Sofortkontakt zur Kanzlei
Telefon +41 41 417 10 70
 

krfacts Ausgabe April 2018 Findet die EU-Datenschutzgrundverordnung auf Ihr Unternehmen Anwendung?

Am 25. Mai 2018 tritt die Europäische Datenschutzgrundverordnung (EU-DSGVO: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 119/1) in Kraft. Die EU-DSGVO soll sicherstellen, dass die Rechte natürlicher Personen, die sich in der Europäischen Union (EU) befinden, bei der Verarbeitung von personenbezogenen Daten gewahrt werden. Um dieses Ziel zu erreichen, nimmt die EU auch Unternehmen in die Pflicht, welche ihren Sitz ausserhalb der EU haben. Entscheidend für die Anwendbarkeit der EU-DSGVO ist somit nicht nur, wo die Daten bearbeitet werden, sondern auch woher die Daten stammen. Die EU-DSGVO findet daher auf zahlreiche Schweizer Unternehmen Anwendung.

Anwendbarkeit der EU-DSGVO auf Schweizer Unternehmen

Zunächst ist festzuhalten, dass die EU-DSGVO nur die Verarbeitung personenbezogener Daten umfasst. Darunter werden alle Informationen verstanden, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. So fällt z.B. das Abspeichern von Kundendaten in den Anwendungsbereich der EU-DSGVO, sofern es sich dabei um Daten natürlicher Personen handelt. Nicht in den Anwendungsbereich fallen dagegen Daten von Firmenkunden.

Für Schweizer Unternehmen, die personenbezogene Daten bearbeiten, ist die EU-DSGVO zusammengefasst in drei Fällen anwendbar:

1. Das Unternehmen bietet seine Waren oder Dienstleistungen in der EU an (sog. Marktortprinzip). Ob ein Anbieten im Sinne der EU-DSGVO vorliegt, ist von Fall zu Fall zu beurteilen. Entscheidend ist die Absicht des Unternehmens, Kundinnen und Kunden aus dem EU-Raum zu gewinnen. Nicht relevant ist dagegen, ob die Leistung letztlich in der Schweiz erbracht wird.

2. Das Unternehmen beobachtet das Verhalten von Personen in der EU, indem es deren Internetaktivitäten nachvollziehen kann (sog. Verhaltensbeobachtung). Hier geht es unter anderem um die verhaltensbasierte Werbung, die auf die individuellen Interessen einer Person zugeschnitten ist.

3. Das Unternehmen bearbeitet personenbezogene Daten im Auftrag eines Dritten mit Niederlassung in der EU (sog. indirekte Anwendbarkeit). In Zukunft dürfen Unternehmen, die der EU-DSGVO unterliegen, nur noch Daten an Dritte weitergeben, die sich an den Datenschutzstandard der EU halten. Konsequenterweise ist eine Zusammenarbeit zwischen Schweizer Unternehmen und EU-Unternehmen, welche die Bearbeitung personenbezogener Daten mitumfasst, nur noch möglich, wenn das Schweizer Unternehmen den EU-Standard erfüllt.

Pflichten für Unternehmen, die der EU-DSGVO unterstehen

Die EU-DSGVO auferlegt den Unternehmen verschiedene Pflichten. Zunächst hat jedes Unternehmen sicherzustellen, dass es personenbezogene Daten rechtmässigbearbeitet. Nach der Konzeption der EU-DSGVO braucht es für jede Datenbearbeitung einen Rechtfertigungsgrund. Der wichtigste Rechtfertigungsgrund dürfte dabei die Einwilligung der natürlichen Person sein. Bei der Formulierung der Einwilligungserklärung ist darauf zu achten, dass der Zweck der Datenverarbeitung möglichst genau umschrieben wird. Pauschale Einwilligungsklauseln sind nicht mehr gültig. Darüber hinaus haben Unternehmen dem Datenschutz durch technische Massnahmen und interne Abläufe Rechnung zu tragen (Privacy by Design). Zudem gilt der Grundsatz der datenschutzfreundlichen Voreinstellungen (Privacy by Default). Es sollen nur jene Daten gesammelt werden, die zur Erfüllung des Zwecks erforderlich sind.

Weitere Pflichten sind die Informationspflicht gegenüber den natürlichen Personen, die Pflicht, Daten zu löschen oder herauszugeben, wenn dies von der natürlichen Person gewünscht wird, die Pflicht zur Führung eines Datenverarbeitungsverzeichnisses sowie Meldepflichten gegenüber den Behörden und denbetroffenen Personen, wenn es zu einer Datenschutzverletzung kommen sollte. Für die Bearbeitung gewisser Kategorien von Personendaten, die als besonders schützenswert gelten (z.B. Gesundheitsdaten oder Informationen über politische, religiöse oder weltanschauliche Überzeugungen), statuiert die EU-DSGVO zusätzliche Pflichten, wie die Ernennung eines Datenschutzbeauftragten oder die Durchführung einer sog. Datenschutzfolgenabschätzung.

Schliesslich haben Unternehmen, die Waren oder Dienstleistungen in der EU anbieten und regelmässig personenbezogene Daten bearbeiten, einen Vertreter in der EU zu bestellen. Der Vertreter dient als Anlaufstelle für Behörden und natürliche Personen, die von der Datenbearbeitung betroffen sind.

Fazit

Ob ein Schweizer Unternehmen die EU-DSGVO einhalten muss und welche Pflichten daraus resultieren, kann nicht allgemein festgelegt werden, sondern hängt vom Geschäftsmodell, der Art der Datenbearbeitung sowie den bearbeiteten Daten ab. Aufgrund der weitreichenden Kompetenzen der Aufsichtsbehörden, dem Bussenrahmen von bis zu 20 Millionen Euro oder 4% des weltweit erzielten Jahresumsatzes sowie dem Reputationsschaden, der mit einer Datenschutzverletzung einhergeht, lohnt es sich jedoch auch für Schweizer Unternehmen, die Anwendbarkeit der EU-DSGVO genau zuprüfen. Kommt hinzu, dass sich die Schweizer Datenschutzgesetzgebung zurzeit in Revision befindet und davon auszugehen ist, dass vieles aus der EU-DSGVO übernommen wird.

Downloads
Findet die EU-Datenschutzgrundverordnung auf Ihr Unternehmen Anwendung? PDF 169 KB

Beitrag veröffentlicht am
12. April 2018

Dr. iur. Irma Ambauen
Kaufmann Rüedi Rechtsanwälte AG
Rechtsanwältin
Alle Beiträge von Dr. iur. Irma Ambauen

Andrea Meule
Kaufmann Rüedi Rechtsanwälte AG
Partnerin, Rechtsanwältin, Notarin
Alle Beiträge von Andrea Meule

Stichworte in diesem Beitrag
Diesen Beitrag teilen

Weitere Beiträge

Familie / Erbe, Gesundheit / Life Sciences, Unternehmen / M&A / Nachfolge, Compliance / Wirtschaftsstrafrecht
14.12.2023

Gesetzliche Neuerungen 2024

Mit dem Beginn eines jeden neuen Jahres treten zahlreiche neue Gesetze und Verordnungen in Kraft oder werden geändert. Wir haben für Sie die wichtigsten Änderungen für das kommende Jahr zusammengefasst.

Beitrag lesen
International Desk
23.11.2023

175 Jahre Bundesverfassung

Die Bundesverfassung bildet die rechtliche Grundordnung der Schweizerischen Eidgenossenschaft und regelt u.a. die grundlegenden Rechte und Pflichten der Bürger. 2023 feiert die moderne Schweiz ihren 175. Geburtstag.

Beitrag lesen
Immobilien Bauen
Bau- und Immobilienrecht
12.10.2023

Wohnbauten: In die Ruhe investieren

Das Ruhebedürfnis gewinnt an Bedeutung. Gerade bei Wohneigentum sollte dem Schallschutz daher Beachtung geschenkt werden. Es lohnt sich daher, dies schon vor dem Kauf zu beachten.

Beitrag lesen
Alle zeigen

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Ausserdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben.

Details in unserer Datenschutzerklärung   

Einstellungen
Essentielle Dienste und Cookies

Technisch notwendige Cookies (essentielle Cookies) ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Homepage unentbehrlich. Sie können ohne Einwilligung gesetzt werden und daher nicht abgewählt werden.

DIRO Multisite Cookie

In diesem Cookie werden die von Ihnen selbst vorgenommenen Einstellungen, wie z.B. Ihre bevorzugte Sprache für die Nutzung des Angebots gespeichert.

Google reCAPTCHA

Wir verwenden auf unserer Website das Cookie NID des Computerprogrammes reCAPTCHA, das von der Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) betrieben wird. Sinn und Zweck ist es, zu unterscheiden, ob eine Handlung im Internet von einem Menschen oder einem Computerprogramm bzw. Bot vorgenommen wird. In diesem Zusammenhang wird beim Besuch der Website Ihr Verhalten (IP-Adresse, Verweildauer, Mausbewegungen etc.) erfasst, pseudonomysiert und an Google weitergeleitet. Die Speicherdauer beträgt 6 Monate. Die Speicherung erfolgt auf Servern in den USA. Näheres über die weitere Verwendung der pseudonymisierten Daten durch Google entnehmen Sie bitte den unter https://policies.google.com/privacy?hl=de abrufbaren Informationen.

Statistik und Nutzungsmessung

Statistik-Cookies dienen dem Website-Betreiber zu verstehen, wie Nutzer mit der Website interagieren, indem Informationen anonym gesammelt und gemeldet werden.

Nutzungsmessung mit Matomo

Wir verwenden Matomo zur datenschutzfreundlichen Webanalyse. Die anonymisierten Daten liegen auf unseren Servern und werden nicht an Dritte weitergegeben.

Externe Dienste

Inhalte von Videoplattformen, Social-Media-Plattformen oder anderen externen Diensten sind standardmässig blockiert. Wenn Cookies von externen Medien akzeptiert werden, bedarf der Zugriff auf diese Inhalte keiner einzelnen manuellen Zustimmung mehr.

Geographische Karten von OpenStreetMaps

OpenStreetMaps dient der Darstellung von Adressen auf einer Karte, die in die Website eingebunden wird. Dabei wird Ihre IP-Adresse an den fremden Server von OpenStreetMaps übermittelt, wodurch dieser erfährt, dass Sie unsere Seite besucht haben.

Details in unserer Datenschutzerklärung