Beitragsbild Landingpage Kaufprozess-Beschleuniger

Datenschutz

Warum Sie als schweizerisches Unternehmen von der europäischen DSGVO betroffen sind

EU Gesetze interessieren Sie nicht?

Am 25. Mai 2018 tritt in der EU die neue Europäische Datenschutz-Grundverordnung, kurz DSGVO, in Kraft. Auch wenn die Schweiz kein Mitgliedstaat der Europäischen Union ist, hat dieses Gesetz trotzdem unmittelbare Auswirkungen auf das kleine Alpenland. Laut Adrian Lobsiger, Eidgenössischer Datenschutzbeauftragter, würde man im Fall einer Klage aus dem europäischen Raum mit den dortigen Kollegen zusammenarbeiten und Vergehen in der Schweiz verfolgen. Schwerwiegende Verstösse werden mit bis 20 Millionen Euro bzw. 4% des Jahresumsatzes gerügt, geringere Verstösse bis je zur Hälfte.

Die Datenschutzverordnung der Schweiz ähnelt in Grundzügen zwar der europäischen Gesetzgebung, doch im Zuge der Digitalisierung fehlen die konkreten Details und die Grundlogik der Gesetze sind gegenteilig. EU-Recht verbietet im Grundsatz vieles und erlaubt es nur mit der persönlichen Einwilligung des Betroffenen. In der Schweiz und z.B. der USA ist das Gegenteil der Fall. Grundsätzlich ist alles erlaubt, ausser Betroffene sprechen sich explizit dagegen aus.

Mit der Sommersession des Parlaments findet eine Totalrevision der Datenschutzverordnung in der Schweiz statt. Mit grosser Wahrscheinlichkeit werden die europäischen Richtlinien spätestens dann von der Schweiz weitgehend übernommen. Die Frage ist, ob man sich bereits jetzt an die EU-Gesetzgebung anpasst, wobei die Antwort relativ klar auf «Ja» fallen muss.

Was ändert sich?

In den vergangenen Tagen erhielten Konsumentinnen und Konsumenten vermehrt die Aufforderung von grossen Internetportalen wie Facebook und Google, aber auch von Schweizer Unternehmen wie Ricardo, die neuen Datenschutzbestimmungen zu lesen und zu akzeptieren.

Die neuen Bestimmungen verstärken die Rechte der Kunden. Betroffen sind alle Unternehmen, die europäische Kunden bedienen. Bisher konnten Firmen ohne Einwilligung personenbezogene Daten sammeln, auswerten und beispielsweise für Marketingmassnahmen einsetzen. Neu müssen Kunden explizit die Einwilligung erteilen, wenn Daten über sie gesammelt und verarbeitet werden – unabhängig vom Verwendungszweck. Bereits das Ausfüllen eines einfachen Kontaktformulars bedingt die Einwilligung des Nutzers. Besondere Vorsicht gilt entsprechend bei der Verwendung von Daten für Werbungen.

Die Regeln betreffen zudem auch Daten, die vor dem 25. Mai 2018 erfasst worden sind. Newsletter-Listen ohne Double Opt-In beispielsweise dürfen ab dem 25. Mai grundsätzlich nicht mehr verwendet werden.

Zudem kann ein Konsument jederzeit fordern, die gesammelten Daten über sich einzusehen, zu ändern oder gar löschen zu lassen. Dies wird insbesondere die IT vor enorme Herausforderungen stellen.

Sind Sie betroffen?

Auch wenn Sie das Gefühl haben, Ihr Unternehmen sei davon nicht betroffen, täuschen Sie sich wahrscheinlich. Denn sind Sie sich sicher, dass Ihr Newsletter Marketing nicht über einen europäischen Server läuft? Oder das gewisse Daten nicht von Diensten im Ausland verarbeitet werden? Sie werden schnell feststellen, dass praktisch alle Schweizer Webseitenbetreiber von der DSGVO betroffen sind. Ausgenommen sein dürften persönliche Webseite ohne gewerbliche Zwecke (Achtung: Blogs erfassen häufig persönliche Daten wie die IP-Adresse von Besuchern) sowie Online Auftritte, von klar lokal tätigen kleinen Betrieben, die kein Online Marketing nutzen.

Sobald Ihre Leistungen einen Bezug zur Europäischen Union haben, sei es in dem Sie Kunden aus der EU bedienen, Ihre Server nicht in der Schweiz liegen oder ähnliches, sind Sie von der DSGVO betroffen.

Was nun?

Schritt 1: Bewusstsein der Gefahr durch Verletzung der DSGVO

Klassische Denkfehler

  • «Wir sind in der Schweiz und sind somit nicht betroffen.»
  • «Als KMU bin nicht auf dem Radar der EU-Justiz»

Schritt 2: Rollen klar verteilen, Verantwortlichkeiten festlegen

Klassischer Denkfehler

  • „Wir haben einen Datenschutzbeauftragten, das Unternehmen ist nicht gross betroffen.“

Schritt 3: Informieren, betroffene Bereiche kennen

Tipp: Das ganze Thema ist nicht