EU-Datenschutzverordnung gilt auch in der Schweiz

Die EU-Regulierung welche am 25. Mai 2018 im EU-Raum in Kraft tritt, tangiert auch Schweizer Unternehmen. Im EU-Raum drohen drakonische Strafen, welche auch durch Anwälte angemahnt werden können und Schweizer Unternehmen betreffen.

Zwar sind nicht alle Unternehmungen davon sofort betroffen, doch wurde im November 2017 der neue Datenschutzgesetzentwurf (DSG) von Frau Sommaruga vorgestellt, welches sich an das EU-Recht fast nahtlos angleichen soll. Leider bleibt es noch beim Entwurf und enthält im Gegensatz zu Deutschland und Österreich noch Lücken. Ein Beispiel ist hier das Recht auf Datenübertragung.

Das Ziel wäre die Stärkung des Wirtschaftsstandorts Schweiz.  Die Angleichung und den EU-Raum wird also auch bald in der Schweiz kommen, falls sie vom Parlament verabschiedet wird. EU-Datenschutz betrifft wegen dem Schengen-Abkommen auch die Schweiz.

Was bedeutet heute schon die Einführung der Datenschutz Grundverordnung (DSGVO) für die Schweizer Unternehmungen?

Schon jetzt betroffen sind Schweizer Unternehmen,  welche in die EU Produkte verkaufen. Nach dem Marktortprinzip ist erheblich, wohin die Ware geliefert wird. Dabei gibt es keine Unterscheidung zwischen natürlichen und juristischen Personen.  Von der großflächigen Auslegung macht die DSGVO also nicht an der Schweizer Grenze halt.

Wer zukünftig in die EU liefern will, muss sich an Europäisches Recht halten.

Die bestehende  Datenschutzverordnung wird zum 25. Mai 2018 durch die „BDSG-neu2 ergänzt, und damit endet auch die zweijährige Karenzfrist. Ab diesem Datum ist ohne Ausnahme mit hohen Strafen von 4 Prozent des Jahres Umsatzes bis zu 20 Millionen Euro zu rechnen. Neben dem Unternehmen wird aber auch der Verantwortliche oder das grob fahrlässige Verschulden des Mitarbeiters bestraft.

Theoretisch könnte sich daraus ein neues Geschäftsmodell entwickeln und Anwälte könnten zum Beispiel fehlerhaft ausgewiesene Webseiten abmahnen. Schon jetzt gibt es in Deutschland darauf spezialisierte Anwaltskanzleien, welche mit dem Filesharing Modell kräftig abkassieren und sich mit diesem fragwürdigen Geschäftsmodell eine goldene Nase verdienen.

Dabei bietet nicht nur die eigene Webseite einen Hinweis für unzureichenden Schutz von personenbezogenen Daten im EU-Raum. Selbst bestehende Verträge, welche mit Person bezogenen Daten operieren, sind davon betroffen. Dies gilt ebenso für Hinweise, welche auf Personen identifizierbar machen (z.B. Telefon- und Autonummern).

Prozessbeschreibung der Auftragsverwaltung (AV) ist Pflicht!

Falls ein Schweizer Unternehmen mit Daten einer in der EU ansässigen personenbezogenen Daten operiert, ist der EU-Auftragsgeber verpflicht, für die externe Verarbeitung dieser Daten Rechenschaft abzuliefern. Er verlangt deshalb eine Auftragsverarbeitungsbeschreibung, welche aufzweigt, wie personenbezogene Daten, bearbeitet und geschützt werden.

Hierfür muss das Schweizer Unternehmen auf Anfrage in einer kurz bemessenen Frist von 14 Tagen Auskunft über die Personen bezogenen Daten Auskunft geben. Dies betrifft, die Auftragsbearbeitung, die Speicherung, Sicherung der Daten, die Archivierung, das Löschkonzept, die Übermittlung an Drittstaaten, und so weiter.

Zusätzlich könnte die Einführung des neuen Datenschutzgesetzes (DSG) in der Schweiz auch noch andere Sparten betreffen. Je nach Interpretation des Gesetzesentwurfs, könnte dabei auch noch die Hotelbranche belangt werden.

Internetbürokratie zum erhöhten Preis?

Viele Verantwortliche von Schweizer Unternehmen sind über die Einführung der Datenschutz Grundverordnung (DSVGO) nicht  erfreut und sehen die Verordnung der Europäischen Union als Regulierungsmoloch. Zudem sehen Wirtschaftsverbände wie die Economiesuisse die Cybersicherheit als Sache bei den Unternehmen und nicht als Aufgabe des Staates.

Doch genau hier birgt sich für den Privaten auch eine Chance. So soll das Internet auch vergessen können und Privatpersonen können auch Löschung eigener Daten beantragen, und somit die Kontrolle über eigene Datensätze bestimmen.

Fazit der EU-DSGVO für die Schweizer Unternehmen

Schon heute ist eine Prozessbeschreibung der personenbezogenen Daten für Schweizer Unternehmungen sinnvoll. Ein schärferes Datenschutzgesetz wird es in der Schweiz nicht geben, als im EU-Raum. Wer sich an die Datenschutz Grundverordnung in Deutschland hält, ist auch in der Schweiz gut beraten.

EU-Datenschutz betrifft auch die Schweiz, auch schon vorausschauend.

Gewinner werden künftig diejenigen Unternehmungen sein, welche heute schon Verantwortlichkeiten und Beschreibungen im Datenschutz aufgezeigen. Wer eine Beschreibung genauer Prozesse bezüglich personenbezogenen Daten schon erstellt hat, hat die Auskunftspflicht gegenüber Unternehmen in EU-Staaten schon heute auf ein Minimum reduziert.

Für weitere Auskünfte stehe ich ihnen gerne zur Verfügung.

Herzlich,

Martin Bertschi
DACH-Datenschutzverständiger

Externer Datenschutzbeauftragter

Martin Bertschi
Datenschutzbeauftragter,
(DSGVO, GDPR)
dipl. IT-Projektleiter