EU-DSGVO: Sind Schweizer Unternehmen bereit?
Die wichtigsten Neuerungen
Am 25. Mai 2018 geht die zweijährige Übergangsfrist zum Inkrafttreten der EU-DSGVO zu Ende. Das sind die 10 wichtigsten neuen Anforderungen, die damit an betroffene Unternehmen gestellt werden.
Datenschutzbeauftragter
Wenn Firmen regelmässig oder systematisch betroffene Personen beobachten oder sensitive Daten verarbeiten, sind sie dazu verpflichtet, einen betrieblichen Datenschutzbeauftragten zu ernennen. Dabei kann es sich um einen Mitarbeiter oder einen externen Dienstleister handeln. Für eine Unternehmensgruppe kann ein gemeinsamer Datenschutzbeauftragter bestimmt werden.
Meldepflicht
Datenschutzverletzungen – etwa durch Diebstahl, Verlust oder Offenbarung personenbezogener Daten an Unbefugte – sind innert 72 Stunden an die zuständige Behörde zu melden. Werden dadurch die persönlichen Freiheiten und Rechte Betroffener gefährdet, müssen auch sie benachrichtigt werden. Setzen Datenschutzverstösse betroffene Personen voraussichtlich keinem Risiko aus, ist hingegen keine Meldung nötig.
Recht auf Vergessenwerden
Nutzern wird die Durchsetzung des Rechts erleichtert, Informationen wieder löschen zu lassen.
Aufzeichnungspflicht
Unternehmen müssen ihre Datenverarbeitungsaktivitäten dokumentieren. Unter anderem Kontaktdaten der für die Verarbeitung verantwortlichen Personen; Zwecke der Datenbearbeitung; Kategorien der verarbeiteten Daten und der Empfänger, an die Daten weitergegeben werden; Datenübermittlungen in EU-Drittländer; Fristen für die Löschung der Daten; technische und organisatorische Schutzmassnahmen. Wer Daten im Auftrag verarbeitet, muss dies ähnlich aufzeichnen. Firmen mit weniger als 250 Mitarbeitern sind von dieser Pflicht befreit, solange ihre Tätigkeit kein Risiko für die Betroffenen darstellt und keine besonders schützenswerten Daten involviert sind.
Privacy by Design
Produkte und Services sind so zu erstellen, dass diese standardmässig nur diejenigen personenbezogenen Daten verarbeiten, die für den jeweiligen Zweck erforderlich sind.
Datenschutz-Folgenabschätzung
Datenverarbeitungsprozesse, die hohe Risiken für die Rechte und Freiheiten der Betroffenen beinhalten, bedürfen einer vorgängigen firmeninternen Prüfung, insbesondere bei der Verwendung neuer Technologien.
Portabilität
Firmen müssen Nutzern die Möglichkeit bieten, Daten von einem Anbieter zum nächsten mitzunehmen.
Jugendschutz
Kinder unter 16 Jahren dürfen Online-Dienste nur mit Zustimmung der Eltern nutzen. Den EU-Staaten steht es jedoch frei, tiefere Grenzen festzulegen. Das absolute Mindestalter liegt allerdings bei 13 Jahren.
One-Stop-Shop
Betroffene sollen sich künftig in ihrer Sprache an die Behörde in ihrem Heimatstaat wenden können, auch wenn es um Datenschutzprobleme in einem anderen Mitgliedsstaat geht.
Strafmass
Je nach Unternehmensgrösse droht bei einem Verstoss gegen die Datenschutzregeln nach neuem Gesetz eine Geldstrafe von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes.