zur EU im Hinblick auf Inkrafttreten der DSGVO im Wesentlichen zu beachten haben.

Zur Erinnerung: Wann findet die DSGVO auf Schweizer Unternehmen Anwendung?

Die DSGVO gilt insbesondere für alle Unternehmen, welche ihren Sitz nicht in der EU haben und Daten von natürlichen Personen in der EU selbst bearbeiten, soweit sie diesen Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten. Keine Anwendung findet die DSGVO auf Schweizer Unternehmen, nur weil diese aus der EU stammende Grenzgänger beschäftigen. Bearbeiten Unternehmen mit Sitz in der Schweiz im Auftrag eines EU-Unternehmens Daten von natürlichen Personen in der EU, ist die Verordnung anwendbar.

Personendaten sind Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Dies sind z.B. Namen, Adresse, Telefonnummern, Informationen zu psychischen, physischen, kulturellen, wirtschaftliche oder sozialen Eigenschaften der natürlichen Person.

Keine Anwendung findet die DSGVO auf die Daten von juristischen Personen.

Was ist zu tun?

Damit oben genannte Personendaten rechtmässig bearbeitet werden dürfen, ist die Einwilligung der betroffenen Person erforderlich. Der betroffenen Personen ist mitzuteilen, dass ihre Daten bearbeitet werden, durch wen diese Bearbeitung erfolgt (in den allermeisten Fällen durch das Unternehmen selbst) und der Bearbeitungszweck (z.B. Erfüllung Vertrag). Diese Informationsangabe sollte direkt bei der betroffenen Person erfolgen (z.B. im Vertrag). Mit Vorteil lässt man sich bei Beginn der Vertragsbeziehung die Einwilligung durch die Vertragspartei erteilen.

Die Einwilligung sollte folgenden Mindestinhalt aufweisen (vorbehalten bleibt die Anpassung an die konkreten Verhältnisse):
„Ich stimme zu, dass meine persönlichen Daten (z.B. Name, Adresse, E-Mail, Telefonnummer, etc.) zum Zweck der … (z.B. Vertragserfüllung, Werbung) durch … (Unternehmen) verarbeitet und gespeichert werden. Diese Einwilligung kann jederzeit kostenlos widerrufen werden. “

Der betroffenen Personen sind auch Informationen zur ihren Rechten in Bezug auf die Datenbearbeitung (Hinweis auf Auskunfts-, Löschungs- und Widerrufsrecht, geplante Speicherdauer) mitzuteilen. Dazu reicht ein Informationsblatt oder ein Verweis auf der Homepage (z.B. im Impressum).

Die Informationsangabe sollte folgenden Mindestinhalt aufweisen (vorbehalten bleibt die Anpassung an die konkreten Verhältnisse):
„Die Daten werden nur zum angegebenen Zweck bearbeitet. Es besteht keine Absicht, die erhobenen Daten an Dritte weiterzugeben. Die Daten werden solange, als es der Zweck erfordert, gespeichert. Werden die Daten nicht mehr benötigt, werden diese gelöscht. Die betroffene Person hat jederzeit das Recht auf Auskunft über ihre Daten, Berichtigung, Löschung, Einschränkung der Bearbeitung und Datenübertragbarkeit.“

Über die Datenbearbeitung ist ein Verzeichnis zu führen. Dieses ist im Umfang sehr überschaubar (Muster z.B. auf der Homepage des Bayerischen Landesamts für Datenaufsicht). Das Verzeichnis muss nur einmal erstellt werden, solange sich an der Datenbearbeitung im Unternehmen nichts ändert. Kein Verzeichnis ist erforderlich, wenn die Datenbearbeitung nur gelegentlich erfolgt, z.B. Bearbeitung von Personendaten bei einzelnen Bestellungen.

Für Unternehmen, die ihren Sitz nicht in der EU haben, wird die Bestellung eines Vertreters in der EU vorgeschrieben. Erfolgt die Datenbearbeitung jedoch nur gelegentlich, muss kein Vertreter bestellt werden. Nur gelegentlich wäre die Datenbearbeitung beispielsweise bei einem Onlineshop, der zwar auch Käufer aus der EU anspricht, aber tatsächlich nur wenige Kunden aus der EU hat.

Unternehmen haben die Sicherheit der bearbeiteten Daten zu gewährleisten. Im Regelfall sind Standardmassnahmen ausreichend. Dazu gehören insbesondere aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmässige Datensicherung und Virenscanner.

Quelle: Centre Patronal & Swissmechanic

Weiterführende Informationen/Links:
Das Bayerische Landesamt für Datenaufsicht hat auf seiner Homepage unter „EU-Datenschutz-Grundverordnung“ verschiedene kompakte Hilfsblätter inkl. Erläuterungen und Vorlagen für KMU’s zur Umsetzung der DSGVO publiziert.

Information für Webseiten- & Webshopkunden von schneeberger

Wenn Sie über eine aktive „Wartungs- & Updatevereinbarung“ mit uns verfügen, wird das CMS (WordPress) automatisch auf eine mit der DSGVO-taugliche Version aktualisiert. Ab WordPress Version 4.9 ist es jederzeit möglich, personenbezogene Daten zu exportieren oder zu löschen. Das Selbe gilt für Webshops, welche mit WooCommerce betrieben werden (ab Version 3.4.0).

Informationen zum technischen Zustand Ihrer Kundenwebsite erhalten Sie in Ihrem persönlichen Loginbereich. (Die Logindaten wurden Ihnen auf der letzten Service-Rechnung mitgeteilt. Sie können das Login auch jederzeit wieder per Email anfordern.)

Sollten Sie bereits heute eine Datenschutzerklärung publizieren wollen, erledigen wir dies gerne für Sie.