Macht die DSGVO alles komplizierter? Was ist die DSGVO überhaupt und betrifft mich diese als Unternehmer in der Schweiz? Wir versuchen Licht ins Dunkle zu bringen und erklären warauf Sie achten müssen.
Die DSGVO ist nichts anderes als eine DatenSchutzGrundVerOrdung (DSGVO), sie bestimmt neu den Datenschutz in der ganzen EU. Dadurch wird eine Vereinheitlichung der personenbezogenen Daten bei deren Verarbeitung erlangt. Diese Datenschutzgrundverordnung ist für sämtliche Mitgliedstaaten der EU seit dem 25. Mai 2018 bindend. Die Idee hinter der DSGVO ist es, die Rechte von EU-Bürgern im Hinblick auf die Verwendung ihrer Daten zu stärken, zudem sollten Unternehmen bewusster mit personenbezogenen Daten umgehen und ein allfälliger Missbrauch soll verhindert werden.
Ich habe ein Schweizer Unternehmen, gilt für mich auch die DSGVO der EU?
Den Vorgaben der DSGVO sind auch Unternehmen aus der Schweiz unterstellt, welche Waren oder Dienstleistungen an Kunden aus der EU anbieten und in diesem Zusammenhang personenbezogene Daten speichern und bearbeiten.
Beispiel: Johann Küng hat einen kleinen Online-Shop und verkauft Produkte nach Deutschland. Die Kunden, welche seine Seite besuchen, kommen meist von Google. Zudem speichert er gewisse Daten bei sich, um die Kunden noch besser bedienen zu können. Für Johann Küng gilt somit die DSGVO der EU, er muss sich daran halten.
Anwendungsbereiche der DSGVO
Die DSGVO lässt sich auf zwei Bereiche reduzieren, den sachlichen und den räumlichen Anwendungsbereich.
sachlicher Anwendungsbereich
Art. 2 § 1 DSGVO: „Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“.
Kurz zusammengefasst bedeutet dies, sobald Daten eines Besuchers der Webseite gespeichert werden, greift die DSGVO. Wichtig in diesem Zusammenhang ist zu wissen, dass es sich nur um für geschäftliche Zwecke gespeicherte Daten handelt.
räumliche Anwendungsbereich
Art. 3 DSGVO behandelt den räumlichen Anwendungsbereich. Sobald ein Auftraggeber oder Auftragnehmer den Sitz in der EU hat oder es sich um Geschäfte mit oder Beobachtungen von Personen in der EU handelt, so greift die DSGVO. Es muss sich dabei nicht um einen EU-Bürger handeln und diese Person muss auch keinen Wohnsitz in der EU haben.
Mit „Beobachten“ ist das Tracking und Targeting im Online Marketing gemeint.
Beispiel: Johann Küng ist Schweizer und wohnt in Zürich. Aktuell ist er in Konstanz am einkaufen und erholt sich dort in einem gemütlichen Restaurant. Er bestellt sich in einem Schweizer online-Shop Schuhe und lässt diese gleich nach Zürich liefern. Die Waren überschreiten somit nie die Schweizer Grenzen. Der Schweizer online Shop muss sich aber trotzdem an die DSGVO der EU halten aufgrund des räumlichen Anwendungsbereiches.
Es stellt sich jetzt die Frage, was ist mit EU Bürgern, die in der Schweiz arbeiten?
Die DSGVO gilt für sämtliche Personen, von welchen Daten gespeichert oder die beobachtet werden. Da Mitarbeiter aus der EU für die Arbeit mit Schweizer Betrieben in die Schweiz kommen müssen, würde die DSGVO erst dann gelten, wenn zum Beispiel eine «Beobachtung» über elektronische Geräte erfolgt. Dabei müsste sich der Mitarbeiter zudem auch noch in der EU aufhalten.
Welche Rechte habe ich somit als Person?
Sobald Daten gespeichert werden von Personen, welche sich im EU-Raum aufhalten, greift ein grosser Katalog an Rechten, die diese Menschen nun haben. Diese Personen haben nun das Recht auf Löschung, Berichtigung, Information und Widerspruch.
Im Klartext bedeutet dies, dass die Personen nun das Recht darauf haben zu wissen, ob Daten von Ihnen gespeichert werden. Zudem müssen diese Daten jederzeit gelöscht oder berichtigt werden können. Weiter kann ich als Kunde die Zusage zur Datenspeicherung widerrufen.
Welche Bereiche eines Unternehmens betrifft diese neue Datenschutzbestimmung?
Es betrifft eigentlich fast alle Prozesse im Bereich Verkauf und Marketing. Je nach Situation eines Unternehmens und deren Geschäftsprozesse kann es auch die Personalabteilung betreffen.
Einige Beispiele:
Im Direktmarketing:
Für Newsletter muss das sogenannte Opt-in Verfahren angewendet werden, d.h., dass der Empfänger eines Newsletters diese ausdrücklich verlangt. Bei online erhobenen Formulardaten ist ebenfalls eine ausdrückliche Einwilligung nötig, damit die Daten gespeichert werden dürfen.
An Events:
Bilder und Videos an öffentlichen Veranstaltungen in der EU sind hier das Thema. Eine Einwilligung der fotografierten Personen war bisher schon Pflicht. Wurde aber aus praktischen Gründen selten bis nie eingeholt. Mit der neuen DSGVO ändert sich hier nichts Wesentliches. Es ist aber empfehlenswert das Unternehmen an öffentlichen Veranstaltungen bereits bei der Anmeldung informieren, dass Bilder und Videos gemacht werden und wo diese dann veröffentlich werden.
Im Web:
Ein Web-Shop bzw. eine Webseite muss in der heutigne Zeit mittels SSL verschlüsselt sein, damit dieser als sicher gilt. Ein Impressum ist in der Schweiz schon seit dem 01. April 2012 Pflicht, wird aber mit der DSGVO noch wichtiger. Neu müssen auch die Betreiber der Webseite mit Namen und Kontaktdaten ersichtlich sein. In der Datenschutzerklärung muss deklariert werden, welche Tools verwendet werden, um online Daten zu sammeln. Zudem muss der Besucher der Webseite über die Verwendung von Cookies informiert werden.
Ein wichtiger und entscheidender Punkt in der Datenschutzverordnung für Webseiten von Schweizer Unternehmen ist Folgender: Produkte und Dienstleistungen, welche nicht offensichtlich in der EU angeboten werden, unterliegen nicht der DSGVO. Die DSGVO schreibt in der Erwägung 23 folgendes: «Die blosse Zugänglichkeit der Website des Verantwortlichen, des Auftragsverarbeiters oder eines Vermittlers in der Union, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Drittland, in dem der Verantwortliche niedergelassen ist, allgemein gebräuchlich ist, [ist] hierfür [aber] kein ausreichender Anhaltspunkt.»
Was geschieht, wenn ich gegen die DSGVO verstosse?
Die Verordnung sieht eine ganze Reihe von Strafen vor (Art. 58 § 2 RGPD). Grundsätzlich werden Unternehmen bei den ersten Verstössen gemahnt oder erhalten eine Verwarnung. Als letztes Mittel kann eine Geldbusse von bis zu EUR 20 Millionen oder von 4 Prozent des weltweiten Umsatzes ausgesprochen werden. Zurzeit gibt es abernoch keine rechtskräftigen Urteile.
Wollen Sie ein Unternehmen gründen? Unser Team ist bereits über 15 Jahre im Bereich Unternehmensgründungen unterwegs.
Wir beraten Sie persönlich und unterstützen Sie beim administrativen Prozess Ihrer Gründung. Erfassen Sie jetzt Ihre Gründung und profitieren Sie von unseren unschlagbaren Preisen. Oder vereinbaren Sie ein unverbindliches Beratungsgespräch.