Datenschutzrecht der Europäischen Union (EU)
Ab dem 25. Mai 2018 gilt das vereinheitlichte und verschärfte Datenschutzrecht der Europäischen Union (EU).
Kleine und mittlere Unternehmen (KMU) in der Schweiz sind
ausdrücklich betroffen. Das Staatssekretariat für Wirtschaft (SECO) hat nun eine Liste mit sieben Pflichten veröffentlicht, mit denen das neue EU-Datenschutzrecht durch KMU in der Schweiz eingehalten werden kann:
- Betroffen Personen informieren und Einwilligungg einholen
Wenn die Legitimität einer Datenverarbeitung auf der Einwilligung der betroffenen Person beruht, muss diese freiwillig gegeben werden und auf einer ausführlichen, erkennbaren und bestimmten Information beruhen. Sie hat aktiv und ausdrücklich zu erfolgen. - “Privacy by design” und “Privacy by default” gewährleisten
Bereits bei der Planung der Datenverarbeitung muss das Unternehmen technische und organisatorische Massnahmen ergreifen, um die Einhaltung der DSGVO sicher stellen zu können und zu schützen. Daten dürfen zudem standardmässig nur für den jeweiligen Verwendungszweck erhoben werden. - Einen Vertreter in der EU ernennen
Die Pflicht, einen Vertreter in der EU zu benennen, entfällt, wenn die Datenverarbeitung nur gelegentlich erfolgt oder aber keine besonderen Datenkategorien betrifft sowie nahezu kein Risiko mit sich bringt. - Ein Verzeichnis der Verarbeitungstätigkeiten erstellen
Das Unternehmen oder seine Zwischenhändler müssen eine Übersicht mit einer Reihe von Informationen zu den Methoden der Datenverarbeitung führen. - Verstösse gegen den Datenschutz an die Aufsichtsbehörde melden
Die Firma muss schnelle Mechanismen vorsehen, mit denen die betroffenen Personen und die zuständigen Aufsichtsbehörden im Falle einer Datenschutzverletzung benachrichtigt werden. - Eine Datenschutz-Folgenabschätzung durchführen
Eine Art der Datenverarbeitung, die ein hohes Risiko mit sich bringt, dass Rechte und Freiheiten verletzt werden könnten, muss einer Folgenabschätzung unterzogen werden. - Geldbussen bei Verstössen gegen die DSGVO
Die Geldbusse, die Unternehmen im Fall einer Datenschutzverletzung zahlen müssen, kann bis zu 4% des weltweiten Jahresumsatzes im vergangenen Geschäftsjahr betragen.
Quelle: kmu.admin.ch