Die DSGVO für Schweizer Unternehmen

Seit im April 2016 die neue Datenschutzgrundverordnung der EU (DSGVO) verabschiedet wurde, gilt diese nun ab Mai 2018 verbindlich und einheitlich für alle EU Länder. Damit tritt ein strengerer Datenschutz nun EU-weit in Kraft, der die nationalen Gesetze in diesem Bereich ablöst.
Da dieser extraterritorialen Charakter hat, wird er auch Schweizer Unternehmen treffen. Auch ist zu erwarten, dass die Schweiz mit einem vergleichbarem Gesetz ihre bisherigen Regelungen anpassen wird. In diesem Artikel erfahren Sie, ob die DSGVO auch auf Ihr Unternehmen anwendbar ist.

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Was die DSGVO für Schweizer Unternehmen bedeutet

Diese Pflichten kommen auf Schweizer Unternehmen zu

Die neue Datenschutzverordnung der EU sieht eine Reihe neuer Pflichten für die Unternehmen vor.

  • Datenschutzverletzungen müssen an die entsprechende Aufsichtsbehörde gemeldet werden. Ist ein hohes Risiko für eine Persönlichkeitsverletzung gegeben, muss auch die entsprechende Person informiert werden über den Vorfall.
  • Es sieht neue Nachweis- und Dokumentatitionspflichten der Unternehmen vor, unter anderem das Führen eines Verzeichnisses von Verarbeitungstätigkeiten und die Dokumentation von technischen und organisatorischen Maßnahmen.
  • Auch werden im technischen Bereich bestimmte Anpassungen vorgeschrieben, die dem Datenschutz dienen sollen die auch bereits bei den Voreinstellungen eine datenschutzfreundliche Technik verlangen .
  • Im Bereich Big Data sieht die Verordnung eine vorgelagerte Durchführung einer Folgenabschätzung zum Datenschutz vor (DSFA).
  • Die Rechte der Kunden werden weiter gestärkt.
  • Die Datenverarbeitung darf nur noch aufgrund eines Vertrages mit einem externen Datenverarbeiter ausgelagert werden, wenn dieser auch ausreichende Garantien (z. B. Datenschutzsiegel) bereitstellen kann.
  • Schweizer Unternehmen müssen unter Umständen einen EU- Vertreter benennen
  • Die EU Verordnung sieht auch neue Rechte bei der Datenübertragbarkeit vor.
Auch Schweizer Unternehmen müssen ein Verzeichnis von Verarbeitungstätigkeiten erstellen.

Positve Neuregelungen im Datenschutz

Neben diesen deutlichen Verschärfungen zu den Datenschutzbestimmung gibt es jedoch auch einige positive Neuregelungen, die den Datenschutz erleichtern können:

  • In Konzernen kann der Datenschutz erleichtert werden, da für Unternehmensgruppen ein gemeinsamer Beauftragter für den Datenschutz eingesetzt werden kann. Auch können konzernweit einheitliche und verbindliche Datenschutzvorschriften eingesetzt werden.
  • Es ist auch eine private Zertifizierung des Datenschutzes vorgesehen (Prüfzeichen und Siegel für den Datenschutz)
  • Durch die Vereinheitlichung der Gesetze zum Datenschutz auf EU Ebene treten die unterschiedlichen Regelungen der Mitgliedstaaten in den Hintergrund (Vorrang der DSGVO). Dies sorgt für Klarheit der Regelungen EU-weit und die einheitliche Umsetzung wird durch den Euröpäischen Datenschutzausschuss sichergestellt.
  • Auch festgelegt wurde ein Recht auf das „Vergessenwerden“.

In der Gesamtheit der Neuregelungen verschärft die Datenschutzverordnung die zvilrechtliche Haftung deutlich – und sie sieht sehr hohe Strafen für die die Verletzung der Regelungen vor.

Hier können Strafen für Unternehmen mit bis zu 4 % ihres Jahresumsatzes verhängt werden, das Strafmaß für natürliche Personen sieht Geldstrafen von bis zu 20 Mio. Euro vor.

Die Strafen und Bußgelder nach der neuen Datenschutzverordnung der EU

Ein Verstoß gegen die Datenschutzverordnung der EU kann schwerwiegende Folgen haben. Grundsätzliche sind eine Reihe von Sanktionen und Konsequenzen möglich:

  • Hohe Bußgelder
  • Strafrechtliche Konsequenzen
  • Schadenersatz (z. b. einer geschädigten Person gegenüber einer Gesellschaft)
  • Anzeige und Abmahnung von Wettbewerbern
  • hoher Imageverlust für die Unternehmen
  • Arbeitsrechtliche Folgen in Form von Regressansprüchen und außerordentlichen Kündigungen

Die Bußgelder nach DSGVO für Schweizer Unternehmer

Insbesondere die Bußgelder sind bereits bei kleineren Verstößen drastisch. So können bereits in leichteren Fällen eines Verstoßes gegen das Datenschutzgesetz, Geldbußen von bis zu 10 Mio. Euro oder bis zu 2 % des Jahresumsatzes eines Unternehmens fällig werden.

Als leichterer Fall in diesem Sinne gilt z.B. schon ein die Nichtbereitstellung von datenschutzfreundlichen Voreinstellungen. Als schwerer Fall wird z. B. die Zuwiderhandlung gegen die Vorschriften der Datenverarbeitung bewertet. Dies kann dann eine Strafe von bis zu 4 % des Unternehmensumsatzes nach sich ziehen.

Ein Trugschluss wäre, zu glauben. dass Bußgelder in der Schweiz nicht durchsetzbar sind, auf Grund des unten genannten Marktortprinzips ist davon auszugehen, dass die Behörden auch gegen Drittstaaten Bußgelder verhängen können.

Auch die möglichen Abmahnungen durch Wettbewerber können weitreichende Folgen haben. Es ist aber noch nicht geklärt, ob durch Datenschutzverletzungen dabei Fälle von unlauterem Wettbewerb vorliegen und es bleibt abzuwarten, wie der EU- Gerichtshof in solchen Fällen entscheiden wird.

Neben den Geldstrafen und eventuellen Schadenersatzforderungen sehen sich Unternehmen, die gegen die Datenschutzbestimmungen verstoßen auch einem hohen Imageverlust ausgesetzt, der schlimmstenfalls auch zu Umsatzeinbußen führen kann. Verstöße gegen Datenschutzbestimmungen werden in den Medien aufmerksam beobachtet und publiziert.

Die Frage der Haftung

Normalerweise ist das Unternehmen bei Datenschutzverstößen in der Verantwortung und damit auch der Adressat bei Geldstrafen und Schadenersatzansprüchen. Jedoch sind Ansprüche gegen eine natürliche Person hier auch bei Kapitalgesellschaften möglich. Eine Haftung von Geschäftsführern mit ihrem Privatvermögen ist nicht ausgeschlossen. Fehlendes Wissen und Kompetenz sind ebenso wenig entschuldend wie eine Weiterdelegierung der Kontrolle.

Auch können Schadenersatzansprüche vom Unternehmen an seine Mitarbeiter möglich sein. Dies beschränkt sich nicht nur auf Führungskräfte, wird aber von Arbeitnehmerschutzrechten begrenzt. Bei grober Fahrlässigkeit sind Strafen von bis zu 3 Monatsgehältern möglich, eine Vollhaftung wird jedoch nur bei Vorsatz möglich sein.

Bei der Beauftragung externer Datenschutzdienstleister haften diese jedoch vollständig im Falle von Verstößen. Ein Mitwirken der Geschäftsführung wird dann im Einzelfall zu prüfen sein.

Was bedeutet die Anwendung der EU-Datenschutzverrordnung für Schweizer Unternehmen ?

Da die Datenschutzverordnungen eine extraterritoriale Wirkung hat, wird bei der Anwendung auf das Niederlassungsprinzip und das Marktortungsprinzip abgestellt.

Niederlassungsprinzip

Nach dem Niederlassungsprinzip gilt die EU-Verordnung für jede Art von Datenverarbeitung, die innerhalb der EU von einer Niederlassung oder einem externen Auftragsverarbeiter durchgeführt wird. Es wird hier ausschließlich auf den Niederlassungsort der Vertreter abgestellt, wo die Datenverarbeitung tatsächlich stattfindet, spielt nach diesem Prinzip keine Rolle.

Marktortungsprinzip

Nach dem Marktortungsprinzip kann die EU-Verordnung auch auf Unternehmen und Auftragsverarbeiter außerhalb der EU angewendet werden. Dies betrifft dann auch Schweizer Unternehmen.

Dieses extraterritoriale Prinzip umfasst damit jede Art von Datenverarbeitung, die mit dem Angebot von Waren und Dienstleistungen an Kunden aus der EU zusammenhängt. Auch ist die Datenverarbeitung , die z. B. der Beobachtung von Kunden in der EU dient, eingeschlossen.

Beispiele für die Auswirkung der DSGVO auf Schweizer Unternehmen

  • Verantwortlicher in der Schweiz mit einem Auftragsverarbeiter in der EU (z.B. EU Cloud)
  • Provider auf Schweizer Gebiet, der Daten für Kunden in der EU bearbeitet
  • Verantwortlicher auf Schweizer Gebiet, der beabsichtigt, seine Produkte und Dienstleistungen in der EU anzubieten, oder der Profile erstellt von Personen in der EU
  • Ein Schweizer Unternehmen unterhält eine Niederlassung in der EU, dabei ist es unerheblich, ob überhaupt Daten von EU-Bürgern erfasst wird.
  • Wenn überhaupt Daten von einer in der EU lebenden Person verarbeitet werden (z.B. im Online Handel)
Nach DSGVo müssen auch Schweizer Unternehmen geeignete technische Maßnahmen ergreifen.

Maßnahmen für Schweizer Unternehmen zur Anpassung an die EU-Datenschutzverordnung

Grundsätzlich sollte ein Schweizer Unternehmen das Thema EU-Datenschutzverordnung bereits auf der Agenda haben. Da es sich beim Datenschutz um ein Compliance Thema handelt, erfordert dieser eine umfassende Adressierung und auch Dokumentation im Unternehmen.

Was Sie jetzt tun sollten

Auch sollte die Benennung eines internen oder auch externen Datenschutzbeauftragten erfolgen. Durch ihn kann eine Risikoprüfung durchgeführt werden, die Aufschluss darüber gibt, inwieweit das eigene Unternehmen von den Regelungen der europäischen Datenschutzverordnung betroffen sein kann. Wichtig ist dabei insbesondere die Analyse, welche Daten im Unternehmen gesammelt und verarbeitet werden, um EU- Bürgern Waren oder Dienstleitungen zu verkaufen oder ihr Verhalten zu beobachten.

Schweizer Unternehmen sollten davon ausgehen, dass die neuen Standards in der EU-Datenschutzverordnung auch in die Schweizer Gesetzgebung einfließen werden. Die extraterritoriale Wirkung der EU-Datenschutzverordnung wird bei multinationalen Unternehmen grundsätzlich eine Anpassung von Datenschutzmaßnahmen in vielen Drittstaaten erfordern. Eine frühe Beschäftigung mit der Materie ist also auch hier von Vorteil.

Audits und Zertifizierungen zum Datenschutz können auch für Schweizer Unternehmen zu einem Wettbewerbsvorteil werden. Durch die neue EU-Datenschutzverordnung werden neue Zertifizierungsmöglichkeiten gefördert. Nach Schweizer Norm waren bislang nur Zertifizierungen für ihr Unternehmen als Ganzes oder umfassendere Systeme möglich. Hier gibt es nun Möglichkeiten, wie z. B. mit dem ePrivacy-Seal, auch einzelne Webanwendungen oder Couldservices zu zertifizieren. Diese Einzelzertifizierungen basieren auf auf einem Kriterienkatalog der sowohl die Anforderungen der EU-Datenschutzverfassung als auch das Schweizer Datenschutzrecht berücksichtigt.

Konkrete Schritte zur Umsetzung der DSGVO

  1. Prüfen Sie, ob die DSGVO auf Sie anwendbar ist.
  2. Erstellen Sie die notwendigen Dokumentationen.
  3. Prüfen Sie die Bestellung eines Datenschutzbeauftragten oder konsultieren Sie einen Datenschutzberater.
  4. Prüfen Sie Ihre Prozesse auf die Einhaltung der strengen Auflagen des Datenschutzes.
  5. Dokumentieren Sie alle Ihre Bemühungen.
  6. Sensibilisieren Sie Ihre Mitarbeiter.

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Das Schweizer Datenschutzrecht und die Anpassungsnotwendigkeiten an die EU-Datenschutzverordnung

Der Datenschutz wird durch das DSG (Bundesgesetz zum Datenschutz) rechtlich geregelt. Dieses Gesetz adressiert in einem Teil die Bundesverwaltung und in einem anderen Teil die privaten Datenschutzbelange.

Da die Regelungen für die Bundesverwaltung für das Schengen-Abkommen relevant sind, muss die Schweiz hier Anpassungen vornehmen, um den Verpflichtungen aus dem Abkommen gerecht zu werden.

Es wurde nun auf Schweizer Seite beschlossen, eine Revision des Bundesgesetzes für Datenschutz vorzunehmen. Auf EU-Ebene ist nach dem Inkrafttreten des neuen Datenschutzgesetzes die Kommission damit beauftragt, die bestehenden Angemessenheitsbeschlüsse zu prüfen, ob in den jeweiligen Ländern ein EU-konformes Datenschutzniveau eingehalten wird.

