Seit dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (EU-DSGVO) in der EU. Diese ist in der Schweiz nicht direkt anwendbar, trotzdem sind zahlreiche Schweizer Unternehmen von ihrem Anwendungsbereich betroffen.
Die EU-DSGVO gilt in folgenden Fällen:
– Die Unternehmung bietet betroffenen Personen in der EU Waren oder Dienstleistungen an und bearbeitet deren Personendaten
– Es wird das Verhalten von Personen in der EU beobachtet (Webtracking)
– Die Unternehmung bearbeitet Personendaten im Auftrag eines Unternehmens in der EU (Auftragsdatenbearbeitung)
– die Datenbearbeitung wird an ein Unternehmen in der EU ausgelagert
– es wird vertraglich die Anwendung des Rechts eines EU-Mitgliedstaates vereinbart.
Die Bearbeitung von Personendaten ist neu nur noch zulässig, wenn der Betroffene in die fragliche Datenbearbeitung eingewilligt hat oder einer der anderen gesetzlich vorgesehenen Tatbestände vorliegt. An die gültige Einwilligung des Betroffenen werden hohe Anforderungen gestellt. Die Zustimmung muss freiwillig und unmissverständlich erfolgen. Eine bloss stillschweigende Zustimmung genügt demgegenüber nicht mehr. Sie kann ausserdem jederzeit widerrufen werden.
Schweizer Unternehmungen sollten sobald als möglich klären, ob sie von der EU-DSGVO betroffen sind und diesbezüglich Handlungsbedarf besteht. Gegebenenfalls sollten die Datenschutzprozesse und –massnahmen überprüft und angepasst werden.