Next Gen Professional Education

Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung der EU (DSGVO = GDPR) in Kraft. Was gilt es zu beachten?

Die neue EU Datenschutz-Grundverordnung basiert auf der aus dem Jahr 1995 stammenden Richtlinie 95/46/EG (Datenschutzrichtlinie) und behält die grundsätzlichen Datenschutzprinzipien bei.
Was bedeutet dies konkret für Schweizer Unternehmen?

Nach ihrem Inkrafttreten am 25. Mai 2018 wird die neue EU Datenschutz-Grundverordnung in der gesamten Europäischen Union gelten. Unmittelbar davon betroffen sind aber auch viele Schweizer Unternehmen, insbesondere, wenn sie in der EU Niederlassungen oder Tochtergesellschaften haben, in der EU ansässige Personen anstellen oder Daten von EU Bürger besitzen und verarbeiten. Da die Verwendung von Google Analytics oder eines anderen Analyse Tools für Besuchererfassung neulich auch dazu zählt, ist praktisch jedes Unternehmen in der Schweiz vom EU-DSGVO betroffen.

Was sind die wesentlichsten Neuerungen im Vergleich zum geltenden Recht?

In Bezug auf das Informationsrecht gilt es grundsätzlich die betroffenen Personen vollumfänglich über die Datenbearbeitung zu informieren (Zweck und die Rechtsgrundlage der Datenbearbeitung, Dauer der Datenspeicherung, Datenempfänger usw.).

Die Einwilligung für die Datenverarbeitung hat in einer klaren, transparenten Form zu erfolgen. Die erteilte Einwilligung kann zudem jederzeit wiederrufen werden. Den betroffenen Personen steht das «Recht auf Vergessen» zu, wonach das Löschen von gespeicherten Daten jederzeit verlangt werden kann.

Zusätzlich wird zwischen Privacy by Design und Privacy by Default unterschieden:

  • Der Begriff Privacy by Design basiert auf dem Grundgedanken, dass die Datenschutzrichtlinien bereits beim Festlegen eines Datenverarbeitungsprozesses integriert werden.
  • Unter Privacy by Default versteht man datenschutzfreundliche Einstellungen der Datenverarbeitungssysteme.

Werden Sicherheitslücken im System festgestellt (Privacy Breach) gilt es neu die zuständige Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden nach dem Vorfall zu benachrichtigen. Organisation sind dazu verpflichtet, genügende technische und organisatorische Ressourcen zur Verfügung zu stellen, um Sicherheitslücken sofort zu beheben.

Die Verantwortung über die Einhaltung der EU DSGVO übernimmt jeder einzelne Bearbeiter von Personendaten, welcher einer Nachweispflicht unterliegt.

Was können Unternehmen für eine erfolgreiche Umsetzung der EU-DSGVO tun?

Unternehmen sind gefordert, ihre Datenverarbeitungsprozesse komplett zu überdenken und wirkungsvoller zu konzipieren. Hierfür gibt es keine Musterlösung, welche überall passt. Die Umsetzung der EU-DSGVO Vorgaben im Unternehmen wird durch interne unternehmensspezifische Prozesse bestimmt. Zu erwarten ist daher eine zunehmende Bedeutung des Compliance-managements, um alle betroffenen Mitarbeiter in Bezug auf die neue EU DSGVO zu sensibilisieren und zu schulen.

Kontaktieren Sie uns

Bei Fragen stehen wir Ihnen gerne zur Verfügung.