Neuer EU-Datenschutz für Schweizer Unternehmen

DS-GVO ab 25. Mai / auch Schweizer Unternehmen betroffen

Die Verordnung legt fest, dass durch das nicht in der EU niedergelassene Unternehmen ein Vertreter in der Union benannt werden muss. Die Funktion des Vertreters geht dabei über die einer reinen Kontaktstelle hinaus. Es handelt sich um eine Vertretung in den Pflichten, die dem jeweiligen Unternehmen obliegen. Dabei kann sogar der Adressat der Durchführer aufsichtsrechtlicher Durchsetzungsverfahren sein. Damit geht allerdings keine Abwälzung der Haftung auf den Vertreter einher.

Die Datenschutz-Grundverordnung geht in einigen wichtigen Bereichen über die Schweizer Regelungen hinaus. Die Beratungsgesellschaft KPMG hat für das Schweizer Handelskammerjournal die wichtigsten Änderungen zusammengefasst, die mittelständische Unternehmen in der Schweiz berücksichtigen müssen:

Data Breach Notification

Nach dem neuen Datenschutzrecht besteht eine Verpflichtung des Unternehmens, im Falle einer Verletzung des Schutzes personenbezogener Daten (Data Breach), eine diesbezügliche Meldung bei der zuständigen Aufsichtsbehörde vorzunehmen.

Eine solche Meldung ist nur dann nicht erforderlich, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten des Betroffenen führt.

Die Meldung der Datenschutzverletzung (Data Breach Notification) an die zuständige Datenschutzbehörde muss durch das Unternehmen innerhalb von 72 Stunden erfolgen.
Im Falle einer Datenschutzverletzung mit hohen Risiken für die Privatsphäre müssen zusätzlich zur Meldung an die Aufsichtsbehörde auch die betroffenen Personen informiert werden.

Privacy by design/Privacy by default

Unternehmen sind nach der DS-GVO – wie auch nach bisherigem Recht – zukünftig verpflichtet „angemessene technische und organisatorische Massnahmen“ zum Schutz persönlicher Daten zu treffen. Die Datenschutz-Grundverordnung gibt Unternehmen dazuhin künftig neu auf, den Nachweis zu erbringen, dass die getroffenen Massnahmen konstant überprüft und aktualisiert werden.

Zusätzlich müssen Unternehmen sicherstellen, dass die Bearbeitung von Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist.

Datenschutz-Folgenabschätzung (DPIA)

Das neue Recht sieht vor, dass Unternehmen zukünftig zur Durchführung einer Datenschutz- Folgenabschätzung hinsichtlich geplanter Verarbeitungsvorgänge verpflichtet sind, falls es wahrscheinlich erscheint, dass die Verarbeitung personenbezogener Daten hohe Risiken für die Privatsphäre der betroffenen Person zur Folge hat. Konkret ausgedrückt: Es wird nach dem neuen Recht eine Risikobeurteilung von den Unternehmen eingefordert, in welcher die Auswirkungen eines Datenbearbeitungsvorgangs auf die Privatsphäre des betroffenen Datensubjekts geprüft werden müssen.

Falls das Resultat der Datenschutz-Folgenabschätzung ein hohes Risiko für das Datensubjekt ergibt, muss vor Beginn der Verarbeitung die zuständige Datenschutzbehörde konsultiert werden.

Datenschutzbeauftragter (DPO)

Übt das Unternehmen eine Tätigkeit aus, welche aus datenschutzrechtlicher Sicht einer besonderen Kontrolle bedarf, ist die Bestellung eines Datenschutzbeauftragten obligatorisch. Zudem regelt die DS-GVO, dass jedes Unternehmen einen Datenschutzbeauftragten auch freiwillig bestellen kann.

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt.

Die Rolle des Datenschutzbeauftragten kann auch einem externen Dienstleister übertragen werden.

Kommentare

Dieser Artikel hat einen Kommentar. Wie lautet Ihrer?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

  1. Gundi müller sagt:

    Glauben Sie etwa, dass die SPAM-Mails, die ungewünscht und nicht abbestellbar bei mir eintrudeln, weniger geworden sind.
    Aber in dieser Woche ist dermaßen viel andere Arbeit liegengeblieben. Die „Sind-Sie einverstanden-Mails“ und Vorlagen für die Webseite, was andere Organisationen für notwendig halten, an denen man sich orientieren kann, kamen auch erst am 25. Mai daher.
    Wir starten also einen gemeinsamen Lernprozess.
    Die Anwälte sind mal wieder der Meinung, dass sie das richtige Fach studiert haben.