Umsetzung der Europäischen Datenschutz-Grundverordnung bei Datatrans
Am 25. Mai 2018 tritt nach einer zweijährigen Übergangsfrist die neue EU Datenschutz-Grundverordnung (EU-DSGVO) verbindlich in Kraft.
Übergeordnetes Ziel der EU-DSGVO ist die Harmonisierung und Vereinfachung der bestehenden Gesetze zum Schutz personenbezogener Daten innerhalb der EU.
Aufgrund ihres extraterritorialen Charakters betrifft die EU-DSGVO auch Schweizer Unternehmen. Da jede Person in der EU diesen besonderen Schutz erhält, gilt die EU-DSGVO somit auch für Händler, Online-Shops und Dienstleister in der Schweiz, die Produkte und Leistungen an Kunden in der EU anbieten. Das neue Datenschutzgesetz muss ebenso beachtet werden, wenn eine Niederlassung oder eine Tochtergesellschaft in der EU existiert. Ausserdem ist zu erwarten, dass der Schweizer Gesetzgeber nachziehen wird. Erste Entwürfe des Bundesgesetzes über den Datenschutz (DSG) liegen bereits vor und sind der EU-DSGVO in vielen Bereichen sehr ähnlich.
Schweizer Unternehmen werden sich deshalb zukünftig an der Praxis der DSGVO orientieren können, selbst wenn die EU-DSGVO heute noch nicht auf sie anwendbar ist. Kurzum führt auch für Schweizer Unternehmen künftig kein Weg an der neuen Verordnung vorbei. Bei Nichteinhaltung der neuen Datenschutzgesetze drohen in Zukunft hohe Geldstrafen bis zum Maximalbetrag von entweder 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes.
Ein Hauptanliegen der DSGVO ist die Stärkung der Nutzerrechte. Nutzer sollen leichteren Zugang zu ihren Daten haben. Sie haben jederzeit das Recht zu erfahren, welche Daten über sie gesammelt werden und wer ihre Daten zu welchem Zweck wie und wo verarbeitet. Gestärkt wird ausserdem das Recht des Nutzers auf «Vergessenwerden». Künftig wird es also für den Einzelnen leichter werden, einmal über ihn veröffentlichte Informationen löschen zu lassen.
Unter die neue Verordnung fallen nicht nur besonders schützenswerte Personendaten wie Gesundheitsdaten, Persönlichkeitsprofile oder sensitive Zahlungsdaten, sondern jegliche Art von Personendaten unabhängig von ihrer Vertraulichkeitsstufe. Das Erfassen einer E-Mail-Adresse einer Person mit Sitz in der EU zwecks Versand eines Newsletters unterliegt somit ebenfalls den strengen Anforderungen der EU-DSGVO.
Datatrans setzt alles daran, die Anforderungen der EU-DSGVO vollumfänglich und termingerecht zu erfüllen und den höchstmöglichen Schutz von Personendaten bei deren Bearbeitung zu gewährleisten. Mit der Implementierung der Sicherheitsmassnahmen des PCI DSS Standards wurde bereits ein hohes Datenschutzniveau für Kreditkartendaten sichergestellt. Nun gilt es, diese bestehenden Datenschutz- und Sicherheitskonzepte – dort wo es Sinn macht – auf andere personenbezogene Daten zu erweitern.
Im Zuge der Umsetzung der EU-DSGVO wurden bei Datatrans in Zusammenarbeit mit einem externen Rechtsberater verschiedene Massnahmen ergriffen. Dazu gehören unter anderem:
- Erstellung eines Mustervertrages zur Auftragsverarbeitung
- Überarbeitung der Datenschutzerklärung
- Dokumentation von Prozessen zur Verarbeitung von Betroffenenrechten
- Bestimmung eines internen Datenschutzbeauftragten
- Strengere Überprüfung unserer Auftragsdatenverarbeiter hinsichtlich der Verarbeitung personenbezogener Daten
- Interne Schulung unserer Mitarbeiter
Diese Massnahmen sind nicht als abgeschlossen zu betrachten, sondern unterliegen einer fortlaufenden Kontrolle und Überarbeitung.
Die Umsetzung der EU-DSGVO und der Schutz von personenbezogenen Daten sind somit auch für international agierende Online-Händler und -Dienstleister in der Schweiz ein Muss.
Infos
Bei Fragen in Bezug auf die Umsetzung der EU-DSGVO steht Ihnen unserer Datenschutzbeauftragter Patrick Horisberger gerne zur Verfügung unter: compliance@datatrans.ch