Ziel der Europäischen Union war es, ein an das digitale Zeitalter angepasstes Regelwerk zu schaffen, welches die Rechtssicherheit der Bürgerinnen und Bürger verbessert und gleichzeitig Unternehmen zu mehr Transparenz anhält. Unternehmen müssen neu klar ausweisen, welche Daten gesammelt werden und was damit gemacht wird. In Zeiten, in denen mit Personendaten Milliardengewinne erzielt werden, leuchtet dies ein. Aber auch für zahlreiche KMU wird es Auswirkungen geben. So ist es nicht mehr möglich, ohne explizite Einwilligung der Kundschaft beispielsweise einen Newsletter an diese zu versenden. Ebenso dürfen persönliche Daten nicht mehr an ein Schwester-Unternehmen oder einen Verband weitergegeben werden ohne dass die Betroffenen zustimmen. Auch der Einsatz von Analyse-Tools auf Webseiten muss ausgewiesen werden. Übrigens überarbeitet auch die Schweiz Ihr Datenschutzgesetz (Bundesgesetz über den Datenschutz; DSG). Und es wird erwartet, dass sich dieses stark an der EU-Verordnung orientiert. Gleich wie in der EU soll insbesondere die Transparenz von Datenbearbeitungen verbessert und die Selbstbestimmung der betroffenen Personen über ihre Daten gestärkt werden. Informieren Sie sich also schon jetzt über die DSGVO (Im englischen Sprachgebrauch lautet das Stichwort GDPR  – General Data Protection Regulation).

Artikel 3 legt fest, wer von der Verordnung betroffen ist – über den sogenannten «Räumlichen Anwendungsbereich». Dabei wird wie folgt unterschieden:

• Zielmarktprinzip: sobald Personen aus dem EU-Raum mit Dienstleistungen angesprochen werden. Für eine solche «Ansprache» reichen bereits Funktionen wie Mehrsprachigkeit, länderspezifische Domains oder Liefermöglichkeiten mit Ziel Ausland. Was aber noch triftiger ist: sobald ein Unternehmen das digitale Verhalten von EU-Bürgern überwacht – sprich mittels Google Analytics oder anderen Tools – gilt die Verordnung.
• Niederlassungsprinzip: sobald ein Unternehmen eine Niederlassung in der EU betreibt – unabhängig davon, ob eine Datenverarbeitung in der EU stattfindet oder nicht

Einer dieser beiden Punkte trifft auf fast alle Unternehmen zu – also höchst wahrscheinlich auch auf Ihr Unternehmen. Eine Ausnahme wäre beispielsweise ein städtisches Spital das keine Webanalyse-Tools einsetzt und keine Personen aus dem EU-Raum aktiv anspricht (möglich wäre dies beispielsweise bei Privatkliniken im Bereich Schönheitsoperationen). Allerdings stellt sich beispielsweise bereits im Bereich von Job-Ausschreibungen die Frage, ob nur Bewerber aus der Schweiz angesprochen werden.

EU-Bürgerinnen und Bürgern stehen verschiedene Rechte zur Verfügung, die wichtigsten sind:

• Recht auf Auskunft (Artikel 15): Unternehmen müssen jederzeit Information darüber geben, welche Daten von einer Person vorhanden sind und müssen diese aushändigen können.
• Recht auf Berichtigung (Artikel 16): Sollten Daten nicht wahrheitsgetreu gespeichert sein, muss eine Berichtigung erfolgen.
• Recht auf Löschung (Artikel 17): Personendaten müssen gelöscht werden können, sollte dies von einer betroffenen Person gefordert werden. Die Löschung muss auch sichergestellt werden, wenn Personendaten bei Dritten gespeichert sind (Backups, Weitergegebene Daten).
• Recht auf Datenportabilität (Artikel 20): Erfasste Daten müssen in einer Form herausgegeben werden, die eine Weiterverarbeitung in einem anderen System zulässt.

Trotz dieser neuen Rechte bzw. Pflichten für Unternehmen muss immer sichergestellt werden, dass nicht gegen andere geltende Gesetze verstossen wird (beispielsweise die Aufbewahrungspflicht von buchhaltungsrelevanten Unterlagen).

Das KMU-Portal des Bundes hat in einem kürzlich erschienen Artikel die zentralen Pflichten zusammengestellt:

• Informieren und die Einwilligung der betroffenen Personen einholen (Artikel 12 ff): Mit einem sauberen Einwilligungsprozess und einer transparenten Datenschutzerklärung können Sie die saubere Basis schaffen.
• «Privacy by design» und «Privacy by default» gewährleisten (Artikel 25): Dabei geht es um die organisatorische und technische Verankerung der DSGVO-Vorgaben innerhalb des gesamten Unternehmensprozesses – also auch bei der Entwicklung neuer Produkte (Privacy by design). Beim Privacy by default sollen Voreinstellungen so gewählt werden, dass nur die Daten gesammelt werden, von denen man («mit gesundem Menschenverstand») ausgehen kann (zum Beispiel bei Webapplikationen).
• Einen Vertreter in der EU ernennen (Artikel 27): Jedes Unternehmen braucht einen in der EU ansässigen Vertreter. Einzig wenn die Datenverarbeitung nur gelegentlich erfolgt, keine besonderen Datenkategorien betrifft und nahezu kein Risiko mitbringe, entfällt dies. Einen Vertreter können Sie zum Beispiel über datenschutzpartner.ch «bestellen».
• Ein Verzeichnis der Verarbeitungstätigkeiten erstellen (Artikel 30): Für jede Datenverarbeitung muss digital ein Register (Formular, Word-Dokument) erstellt werden, bei der gesamte Vorgang dokumentiert ist. Dies ist allerdings nur Pflicht für Unternehmen mit über 250 Mitarbeitenden.
• Meldepflicht bei Verletzungen (Artikel 33): Stellt ein Unternehmen fest, dass personenbezogene Daten verletzt worden sind, so muss dies an die Aufsichtsbehörde und gegebenenfalls der betroffenen Person gemeldet werden. Darunter fällt beispielsweise ein Hacker-Angriff, bei dem Daten gestohlen wurden.
• Eine Datenschutz-Folgenabschätzung durchführen (Artikel 35): Bei risikobehafteten Datenverarbeitungen (welches Rechte und Freiheiten verletzen könnten), muss eine Folgenabschätzung durchgeführt werden. Diese muss dokumentiert werden.

Weiter sehen wir folgenden Punkt, der in der DSGVO unter Artikel 32 aufgelistet ist, ebenfalls als relevant an:

• Gewährleistung der Sicherheit bei der Datenbearbeitung (Artikel 32): Unternehmen müssen Massnahmen vornehmen, um die Sicherheit der Daten sicherzustellen. Dazu zählt unter anderem die Verschlüsselung von Kundendaten, Aufbau von internen Kontrollmassnahmen und weiteres. Im Bereich Webseite heisst das beispielsweise, dass diese regelmässig aktualisiert wird (CMS-Version, Sicherheitspatches) oder dass eine SSL-Verschlüsselung verwendet wird.

Grundsätzlich gilt ein Datenverarbeitungsverbot – nur mit einer klaren Einwilligung darf diese vorgenommen werden. Möchten Sie also ein Analyse-Tool für die Webseite nutzen, einen E-Mail-Newsletter versenden oder sonstige Kundeninformationen eines Online-Shops nutzen, so muss dafür eine Einwilligung eingeholt werden. Dies gilt übrigens auch nachträglich – auch wenn Sie schon seit Jahren Kunden anschreiben, ohne je eine Einwilligung eingeholt zu haben, gibt es kein «Gewohnheitsrecht», das Ihnen die Legitimation gibt, weiterhin Informationen zuzustellen. Ebenso müssen frühere Einwilligungen den Anforderungen des DSGVO genügen.

Im Zuge der neuen Verordnung wurden die Sanktionen klar verschärft. Die Aufsichtsbehörde kann Geldbussen, Mahnungen, Verwarnungen, förmliche Bekanntmachungen oder Beschränkungen der Datenverarbeitung aussprechen. Die Geldbussen sind enorm angehoben worden: Neu können bis 20 Millionen Euro oder 4% des Jahresumsatzes als Strafe ausgesprochen werden.

Die EU-Datenschutzgrundverordnung ist ein ziemlicher Brocken. Als KMU werden Sie wahrscheinlich nicht vollumfänglich alle Vorgaben umsetzen müssen. Auch die Sanktionen werden nicht in diesem Umfang ausgesprochen werden.

Wir sind überzeugt, dass Datenschutz für jedes Unternehmen ein zentrales Thema sein muss. Jedes Unternehmen soll über eine Datenschutzerklärung verfügen und sich somit auch die Überlegung machen, wo welche Daten gesammelt und verarbeitet werden. Wir glauben, dass dadurch auch das Vertrauen und die Loyalität der Kundschaft gewonnen werden – und somit ein Marktvorteil erreicht wird.

Sinnvollerweise übertragen Sie einer Person aus Ihrem Unternehmen die Verantwortung. Anschliessend gilt es, für Ihren individuellen Fall eine Lösung zu entwickeln. Dabei geht es auch darum, die internen Prozesse zu analysieren um festzuhalten, wo Daten verarbeitet werden. Schlussendlich muss eine Lösung mit einer juristischen Fachperson finalisiert werden.

Weiterführende Informationen:
Für die grundsätzliche Einarbeitung empfehlen wir den Datenschutz-Guide von t3n (kostenpflichtig). Die knapp 100 Euro sind sehr gut investiert – das Thema wird übersichtlich aufgezeigt und verschiedene Musterdokumente können genutzt werden. Weiter hilfreich ist auch die Einschätzung/Wegleitung des Eidg. Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB).