Zum Inhalt springen

Datenschutzgesetz EU-DSGVO

Das sollten Sie über das neue Datenschutzgesetz wissen.

Seit Mai 2018 ist die neue europäische Datenschutz-Grundverordnung in Kraft. Davon sind auch Schweizer KMU betroffen. Nachfolgend Antworten auf häufig gestellte Fragen zum Gesetz und dessen Anwendung in der Praxis.

 

Worum geht es bei dem neuen Gesetz?

Ziel des neuen Datenschutzgesetzes ist die informelle Selbstbestimmung über persönliche Daten und der Schutz von Rechten und Privatsphäre der EU-Bürger. Es geht also um die personenbezogenen Daten von natürlichen Personen und tangiert alle Unternehmen und Organisationen, die solche verarbeiten. Gemäss dem neuen Gesetz muss der Nutzer der Daten darlegen können, weshalb er die Personendaten sammelt und was er damit macht. Der Betroffene erhält das Recht zu bestimmen, was mit den Daten geschieht. Mit dem neuen Gesetz reagiert die Europäische Union auf die Digitalisierung, bei der Personendaten eine immer wichtigere Bedeutung erhalten. Dabei sollen alle EU-Bürger geschützt werden, wodurch auch Schweizer Unternehmen tangiert sind.

 

Wer ist wie verantwortlich für den Schutz der Personendaten?

Personendaten sind grundsätzlich sämtliche Informationen, die einer natürlichen Person zugeordnet werden können wie Name, Wohnort, Geburtstag, Telefonnummer usw. Das konkrete Beispiel mit PROFFIX erklärt, wer für deren Schutz zuständig ist: Wenn ein Unternehmen PROFFIX einsetzt, erfasst es in der Regel Daten von verschiedenen Personengruppen wie Mitarbeitenden, Kunden und Geschäftspartnern. Bei der Konfiguration von PROFFIX durch einen autorisierten Vertriebspartner erhält dieser Einsicht in die erfassten Personendaten, wobei er sich dabei grundsätzlich an die Datenschutzgesetze hält. Neu ist nun, dass die Verfahren zur Einhaltung des Datenschutzes dokumentiert werden müssen, sofern das Unternehmen unter die EU-DSGVO fällt. Bei Nichteinhaltung drohen hohe Bussgelder. Dabei kommt dem Unternehmen, das PROFFIX einsetzt, die Rolle des Verantwortlichen und dem Vetriebspartner die Rolle des Auftragsverarbeiters (PROFFIX Vertriebspartner) im Sinn der EU-DSGVO zu. Dies bedeutet, dass der Verantwortliche dafür zuständig ist, dass zwischen ihm und dem Auftragsverarbeiter ein Vertrag abgeschlossen wird. Die Verantwortung fällt deshalb dem PROFFIX Anwender zu, weil er die Daten bearbeitet und somit wissen muss, ob er von der EU-DSGVO betroffen ist. Ist dies der Fall, muss zwischen den beiden Parteien ein Vertrag abgeschlossen werden, dessen Inhalt durch Artikel 28 EU-DSGVO vorgegeben ist und den Auftragsverarbeiter instruiert, wie er mit den Daten umgehen muss.

 

Was muss mit den Personendaten gemacht werden?

Werden in einem Unternehmen Personendaten bearbeitet, die unter die EU-DSGVO fallen, geht es vorwiegend darum, Prozesse zu definieren und diese zu dokumentieren. Das heisst, diese Unternehmen sind als Verantwortliche dafür zuständig, dass die Mitarbeitenden wissen, welche Personendaten sie erfassen dürfen und was sie bei der Verarbeitung dieser Daten beachten müssen. Dazu müssen sämtliche Prozesse, bei denen Personendaten verarbeitet werden, so gestaltet und dokumentiert sein, dass die EU-DSGVO eingehalten wird. Bei der Dokumentation ist wichtig zu beachten, dass Personen nicht nur in PROFFIX, sondern auch in Drittsystemen bearbeitet werden können, wie beispielsweise in Webshops, Archiven, Cloud-Lösungen, Papierdokumenten usw. Gleichzeitig muss der Grund angegeben werden, der als rechtliche Basis für die Verarbeitung der Daten dient. Solche Bearbeitungsgründe können gesetzliche Vorgaben (z.B. in der Lohndatenverarbeitung oder Debitorenbuchhaltung), die Erfüllung eines Vertrags (Auftrag) oder auch die Einwilligung der betreffenden Person (z.B. Newsletter) sein.

 

Braucht es einen Rechtsbeistand zur Umsetzung der EU-DSGVO?

Als Erstes empfiehlt sich, die öffentlich zugänglichen Muster und Vorlagen zu nutzen (siehe unten). Diese geben bereits einen umfassenden Einblick in die Thematik. Die Vorlagen helfen Unternehmen, sich Gedanken zum Umgang mit den Personendaten zu machen und diesen neu zu strukturieren und dokumentieren. Sind die wichtigsten Punkte erarbeitet, ist es je nach Unternehmen bei spezifischen Fragen sinnvoll, diese mit einem Anwalt zu besprechen. Anschliessend kann die Dokumentation fertiggestellt und die Prozesse im Unternehmen können entsprechend angepasst werden.

 

Neues Schweizer Datenschutzgesetz in zwei Etappen

Nachdem 2018 die neue europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft getreten ist, müssen nun Anpassungen im Schweizer Datenschutzgesetz (DSG) folgen.

Das Schweizer Datenschutzgesetz (DSG) stammt aus dem Jahr 1993, als das Internet noch in den Kinderschuhen steckte. Das Parlament ist nun gefordert, dieses unter Berücksichtigung der EU-DSGVO, die durch die EU für die internationale Zusammenarbeit auf wirtschaftlicher Ebene wie auch strafrechtlich angewendet wird, einer Totalrevision zu unterziehen.

Damit die Schweiz von der EU weiterhin als Land mit angemessenem Datenschutz anerkannt wird, müssen die strafrechtlichen Anpassungen möglichst rasch erfolgen. Das Parlament geht dabei in zwei Etappen vor. In einem ersten Schritt wird das DSG mit einer befristeten Neuregelung des grenzüberschreitenden Austausches von Personendaten an die EU-DSGVO angepasst. Obwohl diese Anpassungen einer gewissen Dringlichkeit unterliegen, wurde die Debatte kürzlich verschoben, sodass wahrscheinlich frühestens 2020 mit der vereinfachten Revision zu rechnen ist. Dies hat auch zur Folge, dass noch nicht absehbar ist, wann die in einem zweiten Schritt geplante Totalrevision bereit ist. Diese Situation ist für Softwareentwickler insofern bedauerlich, als gewisse Kunden der EU-DSGVO-Verordnung genügen müssen, dafür aber keine schweizerische Gesetzesgrundlage vorliegt. Dies wird letztlich automatisch zu einem höheren Aufwand führen, da die neuen EU-DSGVO-Vorschriften nicht zeitnah mit der neuen Schweizer Gesetzgebung umgesetzt werden können.

 

Muster und Vorlagen

Die «Gesellschaft für Datenschutz und Datensicherheit e.V.» (Deutschland) hat zu diesem Zweck offizielle Vertragsvorlagen veröffentlicht, mit denen die Zusammenarbeit geregelt werden kann.

Download Vertragsvorlagen: www.gdd.de

 

Für die Dokumentation der Prozesse finden sich bei den offiziellen Datenschutzbeauftragten der EU-Länder Checklisten und Vorlagen. Als Einstieg empfiehlt sich das Kurzpapier Nr. 8 der DSK «Massnahmenplan DS-GVO für Unternehmen».

www.stiftungdatenschutz.org

 

Das Bayerische Landesamt für Datenschutzaufsicht hat für kleinere Unternehmen und Vereine verschiedene Unterlagen erstellt, die aufzeigen, welche Anforderungen unternehmensspezifisch eingehalten werden müssen. Die Vorlagen sind unter anderem für Handwerksbetriebe, Arztpraxen, Produktionsbetriebe, Steuerberater, Online-Shops, Bäckereien usw. verfügbar.

www.lda.bayern.de

Ist Ihr Unternehmen zur EU-DSGVO verpflichtet?

Informationen zu dieser Frage erhalten Sie hier