Deshalb wird die schweizerische Gesetzgebung bald eine Revision des eigenen Datenschutzgesetzes vorantreiben müssen, um zu vermeiden, dass ihr ggf. der Angemessenheitsbeschluss entzogen wird. Die Schweizer Wirtschaft hätte dabei mit umfangreichen Folgen zu rechnen. So dürfen dann z. B. personenbezogene Daten von EU-Bürgern dürfen dann nur noch zu Schweizer Unternehmen überspielt werden, wenn zusätzliche Schutzklauseln von allen Vertragspartnern akzeptiert werden in den Verträgen, die EU-Regelungen entsprechen. Dies würde einen großen Mehraufwand für die Unternehmen bedeuten.

Quellen:

https://dsgvo-gesetz.de/themen/bussgelder-strafen/

https://www.homburger.ch/de/datenschutz

https://www.admin.ch/opc/de/federal-gazette/2020/7639.pdf

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Über den Autor: Oliver Engel - Datenschutzexperte und Gründer von dsgvo-vorlagen.de

Oliver Engel ist ein erfahrener Datenschutzexperte und der Gründer von dsgvo-vorlagen.de. Als ausgebildeter Datenschutzbeauftragter (IHK) und Datenschutzauditor (TÜV) hat er es sich zur Aufgabe gemacht, Unternehmern praktische Tools für ihre DSGVO-Dokumentation zur Verfügung zu stellen. Seine Vorlagen basieren auf jahrelanger Erfahrung und sind tausendfach im Einsatz erprobt.

Mit seinem Hintergrund als externer Datenschutzbeauftragter, Autor eines Fachbuchs zur DSGVO und Dozent für Digitalisierung versteht Oliver Engel die Herausforderungen, vor denen Unternehmen beim Thema Datenschutz stehen. Sein Ziel ist es, mit benutzerfreundlichen, praxisorientierten Lösungen zu helfen, Dokumentations- und Rechenschaftspflichten effizient zu erfüllen.

Als Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bleibt Oliver Engel stets auf dem neuesten Stand der Entwicklungen im Datenschutzrecht. Seine Expertise hilft Unternehmen, ihren Datenschutz unkompliziert und effektiv umzusetzen.

Weitere Fachbeiträge zum Thema Datenschutz

Schaubild zur Definition von Künstlicher Intelligenz und ihrer Bedeutung für Unternehmen

Künstliche Intelligenz (KI) und DSGVO – Datenschutz beachten

In einer Welt, in der Künstliche Intelligenz (KI) zunehmend Einzug in den Unternehmensalltag hält, stehen Organisationen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig den Datenschutz zu wahren. Dieser Artikel bietet einen umfassenden Überblick über die Schnittstelle von KI und Datenschutz, speziell zugeschnitten auf die Bedürfnisse von Unternehmen, die KI-Anwendungen einsetzen oder einsetzen möchten. ... Weiterlesen
USB Stick Nahaufnahme.

Muster für eine Risikoanalyse nach DSGVO

Bei der Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) dieser, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dann muss aber trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). Dieser Artikel soll zeigen, wie man ... Weiterlesen
Was Selbstständige und Freiberufler nach DSGVO zu beachten haben. Rechte Pflichten und weiteres.

Datenschutz für kleine Unternehmen, Einzelunternehmer und Selbstständige

Die Datenschutz-Grundverordnung stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen. Für kleine Unternehmen bedeutet dies eine zusätzlich Belastung. Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der ... Weiterlesen

DSGVO in 2023 Neuerungen und Änderungen

Die DSGVO in 2023 bringt nur wenige Neuerungen und Änderungen bzgl. DSGVO und Datenschutz allgemein, über die Sie aber trotzdem informiert sein sollten. Dieser Artikel wagt einen Ausblick und fasst die wichtigsten Punkte für 2023 zusammen. InhalteDas neue DSG in der Schweiz tritt ab 1. September 2023 in Kraft.KI-Richtlinie der EUNeuer Rechtsrahmen zur Übermittlung von ... Weiterlesen
Wie ein Webseiten Cehck nach DSGVO gemacht wird.

DSGVO Webseiten Check und Audit inkl. Checkliste

Eine Website nach DSGVO konform zu betreiben ist für Unternehmer, Selbstständige oder gar Privatleute ein unsicheres Unterfangen. Cookies, Drittanbieteranfragen, Kontaktformulare und SSL-Verschlüsselung, dies sind nur einige wenige Stichpunkte, welche bei einem DSGVO Webseiten Check zu beachten sind. Dieser Artikel soll Ihnen zeigen, auf welche Punkte Sie allgemein achten sollten und noch einige spezielle Themen behandeln, ... Weiterlesen

Das große DSGVO Abkürzungsquiz

Hätten Sie es gewusst?

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto