Am 25. Mai 2018 läuft die Umsetzungsfrist für die europäische Datenschutz-Grundverordnung (EU-DSGVO) ab. Betroffen sind alle Betriebe die Personendaten von EU-Bürgern speichern, unabhängig vom Sitz oder dem Ort der Datensammlung. Betroffen sind damit auch Schweizer Unternehmen, welche z.B. Produkte an EU-Bürger verkaufen und deren Daten in ihren Systemen erfassen, oder Spitäler, die EU-Bürger behandeln.

Das EU-Recht gilt für alle Schweizer Exporteure, Versandhändler, Betreiber von Plattformen für Onlinebestellungen sowie für jeden Dienstleister, der seine Leistungen an Kunden in der EU anbietet.

Nicht dem EU-Recht unterstehen dagegen Unternehmen, die ihre Leistungen zwar an in der EU wohnhaften Personen erbringen, diese jedoch nicht in der EU anbieten wie z.B. Restaurants, Hotels oder Bergbahnen. Betreiben solche Unternehmen jedoch eine Website und ermöglichen auf dieser Onlinebestellungen aus der EU, so sind sie dem EU-Datenschutzrecht unterstellt, da die Leistungen in der EU angeboten werden.

Die überdies geltende Schweizerische Datenschutzgesetzgebung wird dem EU-Recht angepasst, die Einführung ist für 2018 geplant.

Wichtige Neuerungen

Datenschutzbeauftragter: Unternehmen, die in grossem Umfang sensitive Daten verarbeiten, sind verpflichtet, einen Datenschutzbeauftragten zu ernennen, dabei kann es sich um einen Mitarbeiter oder externen Dienstleister handeln.

Meldepflicht: Datenschutzverstösse, etwa bei Diebstahl, Verlust oder Offenbarung personenbezogener Daten an Unbefugte, sind innert 72 Stunden an die zuständige Datenschutzbehörde zu melden, sofern ein Risiko für die betroffenen Personen besteht. Zusätzlich müssen die betroffenen Personen benachrichtigt werden, wenn für sie ein hohes Risiko besteht.

Aufzeichnungspflicht: Unternehmen müssen ihre Datenverarbeitungsaktivitäten aufzeichnen (Zwecke der Datenbearbeitung, Kategorien der verarbeiteten Daten, allfällige Empfänger, Fristen für die Löschung der verschiedenen Datenkategorien und Beschreibung der vorgesehenen Schutzmassnahmen).

Privacy by design: Produkte und Leistungen sind so zu gestalten, dass diese nur personenbezogenen Daten verarbeiten, die für den jeweiligen Zweck erforderlich sind.

Datenschutzfolgenabschätzung: Datenverarbeitungsprozesse mit Risiken für die Betroffenen, bedürfen einer vorgängigen unternehmensinternen Überprüfung.

Recht auf Vergessenwerden: Die Durchsetzung des Rechts der Nutzer, Informationen wieder löschen zu lassen, wird erleichtert.

Portabilität: Die Nutzer müssen die Möglichkeit haben, Daten von einem Anbieter zum nächsten mitzunehmen.

One-Stop Shop: Betroffene können sich künftig an die Datenschutzbehörde in ihrem Heimatstaat wenden, auch wenn es um Datenschutzprobleme in einem anderen Staat geht.

Strafmass: Unterlassungen zum Schutz der Daten können zu hohen Bussen führen.

Vorentwurf des schweizerischen Datenschutzgesetzes (Zusammenfassung Vernehmlassung):

https://www.ejpd.admin.ch/dam/data/bj/staat/gesetzgebung/datenschutzstaerkung/ve-ber-d.pdf