Die EU bemüht sich seit langer Zeit um den Datenschutz der EU-Bürger. In Zeiten von Google, Facebook und unzähligen Online-Shops wie Amazon oder Zalando ist dies auch nötig. Neu tritt ab dem 25. Mai 2018 ein EU-einheitliches Datenschutz-Gesetz in Kraft: die sogenannte Datenschutz-Grundverordnung, kurz DSGVO oder auf Englisch GDPR (General Data Protection Regulation). Diese ist weltweit ein Meilenstein im Schutz der Privatsphäre und wird die Bedingungen für die Aufnahme, Benutzung und Übergabe personenbezogener Daten in ihren Grundzügen verändern.

Ausgangslage

Wir alle bewegen uns heutzutage im Web. Sei es, um auf «Spotify» Musik zu hören, auf «Netflix» Filme oder Serien anzuschauen, mit Hilfe der Google-Suche zu einem Thema zu recherchieren, per WhatsApp mit Freunden zu schreiben, das neuste Ferienfoto auf Facebook oder Instagram zu posten oder diesen Blog-Beitrag zu lesen. Dabei werden unsere Aktivitäten von diesen Unternehmen dauerhaft überwacht, unsere Daten werden gespeichert und analysiert.

Doch nicht nur bei Online-Aktivitäten werden Daten gesammelt. Bei jedem Einkauf in der Migros mit der Cumulus-Karte wird registriert, was eingekauft wurde (wobei die Migros nur ein Beispiel von vielen ist). Zusätzlich zu den vielen gesammelten Informationen aus dem Web helfen auch diese Daten, sich ein genaues Bild eines Menschen zu machen, um dann gezielt Werbung zu schalten.

Aufgrund dieser Unmengen von Daten wird die Sicherheit im Internet immer wichtiger. Cyber-Kriminelle haben oft persönlich identifizierbare Informationen (Namen, Adressen, Sozialversicherungen, Steueridentifizierungen, Zahlungskarteninformationen, etc.) im Auge. Dies führte schon zu zahlreichen Verbrechen wie Wirtschaftsdiebstahl oder Identitätskriminalität.

DSGVO

Die EU hat in den letzten Jahren nun eine neue Datenschutz-Grundverordnung entwickelt. Diese definiert den Schutz der erwähnten Datenmenge der EU-Bürger. Es ist strikt geregelt, wie mit personenbezogenen Daten umzugehen ist. Personenbezogene Daten sind beispielsweise Namen, Adressen, Telefonnummern, Autokennzeichen, Hobbys und viele mehr.

Oberste Priorität der DSGVO hat der Schutz der Grundrechte und der Privatsphäre der Internetnutzer in den 28 EU-Ländern. Gleichzeitig werden auch den amerikanischen «Datenkraken» wie Google, Facebook und Amazon im EU-Raum Grenzen gesetzt.

Bei Missachtung der DSGVO ist mit hohen Strafen zu rechnen. Diese können bis zu 20 Millionen Euro oder 4% des globalen Umsatzes betragen (je nach dem, welcher Betrag höher ist).

Es wird sich auch kein Unternehmen damit entschuldigen können, es habe nichts von der neuen Datenschutz-Grundverordnung gewusst. Seit Mai 2016 nämlich, ist die neue DSGVO bekannt. Somit blieben den Unternehmen mindestens zwei Jahre Vorbereitungszeit. Im Mai 2018 wird dann das alte Datenschutzgesetz von 1995 abgelöst.

Das deutsche Datenschutzgesetz gehörte bereits zu den strengsten der Welt. Jedoch waren die festgelegten Strafen viel zu mild und schreckten deshalb kaum jemanden ab. Ausserdem wurden sie äusserst selten verhängt, da man die Wirtschaft zu schützen versuchte.

Neben den neu abschreckenden Geldbussen kann auch die Vereinheitlichung des Datenschutzrechts für 500 Millionen EU-Bürger als Vorteil der neuen DSGVO gesehen werden. Somit herrscht keine Rechtsunsicherheit mehr wegen unterschiedlichen Gesetzen in den unterschiedlichen EU-Mitgliedsstaaten. Zudem haben die EU-Bürger eine verbesserte Kontrolle über ihre Daten.

Schweiz

Doch was betrifft uns diese EU-Vorschrift in der Schweiz? Ist die DSGVO für Schweizer Unternehmen überhaupt relevant? Ja, das ist sie. Denn jede Organisation, welche mit EU-Bürgern in Kontakt tritt, muss die DSGVO berücksichtigen. Unternehmen die ausserhalb der EU liegen, aber trotzdem ihre Dienstleistung in EU-Ländern erbringen, unterliegen also ebenso der DSGVO – selbst die, die keine Niederlassungen in der EU unterhalten.

Bei uns in der Schweiz hat der Bundesrat im September 2017 eine revidierte Version des Schweizerischen Datenschutzgesetzes (DSG) veröffentlicht. Dieses ist stark ans Europäische Recht angelehnt, geht aber nicht weiter, als nötig. So kann sinnlose Bürokratie vermieden werden.

Was wird von den Unternehmen erwartet?

Unternehmen, die mit personenbezogenen Daten von EU-Bürgern arbeiten, sind verpflichtet, ein wirksames Sicherheits- und Datenschutzkonzept zu erstellen. Dazu sind die mit der Verarbeitung von personenbezogenen Daten verbundenen Risiken zu berücksichtigen. Aufgrund der Risikobewertung sind dann die Massnahmen und Verfahren festzulegen. Diese sollten dem aktuellen Stand der Technik entsprechen aber gleichzeitig auch verhältnismässig (bezüglich Aufwand und Ertrag) sein. Dieses Datenschutzverfahren sollte in regelmässigen Zeitabschnitten auf ihre Wirksamkeit überprüft werden.

Zudem wird das Führen eines Verfahrenverzeichnisses erwartet. Bestandteile dieses Verzeichnisses sind insbesondere Namen und Kontaktdaten des Verantwortlichen, Zwecke der Datenverarbeitung, Kategorien der betroffenen Personen sowie die Kategorien der personenbezogenen Daten und die Kategorien von Empfängern (die Einsicht in die Daten haben).

Bei der Speicherung der Daten gilt es folgendes zu berücksichtigen:

• Die personenbezogenen Daten müssen auf das für die Verarbeitung notwendige Mass beschränkt werden.
• Es wird vorausgesetzt, dass die gespeicherten Daten korrekt sind. Andernfalls müssen sie gelöscht werden.
• Die Identifizierung der Person darf nur solange ermöglicht werden, wie es für die Verarbeitung erforderlich ist. Danach müssen die Daten gelöscht oder die Verbindung zur betroffenen Person aufgehoben werden.
• Der Schutz der personenbezogenen Daten muss bei der Verarbeitung gewährleistet sein.

Bei einer allfälligen Datenschutzverletzung muss das Unternehmen den Vorfall unverzüglich der Aufsichtsbehörde melden. Dies muss bis höchstens 72 Stunden nach dem Bekanntwerden der Verletzung geschehen. Zudem muss grundsätzlich auch die betroffene, natürliche Person informiert werden.

Fazit

Für die EU-Bürger ist die neue DSGVO natürlich eine positive Verbesserung des Datenschutzes. Die betroffenen Unternehmen brauchen jedoch durchaus viel Zeit, Know-how und Ressourcen, um die DSGVO einzuhalten. Da dieser Beitrag nur grob in das Thema einführt, habe ich nachfolgend die komplette DSGVO verlinkt. Oft macht es allerdings Sinn, sich als Unternehmen bei der Bewältigung dieser komplexen Aufgabe externe Hilfe von einem Anwalt zu holen.