Autor | Quelle
Severin Renold
admin.ch
Severin Renold
admin.ch
DSGVO
Mit der am 14.4.2016 vom Europäischen Parlament beschlossenen Datenschutz-Grundverordnung werden die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen EU-weit vereinheitlicht.
Die Bestimmungen der DSGVO in der Fassung des Datenschutz-Anpassungsgesetzes 2018 und des Datenschutz-Deregulierungs-Gesetzes 2018 gelten seit 25.5.2018. Alle Datenverarbeitungen müssen dieser Rechtslage entsprechen. Jedes Unternehmen, das in irgendeiner Weise personenbezogene Daten verarbeitet (z.B. eine Kundendatei führt, Rechnungen ausstellt, Lieferantendaten speichert), ist betroffen. Damit kommen wesentliche Neuerungen auf Unternehmen zu. Verstösse können mit bis zu 4 % des weltweiten Jahresumsatzes sanktioniert werden, was Grund genug ist, die Thematik ernst zu nehmen.
Jeder, der innerhalb der EU Geschäfte macht, ist verpflichtet, die DSGVO einzuhalten. Sie gilt also auch für Unternehmen aus Nicht-EU-Staaten, die in der EU aktiv sind und Daten von EU-Bürgern verarbeiten. Konkret: Auch Schweizer Unternehmer mit der vorwiegenden Zielgruppe aus dem Inland sind betroffen, da oft nur schwer nachvollziehbar ist, was die Kunden wirklich für eine Herkunft haben oder über welche weiteren Drittanbieter die Kundendaten geflossen und zugänglich gemacht worden sind. Genau dasselbe gilt für Ihre Mitarbeitenden, Lieferanten oder sonstige Kooperationspartner mit Bezug zum EU-Raum.
Was heisst es konkret?
Im Endeffekt werden durch diese verabschiedeten Gesetzestexte den EU-Bürgern mehr Rechte eingeräumt, was Sie dazu verpflichtet Massnahmen zu ergreifen bezüglich Transparenz, Zugänglichkeit, Nachverfolgbarkeit, Nutzung, Verarbeitung und Löschung jener Daten. Sie müssen bei Begehren unverzüglich Auskunft geben können, wo Sie Ihre Daten speichern, wie Sie diese schützen und dass Sie die Daten quasi per Knopfdruck unwiderruflich löschen können. Diese Informationspflichten gelten im Übrigen auch dann, wenn ursprünglich keine Einverständniserklärung notwendig war oder die Daten über eine unabhängige Drittinstanz eingeholt wurden.
Für Ihren Onlineauftritt bedeutet dies, dass der Nutzer dem Prozess der Datenverarbeitung zustimmen muss, in schriftlicher, elektronischer, mündlicher Form oder auch in konkludenter Form, also durch stillschweigende Willenserklärung. Es reicht nicht aus, dem Nutzer im Internet eine Einwilligungserklärung für die Verarbeitung seiner Daten zu präsentieren, die so voreingestellt ist, dass der Nutzer selbst aktiv werden muss, um dem zu widersprechen. Denn auch wenn kein Widerspruch erfolgt, gilt dies nicht als Einwilligung. Der Verantwortliche muss lückenlos nachweisen können, dass die betroffene Person der Verarbeitung Ihrer personenbezogenen Daten zugestimmt hat.
Es lohnt sich also durchaus Kontakte lückenlos zu dokumentieren und an zentraler Stelle einzupflegen, Stichwort Kundendaten und CRM. Kontakt-Regeln zentral zu koordinieren und Opt-ins und Opt-outs proaktiv einzufordern. Natürlich geht dies zu Lasten einiger Leads, die über die besonderen Sicherheitsmassnahmen abgeschreckt werden oder sich zuvor noch nicht bewusst waren über die Verarbeitungsmechanismen von Datensammlern, dafür stehen Sie anschliessend auf der sicheren und unantastbaren Seite.
Verletzung der DSGVO
Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, so muss diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen siehe Artikel 33 DSGVO. Gemäss Artikel 34 DSGVO muss auch der Betroffene über die Verletzung informiert werden, wenn voraussichtlich ein hohes Risiko für dessen persönliche Rechte und Freiheiten besteht.
Handlungsbedarf für Sie