Rechtliches

Die neue EU-Datenschutz-Grundverordnung (DSGVO) und was Sie für ihr Schweizer KMU beachten müssen

 

Sie bombardieren derzeit unsere E-Mail-Postfächer: Nachrichten von Firmen, die sich durch Datenschutzerklärungen absichern wollen. Das Ganze natürlich im Zuge der gerade in Kraft getretene EU-Datenschutz-Grundverordnung (kurz: DSGVO). Doch was sagt die neue Verordnung eigentlich aus und was müssen Sie als Schweizer beachten?

 

Die einheitliche Verordnung für EU-Länder und Länder, in denen Daten von EU-Bürgern gesammelt und verarbeitet werden, soll die Handhabung der personenbezogenen Daten in der EU regeln. Streng genommen ist sie schon vor zwei Jahren in Kraft getreten, allerdings galt eine zweijährige Übergangsfrist, die seit dem 25. Mai 2018 verstrichen ist.

 

Wieso überhaupt eine DSGVO?

Für den Konsumenten hat die neue Datenschutzverordnung ihr Gutes, denn diese haben nun die Möglichkeit, von den Anbietern zu erfahren, welche Daten sie erheben, warum sie das tun und wie lange die Daten gespeichert werden. Die Idee hinter der DSGVO war, die Daten europäischer Bürger gezielt zu schützen. So sollen in jedem EU-Mitgliedsland die gleichen Standards vertreten werden, auch um die grossen Datensammler wie Google, Facebook, Amazon oder Twitter zu verpflichten, ihre Daten innerhalb der EU zu speichern. Man wollte mit dieser Reglung durchsetzen, dass für die Daten europäischer Bürger der europäische Datenschutz zur Anwendung kommt und somit den US-amerikanischen Geheimdiensten einen Riegel vorschieben.

 

Was heisst die DSGVO für ihr KMU in der Schweiz?

Schweizer Unternehmen müssen sich grundsätzlich an die DSGVO halten, wenn sie einen Standort im Bereich der Europäischen Union haben oder wenn sie personenbezogene Daten von Personen verarbeiten, die sich in der EU befinden. Oder aber, wenn die Verarbeitung dazu dient Personen, die in der EU leben, Waren oder Dienstleistungen anzubieten. Hier genügt, dass ein Online-Shop seine Preise in Euro angibt oder seine Lieferkonditionen für Lieferungen in die EU nennt. Oder wenn das Verhalten dieser Personen zu verfolgen (sofern dieses Verhalten in den Mitgliedstaaten der EU erfolgt). Jeder Schweizer Händler, der seine Produkte an EU-Bürger verkauft oder zumindest im EU-Raum anbietet, unterliegt somit der DSGVO. Ebenfalls betroffen sind Schweizer, die einen Newsletter über ihre Website anbieten, der von Personen in der EU abonniert werden kann.

 

Welche Pflichten müssen Sie konkret beachten, wenn Sie vom DSGVO betroffen sind?

Der Schutz der personenbezogenen Daten ist Kern der aktuellen DSGVO. Personenbezogen meint Vor- und Zuname, die E-Mail-Adresse, Wohnort, Telefonnummern und weitere Information wie Zugehörigkeit zu einer Religion oder Gesundheitsdaten, Zahlungsdaten und vor allem die IP-Adresse. In Regel handelt es sich hierbei jedoch nicht um die IP-Adresse eines einzelnen Gerätes, sondern um diejenige Adresse des davor geschalteten Router. Trotzdem kann der Nutzer über diese Adresse rückverfolgt werden. Beim Schutz der personenbezogenen Daten gilt der Grundsatz: so wenig Datenerhebung wie möglich und nur so viel Datenspeicherung wie nötig. Ansonsten sollte jedes Unternehmen auf seiner Webseite nicht nur auf ein ausreichend versehenes Impressum achten, sondern nun auch auf eine wasserdichte Datenschutzerklärung.

