Schweizer Datenschutzgrundverordnung
Am 25. Mai 2018 traf die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Es ist mir ein Anliegen, dass Du der Bearbeitung Deiner Personendaten durch scout-out zustimmst. Darum informiere Dich mit dieser Datenschutzerklärung umfassend über meine Datenbearbeitungsmethoden.
Was beinhaltet den die DSGVO?
Ab dem 28. Mai 2018, sind Schweizer Firmen gezwungen, Daten ihrer Kunden besser zu schützen – sonst drohen drakonische Strafen. Das betrifft uns auch.
Wenn Sie Produkte an EU-Bürgern verkauften (Marktortprinzip), oder eine nationale Website, deren Preise nicht nur in Franken angegeben sind oder die Liefer- und Zahlungskonditionen für Ausländer erwähnt, fällt darunter. Auch eine Service-Hotline in der EU oder das Analysieren des Surfverhaltens von EU-Bürgern zu Marketingzwecken (Verhaltensbeobachtung) reichen bereits aus, um als Schweizer Firma unter das EU-Gesetz zu fallen. Zeit das Sicherheitskonzept zu überprüfen.
Was betritt uns als CH genau?
- Meldepflichten bei Datenschutzverletzungen (möglichst binnen 72 Stunden) an die zuständige Aufsichtsbehörde (Art. 33 DSGVO); damit wird das Risiko von Reputationsschäden signifikant erhöht; Benachrichtigung der betroffenen Personen bei hohem Risiko von Persönlichkeitsverletzungen.
- Benennung eines internen oder externen Datenschutzbeauftragter (Art. 37 DSGVO) mit Dokumentations- und Nachweispflichten.
- Datenschutz durch Technikgestaltung (Privacy by Design; Art. 25 Abs. 1DSGVO) und datenschutzfreundliche Voreinstellungen (Privacy by Default; Art. 25 Abs. 2 DSGVO).
- Big Data: Pflicht zur vorgängigen Durchführung einer Datenschutz-Folgenabschätzung (Data Protection Impact Assessment; Art. 35 DSGVO).
- Koppelungsverbot bei Einwilligung (Art. 7 Abs. 4 DSGVO).
- Ausbau der Rechte der betroffenen Personen (Kunden).
- Auslagerung von der Datenverarbeitung (Auftragsverarbeitung) nur auf der Grundlage eines Vertrages (Standardvertragsklauseln) bei hinreichenden Garantien des Auftragsdatenverarbeiters (z. B. Datenschutzsiegel; Art. 28 Abs. 1 DSGVO).
- Keine Unter-Auftragsverarbeitung (Sub-Sub-Akkordanten) ohne schriftliche Genehmigung des Verantwortlichen (Art. 28 Abs. 2 DSGVO).
- CH-Unternehmen muss einen Vertreter in der EU benennen (Art. 27 Abs. 1 DSGVO).
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Positives:
- Erleichterter Datenschutz im Konzern mit einem gemeinsamen Datenschutzbeauftragen für die Unternehmensgruppe (Art. 37 Abs. 2 DSGVO) und „Verbindlichen internen Datenschutzvorschriften“ (Binding corporate rules: Art. 47 DSGVO)
- Private Datenschutzzertifizierung (Datenschutzsiegel und Datenschutzprüfzeichen (Art. 42 DSGVO).
- Einheitlichkeit des Datenschutzes in der EU: Vorrang der DSGVO vor Rechtsvorschriften der Mitgliedsstaaten; Sicherstellung der einheitlichen Anwendung der DSGVO durch den europäischen Datenschutzausschuss.
- Recht auf Vergessen werden (Art. 17 DSGVO).
Speziell für CH:
- Niederlassungsprinzip: Die DSGVO gilt zunächst nach Art. 3 Abs. 1 (DSGVO) für jegliche Datenverarbeitung im Rahmen von Aktivitäten einer Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union. Entscheidend ist hier der Ort der Niederlassung, nicht der Ort der Datenverarbeitung.
- Marktortprinzip: (Art. 3 Abs. 2 DSGVO). Hierdurch ist die Verordnung nicht nur auf Unternehmen oder Auftragsverarbeiter mit Niederlassung in der EU anwendbar, sondern auch auf Unternehmen oder Auftragsverarbeiter mit Niederlassung ausserhalb der EU, also auch Unternehmen in der Schweiz.
Meine angepasste Datenschutzbestimmung unter Datenschutz.
Benötigst du Hilfe dazu? Wende dich an mich. Als Datenschutzbeauftragter von diversen Unternehmen biete ich Lösungen dazu an.