Was bedeutet die Datenschutzgrundverordnung (DSGVO – GDPR) für Unternehmen ausserhalb der EU?

Wie wirkt sich die DSGVO / GDPR per 25. Mai 2018 auf Unternehmen aus die nicht in der EU sind?

0

Bis anhin galt das Datenschutzrecht der EU nur für Unternehmen, welche in der EU eine Präsenz hatten und dort Personendaten bearbeitet haben. Die neue Datenschutzgrundverordnung (DSGVO), in Englisch General Data Protection Regulation (GDPR), welche am 25. Mai 2018 in Kraft tritt, weicht nun von diesem Prinzip ab, was zur Folge hat, dass das neue Recht potenziell nicht nur Unternehmen in der EU betrifft. Der Anwendungsbereich des Gesetzes erfasst unter gewissen Voraussetzungen neuerdings ebenso Unternehmen ausserhalb der EU. Insbesondere Schweizer Unternehmen, welche vielfach in der EU tätig sind, sollten vor dem 25. Mai unbedingt prüfen, ob sie in Zukunft unter das EU – Datenschutzrecht fallen und somit davon betroffen sind. Dieser Beitrag richtet sich daher vor allem an Schweizer Unternehmen.

Generelle Informationen zur DSGVO / GDPR gibts zusätzlich noch in diesem Artikel:
General Data Protection Regulation (GDPR 2018) erklärt

Ist mein Unternehmen von der DSGVO betroffen?

Die DSGVO unterscheidet zwischen zwei Kriterien:

Es besteht eine Niederlassung in der EU (Art. 3 (1) DSGVO)

Ein Schweizer Unternehmen hat eine Zweigstelle oder ein Tochterunternehmen in der EU. Ebenfalls darunter fällt die Datenbearbeitung als Auftragsbearbeiter für ein Unternehmen aus der EU. Dieses Kriterium galt bereits bisher und ist daher nicht neu.

Der Zielmarkt befindet sich in der EU (Art. 3 (2) DSGVO)

Neu findet die DSGVO auch Anwendung, wenn die Datenbearbeitung nicht innerhalb der EU stattfindet aber eine in der EU niedergelassene Person von der Datenbearbeitung betroffen ist, d.h. sobald Dienstleistungen oder Waren in der EU angeboten werden, gilt grundsätzlich die DSGVO.

Beispiele:

  • Es besteht eine Online-Präsenz welche auch auf Kunden in der EU abzielt.
  • Es wird ein Webtracking (bspw. Cookies) betrieben, welches auch Einwohner der EU erfasst.
  • Der Onlineshop steht auch EU-Kunden offen.
  • Es besteht ein Vertriebsnetz in der EU und es wird eng mit Agenten zusammengearbeitet. Dabei werden Kundendaten ausgetauscht.

Was sind die Konsequenzen, wenn ich nichts unternehme?

Sofern die erste Frage mit Ja beantwortet wird, stellt sich meist gleich die Frage der Konsequenzen für ein Nichtbefolgen der neuen Regeln. Ein KMU hat vielfach kein grosses Budget für Compliance, weshalb anhand einer Risikoanalyse Prioritäten gesetzt werden müssen.

Sofern man nicht in einem sensitiven oder besonders exponierten Bereich tätig ist, war das Datenschutzrisiko bisher meist nicht sehr hoch angesiedelt. Die Strafen oder Bussen waren bis anhin nicht besonders gravierend, was viele Unternehmen dazu bewogen hat, dem Thema keine besonders grosse Beachtung zu schenken.

Diesen Umstand hat der Gesetzgeber in der DSGVO berücksichtigt und sowohl die Kompetenzen der Aufsichtsbehörden sowie auch die finanziellen Konsequenzen drastisch erhöht. In Zukunft ist es kein Kavaliersdelikt mehr, den Datenschutz zu ignorieren.

Im Gegensatz zum schweizerischen Recht ermöglicht die DSGVO die Verhängung von Bussen. Sofern mildere Mittel (bspw. Verwarnungen) nicht mehr ausreichen oder es sich um einen besonders gravierenden Fall handelt, können schwerwiegende Geldbussen verhängt werden. Eine Busse kann bis zu 20 Millionen Euro oder 4 Prozent eines gesamten Jahresumsatzes betragen. Weitere zivilrechtliche Forderungen sind zudem möglich.

Aufgrund der möglicherweise bedeutenden finanziellen Konsequenzen sollte dem Datenschutz mehr Beachtung geschenkt werden und zumindest ein Risiko – Assessment durchgeführt und entsprechende Regeln implementiert werden.

Worin liegen die wesentlichen Unterschiede zur Schweiz?

Die Schweiz hat bereits ein starkes Datenschutzrecht, weshalb für die meisten Unternehmen das Thema nicht völlig neu sein sollte und oft bereits minimale Regelungen bestehen.

Wesentliche Unterschiede

  • Höhere Anforderungen an eine Einwilligung zur Datenbearbeitung.
  • Datenschutzverletzungen müssen der Aufsichtsbehörden und allenfalls den betroffenen Personen mitgeteilt werden (Data breach notfication).
  • Es besteht ein Recht auf Daten – Portabilität.
  • Es besteht ein Recht auf Vergessen.
  • Weitergehende Auskunfts- und Berichtigungsrechte.
  • Unterschiedliche Anforderungen an die Einsetzung eines internen Datenschutzbeauftragten.
  • Unternehmen ausserhalb der EU müssen einen Vertreter benennen.
  • Datenschutz durch Privacy by Design und Default.
  • Schärfere Sanktionen und Bussen.

Wie kann ich mich dem Thema am besten Annehmen?

In einem ersten Schritt sollte eine Bestandsaufnahme durchgeführt werden, hierzu können nachfolgende Fragen als Hilfe dienen:

  • Welche Personendaten werden im Unternehmen bearbeitet?
  • Werden Personendaten von in der EU niedergelassenen Personen bearbeitet?
  • Werden Personendaten grenzüberschreitend ausgetauscht?
  • Welche Reglemente, Datenschutzbestimmungen, Weisungen, etc. bestehen bereits?
  • Sind die Mitarbeiter bereits geschult und sensibilisiert?
  • Werden Dritte (Vertriebspartner, externer IT-Support, etc.) zur Einhaltungen des Datenschutzes verpflichtet?
  • Ist neben dem Datenschutz auch die Datensicherheit gewährleistet?
  • Wird eine Datenbearbeitung genügend transparent kommuniziert?
  • Reichen die bestehenden Einwilligungen zur Datenbearbeitung aus?

Hinweise zur Prüfung der Grundlage zur Datenbearbeitung

Im B2C – Bereich ist ein Rechtfertigungsgrund notwendig, damit Personendaten gespeichert und verarbeitet werden dürfen. Vielfach ist hier die direkte Einwilligung der betroffenen Person notwendig. Die Anforderungen sind hier gestiegen, die Einwilligung zur Datenbearbeitung muss einfach und verständlich formuliert sein sowie der einzelne Zweck der Datenbearbeitung muss klar ersichtlich sein. Ausserdem muss es auch einfach möglich sein, die Einwilligung wieder zurückzuziehen. Sofern im B2B – Bereich keine detaillierten Angaben zu den natürlichen Personen des Kunden (Mitarbeiter) erfasst werden, ist keine Einwilligung notwendig, da es sich um Daten von juristischen Personen handelt. Es muss jeweils eine individuelle Prüfung vorgenommen werden.

Die heutige Grundlage bzw. Einwilligung zur Datenbearbeitung ist unbedingt auf DSGVO Kompatibilität zu prüfen.

Hinweise zur Anpassung von Reglementen, Weisungen etc.

Vorweg gilt es zu bemerken, dass die Erstellung eines Reglements meistens der einfache Teil darstellt. Der schwierigere Teil besteht meist darin, den Inhalt den Mitarbeitern verständlich und nachhaltig mitzuteilen. Die Regeln sollten daher der Unternehmenskultur entsprechen und möglichst einfach und verständlich formuliert sein. Ebenfalls sollten die jeweilige Hierarchiestufe, das Bildungsniveau und der effektive Aufgabenbereich der Person beachtet werden.

Sofern bereits Reglemente bestehen, können diese als Grundlage genommen und überarbeitet werden. Teilweise müssen jedoch auch neue Prozesse kreiert werden, bspw. werden die wenigsten Unternehmen bereits einen Data Breach Prozess kennen.

Wann muss ein Datenschutzbeauftragter bestimmt werden?

Bildet die Datenbearbeitung die Haupttätigkeit oder werden regelmässig und systematisch Personendaten bearbeitet, dann ist ein Datenschutzbeauftragter zu bestimmen. Weitere Informationen zum Datenschutzbeauftragten finden Sie hier.

Wann muss ein Datenschutzvertreter bestimmt werden?

Braucht es keinen Datenschutzbeauftragten, ist allenfalls die Bestellung eines Datenschutzvertreters notwendig. Für Unternehmen, die nicht in der EU niedergelassen sind, aber auf welche die DSGVO infolge der Ausrichtung ihrer Tätigkeit Anwendung findet, besteht in der Regel eine Pflicht, einen Datenschutzvertreter zu ernennen. Hauptfunktion desselben ist es, den Aufsichtsbehörden eine faktische Zugriffsmöglichkeit auf das Unternehmen innerhalb der Europäischen Union zu ermöglichen. Der Datenschutzvertreter dient als Anlaufstelle für die Aufsichtsbehörden zur Sicherstellung der Einhaltung der Vorschriften der DSGVO.

Nützliche Links zu DSGVO / GDPR: