EU-DSGVO: Sind Schweizer Unternehmen bereit?
Wer ist nicht betroffen?
Keine Anwendung findet die DSGVO, wenn ein Schweizer Unternehmen Stellenangebote an Personen in der EU macht, beispielsweise über eine Internetbewerbungsplattform, oder, wenn ein Schweizer Unternehmen aus der EU stammende Personen (Grenzgänger) beschäftigt. Die Beauftragung eines in der EU ansässigen Unternehmens mit der Bearbeitung von Personendaten (sogenannte Auftragsverarbeitung), etwa im Rahmen der Nutzung von Cloud-Service-Angeboten von Providern in der EU, ist ebenfalls kein Anknüpfungskriterium. In dieser Situation untersteht nur der Auftragsverarbeiter in der EU der DSGVO, nicht aber das auftraggebende Schweizer Unternehmen.
Im umgekehrten Fall – wenn ein Auftraggeber in der EU einen Auftragsverarbeiter in der Schweiz hat – gilt für Schweizer Unternehmen das europäische Datenschutzrecht nicht. Der Auftraggeber, welcher selbst der DSGVO untersteht, hat jedoch mit dem Auftragsverarbeiter in der Schweiz einen Vertrag abzuschliessen und darin die erforderlichen Regelungen zu vereinbaren, die es dem Auftraggeber erlauben, mit Bezug auf die ausgelagerte Datenverarbeitung, das EU-Datenschutzrecht einzuhalten. Die DSGVO wird somit für Auftragsverarbeiter in der Schweiz, die EU-Kunden haben, indirekt relevant.
Hohe Bussen bei fehlverhalten
Ist ein Schweizer Unternehmen der DSGVO unterstellt, so ist dem Datenschutz hohe Priorität einzuräumen. Mit Rücksicht auf die massiven Sanktionen, die bei einer Verletzung der DSGVO gegen ein Unternehmen verhängt werden können (Bussen bis 20 Millionen Euro oder, falls höher, bis zu 4 % des im vorangegangenen Geschäftsjahr weltweit erzielten Umsatzes), ist der Datenschutz in Geschäftsleitungen und Verwaltungsräten zwingend zu thematisieren.
Umfangreiche Vorbereitungen sind erforderlich, denn die DSGVO verlangt nicht nur die Einhaltung bestimmter Bearbeitungsgrundsätze und die Wahrung der Rechte der betroffenen Personen, sondern sieht auch detaillierte Dokumentations-, Informations- und Meldepflichten vor. Sie verlangt Massnahmen zur Gewährleistung der Datensicherheit, die Durchführung von Datenschutz-Folgenabschätzungen bei der Einführung neuer IT-Applikationen sowie die Beachtung des Grundsatzes des «Privacy by Design», das heisst, die Umsetzung technischer und organisatorischer Massnahmen, die geeignet sind, bei Auswahl und Einsatz von für die Datenverarbeitung eingesetzter Mittel die Einhaltung der Datenschutzgrundsätze sicherzustellen. Weitere Pflichten betreffen die Ernennung eines Datenschutzbeauftragten, wenn bestimmte Voraussetzungen erfüllt sind (z. B. bei umfangreicher Bearbeitung besonders schützenswerter Personendaten) oder die Pflicht, mit Auftragsverarbeitern Verträge abzuschliessen, welche die Mindestanforderungen erfüllen.