 

Ausreichend Hinweise und Erklärungen auf Webseiten

Der Server, auf dem die Webseite liegt, erfasst die personenbezogenen Daten seiner Besucher, das dient zum Teil den Administratoren der Webserver zur Kontrolle der Funktionalitäten und zur Fehlersuche bei etwaigen Störungen. Da allerdings auch die Daten eines Besuchers - zumindest die IP-Adresse und der verwendete Browser - einer beliebigen Webseite mitschneidet, muss jeder Besucher darauf hingewiesen werden. Ähnlich ist das bei Cookies. Denn man findet kaum noch Webseiten, die nicht beim ersten Aufruf einen Hinweis auf deren Verwendung einblendet „Diese Website benutzt Cookies. Wenn Sie die Website weiter nutzen, stimmen Sie der Verwendung von Cookies zu“.

 

Was passiert mit Cookies?

Cookies sind eigentlich kleine Textdateien, die auf dem PC, Laptop oder Smartphone des Besuchers gespeichert werden und sich bestimmte Einstellungen und Daten zum Aufruf einer Webseite im Browser merken. Während einige Cookies nach dem Schliessen des Browsers wieder gelöscht werden, verbleiben andere auf dem System des Besuchers, so dass bereits besuchte Webseiten beim nächsten Besuch wiedererkannt werden. Cookies gelten in der DSGVO zwar als prinzipiell verboten, allerdings mit Erlaubnisvorbehalt. Die Nutzung wird damit grundsätzlich zulässig, wenn der Betroffene eingewilligt hat. Allerdings hat man in der Regel auch keine andere Option, denn entweder erlaubt man beim Besuchen der Webseite die Nutzung von Cookies oder man muss den Besuch der Seite abbrechen. Somit werden sich auch weiterhin viele Cookie-Hinweise auf Webseiten befinden.

Umgang mit Social-Media-Links

Wenn sie einen Link zu Social-Media-Webseiten wie beispielsweise Facebook auf ihrer eigenen Webseite geschaltet haben, sollten Sie auch hier ihre Besucher darauf hinweisen und um Zustimmung des Datentransfers bitten. Denn wenn Sie dies nicht tun bewegen Sie sich datenschutzrechtlich auf „dünnem Eis“. 

Absicherungen bei Patienten- und Klientendaten durch Auftragsdatenverarbeitung  

Wenn Patienten- oder Klientendaten beim Betrieb eines EDV-System verarbeitet werden, muss das jeweilige Systems des Servers kontrolliert und gewartet werden. Gerade durch die Administration des Systems können allerdings Lücken entstehen, die dann für Datenmissbrauch genutzt werden könnten. Egal ob als Dienstanbieter oder jemand, der EDV-Dienste in Anspruch nimmt: Sie sollten sich auch hier durch eine anwaltlich begleitete Vereinbarung absichern.

 

Die Grundpfeiler der DSGVO: Pseudonymisierung und Datenminimierung

Bei der DSGVO geht es vor allem um Datensparsamkeit und die Pseudonymisierung der Daten, die Datentrennung und die erweiterten Rechte Betroffener auf ihre Daten. Daten sollen nur dann erhoben werden, wenn sie zur Erfüllung eines bestimmten Zweckes erforderlich sind. Gleichzeitig geht es auch um Interessensabwägung. Sollen vor allem Daten von Betroffenen Nutzern geschützt werden oder aber das Interesse des Webseitenbetreibers, der seine Inhalte ohne Daten nicht sinnvoll darstellen könnte? Daten die beispielsweise über ein Kontaktformular auf Ihrer Webseite gesammelt wurden, dürfen nicht mehr ohne Grund lange aufgehoben werden. Zudem müssen die bereits gesammelten Daten dem Betroffenen transparent gemacht werden, wenn dieser danach fragt. Auch die Löschung der eigenen Daten kann jederzeit vom Konsumenten beansprucht werden.

 

Informieren Sie sich genau und suchen im Zweifel juristischen Rat

Grundsätzlich sollten Sie - falls beispielsweise Zweifel bestehen, ob es bei einem bestimmten Dienst zu einer Übermittlung personenbezogener Daten an Dritte oder zur zustimmungspflichtigen Verarbeitung auf Ihrer Seite kommt – juristischen Rat suchen. Bei den meisten Fragen zur DSGVO fehlen bisher rechtskräftige Urteile in der praktischen Umsetzung. Schweizer Unternehmen sollten sich allein deshalb genausten informieren und beraten lassen, da im Fall einer Datenschutzverletzung Geldbussen drohen, die bis zu 4% des weltweiten Jahresumsatzes des vergangenen Geschäftsjahres betragen können.