Am 25. Mai 2018 trat die Datenschutzgrundverordnung (DSGVO) in der gesamten Europäischen Union in Kraft und vereinheitlichte die Regelung zum Schutz von personenbezogenen Daten . Aufgrund ihrer extraterritorialen Anwendung gilt sie unter Umständen ebenfalls für viele Schweizer Unternehmen.

Die DSGVO gilt für ein Schweizer Unternehmen, wenn dieses eine Niederlassung in der Europäischen Union hat, unabhängig davon, ob eine konkrete Verarbeitung innerhalb der Union stattfindet. Des Weiteren greift die DSGVO für ein Schweizer Unternehmen, wenn ein Auftragsverarbeiter in der EU eingesetzt wird, personenbezogene Daten im Auftrag eines europäischen Unternehmens oder Daten einer Person, die in der EU niedergelassen ist, verarbeitet werden.

Betroffene Schweizer Unternehmen sind demnach ab sofort nicht nur der DSGVO unterworfen, sondern der Schweiz allgemein könnte die EU-Kommission theoretisch ein gleichwertiges Datenschutzniveau absprechen und den Angemessenheitsbeschluss aufheben. Der Angemessenheitsbeschluss ist die Voraussetzung dafür, dass personenbezogene Daten überhaupt aus der EU in die Schweiz übermittelt werden dürfen.

Nach Inkrafttreten der DSGVO ist die EU-Kommission verpflichtet, alle zwölf Angemessenheitsbeschlüsse dahingehend zu prüfen, ob den Ländern ein der Europäischen Union vergleichbares Datenschutzniveau bescheinigt werden kann. In der Schweiz ist der Datenschutz im „Bundesgesetz über den Datenschutz“ (DSG) geregelt, welches in einen allgemeinen Teil, einen Teil für die Bundesverwaltung und einen für Private aufgeteilt ist. Um ihren Verpflichtungen aus dem Schengen-Abkommen nachzukommen, muss die Schweiz Anpassungen für den Teil der Bundesverwaltung vornehmen, welcher Schengen-relevant ist. Angesichts der bevorstehenden DSGVO will die Schweiz das eigene Datenschutzniveau an das der Europäischen Union anpassen, wobei viele Parallelen zwischen der DSGVO und dem DSG-Entwurf vorhanden sind.

Welche Änderungen gibt es also für EU- und Schweizer Unternehmen durch die DSGVO? Zunächst muss das Unternehmen einen Datenschutzbeauftragten engagieren, sofern die Kerntätigkeit des Unternehmens die Datenverarbeitung ist. Vom Datenschutzbeauftragten ist anschließend ein Verfahrensverzeichnis zu erstellen, anhand dessen ersichtlich sein soll, wer aus welchem Grund welche Daten erhebt, wie diese verarbeitet und wie lange gespeichert werden. Des Weiteren gehört es zu den Pflichten des Datenschutzbeauftragen, Mitarbeiter zu schulen und gegebenenfalls einen dokumentierten Nachweis über die Schulung zu erbringen.

Nach Inkrafttreten der DSGVO muss für jede Datenverarbeitung eine Erlaubnis desjenigen vorliegen, von dem die Daten verarbeitet werden. Es gilt dabei des Weiteren zu unterscheiden, ob die Daten eines Kunden für die Vertragsabwicklung oder zu Werbezwecken verwendet werden. Der DSGVO zufolge ist die erste Tätigkeit zulässig, die zweite jedoch bedarf einer expliziten Einwilligung des Kunden, wobei die Einwilligung auf der freien und informierten Entscheidung des jeweiligen Kunden begründet sein muss. Darüber hinaus muss die Zustimmung durch eindeutige Erklärung erfolgen und widerruflich sein. Die Rechtsgrundlagen müssen dem Kunden bekannt sein und in die Datenkarte aufgenommen werden. Auch der Vorgang ist zu dokumentieren und bei Bedarf zu belegen. Zudem müssen Unternehmen prüfen, ob Daten außerhalb des Europäischen Wirtschaftsraums verarbeitet werden und in diesem Fall die rechtliche Absicherung eines solchen Datentransfers gewährleisten.

Neben dem Zweck muss das Unternehmen ebenfalls den Verantwortlichen für die Datenverarbeitung nennen. Unternehmen außerhalb der EU müssen einen Vertreter in der EU benennen. Auch muss der Ansprechpartner für Rückfragen ersichtlich sein, beispielsweise die Personalabteilung.

Darüber hinaus sind Unternehmen nach der DSGVO verpflichtet, den Kunden zu informieren, welche Kategorien von Daten erhoben werden. Neben dem Widerrufrecht haben Kunden das Recht zur Beschwerde bei einer Datenschutzbehörde und Datenportabilität zu einem anderen Anbieter. Es ist die Pflicht jedes Unternehmens, seine Kunden auf dieses und andere Rechte hinzuweisen.

Checkliste für die DSGVO Das gesamte Formularwesen anpassen: Die Unternehmen müssen dafür sorgen, dass die Personen, deren Daten verarbeitet werden, stets über die Verarbeitung bei Erhebung informiert werden. Die Sprache sollte dabei einfach und verständlich sein. Ggf. einen Datenschutzbeauftragten bestellen: Dies ist notwendig, wenn im Unternehmen mindestens zehn Personen personenbezogene Daten verarbeiten oder wenn es sich bei dem Unternehmen um Adresshändler oder Auskunfteien handelt. Ein Verarbeitungsverzeichnis erstellen: In dieses Verzeichnis müssen alle Vorgänge der Datenerhebung, Datenspeicherung und Datenverarbeitung aufgenommen werden. Die Prozesse müssen darüber hinaus dokumentiert und nachweisbar sein. Bei Datenpannen die Melde- und Benachrichtigungspflicht erfüllen: Wenn eine Verletzung vorliegt, muss das Unternehmen innerhalb von 72 Stunden die zuständige Aufsichtsbehörde darüber informieren. Des Weiteren muss der Verantwortliche in Kenntnis gesetzt werden, damit die erforderlichen Schritte eingeleitet werden können. Mitarbeiter schulen und sensibilisieren: Dabei sind sowohl interne als auch externe Mitarbeiter betroffen. Durch eine interne Datenschutz-Richtlinie und Verpflichtungserklärungen können Sensibilisierungen ergänzt werden. 6. Prozesse zur Sicherstellung der Betroffenenrechte implementieren und dokumentieren: Es gehört zu den wesentlichen Pflichten der Unternehmen, die Betroffenenrechte sicherzustellen. Diese Rechte sind Recht auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch etc.

