Im Juni/Juli 2018 wird die neue EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft treten und die bisherigen Datenschutzgesetze der Mitgliedsstaaten der Europäischen Union ersetzen. Davon betroffen sind praktisch alle Firmen, die Waren oder Dienstleistungen anbieten. Unternehmen haben noch knapp ein Jahr Zeit, um sich auf die neuen rechtlichen Rahmenbedingungen einzustellen. Die bisher massgebende Richtlinie 95/46/EG wird mit Inkrafttreten der EU-DSGVO definitiv aufgehoben. Die wichtigsten Aspekte der Neuregelung im Überblick sind:
Ende des Adresshandels
Es entfällt das sogenannte Listenprivileg, nach dem Adressen zu Werbezwecken weitergegeben werden dürfen. Künftig ist hierfür eine ausdrückliche Genehmigung der betroffenen Person erforderlich.
Beweislastumkehr
Bei Verstössen standen bisher die Behörden in der Nachweispflicht. Künftig gilt das umgekehrte Prinzip. Die Unternehmen müssen beweisen, dass sie rechtskonform arbeiten.
Dokumentationspflicht
Unternehmen müssen künftig dokumentieren, weshalb sie persönliche Daten verarbeiten. Sie sind zudem verpflichtet, die Sicherheitsmassnahmen konkret nachzuweisen.
Mehr Transparenz
Wer einem Unternehmen Daten überlässt hat künftig ein Recht zu erfahren, wie diese verarbeitet und verwendet werden. Unternehmen sind verpflichtet, ihre Kunden aktiv zu informieren, wenn die Daten beispielsweise für Werbezwecke verarbeitet werden. Die Auskunft muss dabei klar und verständlich formuliert sein.
Datenmitnahme
Wer einen bestimmten Dienst wechselt, soll bei Bedarf seine Daten mitnehme können.
Recht auf Vergessen
Künftig gibt es ein gesetzlich verbrieftes «Recht auf Vergessen». Die EU-DSGVO regelt dazu, wann nicht mehr benötigte Daten gelöscht werden müssen.
Meldeauflagen
Datenschutzverletzungen müssen der Europäischen Union und den betroffenen Personen in einem einheitlichen Verfahren gemeldet werden. Unternehmen sind stärker als zuvor verpflichtet, schnell zu reagieren.
Erweiterte Definition von personenbezogenen Daten
Als personenbezogene Daten gelten ausdrücklich IP-Adressen und andere «Online-Identifier». Es wurde eine Definition für das sogenannte Profiling eingeführt. Jegliche Form von automatisierter Datenbearbeitung, bei welcher die betreffenden Personendaten zur Analyse von gewissen persönlichen Aspekten einer natürlichen Person verwendet werden, fällt unter Profiling. Zur vermeintlichen Erleichterung und im selben Zusammenhang wurde die «Pseudonymisierung» eingeführt. Dies bedeutet, dass die entsprechenden Daten ohne zusätzliche Informationen nicht mehr einer identifizierbaren Person zugeordnet werden können. Für Anbieter von e-Health Dienstleistungen ist dies von besonderer Relevanz.
Bei Verstössen drohen hohe Geldbussen
Es geht jetzt neben einer gründlichen Bestandsaufnahme vor allem darum, Prozesse mit Blick auf den Datenschutz zu vereinheitlichen und Compliance-Regeln aufzustellen beziehungsweise anzupassen. Auch das Sicherstellen einer hohen Qualität personenbezogener Daten sollte auf der Tagesordnung der Unternehmen stehen.
Bei Verstössen gegen die EU-DSGVO steht den Betroffenen ein Schadensersatzanspruch zu. Zusätzlich sind empfindliche Bussgelder vorgesehen. Die maximale Geldbusse beträgt bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten erzielen Jahresumsatzes im vorangegangenen Geschäftsjahr. Bei international agierenden Unternehmen wird der weltweite Jahresumsatz für die Bemessung der Geldbusse zugrunde gelegt.
Grundsätzlich gilt die DSGVO für Datenbearbeitungen durch Unternehmen oder Niederlassungen mit Sitz innerhalb der Europäischen Union. Die Verordnung findet aber auch Anwendung, wenn personenbezogene Daten von EU-Bürgern durch ein Unternehmen mit Sitz ausserhalb der EU bearbeitet werden, sofern folgende Voraussetzungen erfüllt sind:
- die Bearbeitung dient der Verhaltensüberwachung
- die Verarbeitung der Daten erfolgt im Zusammenhang mit dem Angebot von Waren und Dienstleistungen, auch in unentgeltlicher Form
Das neue EU-Datenschutzrecht hat auch für Schweizer Unternehmen grosse Relevanz. Sobald ein Schweizer Unternehmen in der EU geschäftstätig ist oder mit Unternehmen in der EU Personendaten austauschen, ist die neue DSGVO anwendbar.