FAQ zur DSGVO

Anwendungsbereich

Wann ist die europäische Datenschutz-Grundverordnung (DSGVO) für Schweizer Unternehmen anwendbar?

In diesem Zusammenhang ist insbesondere Art. 3 Abs. 2 lit. a und b DSGVO relevant. Danach gilt Folgendes: Verarbeiten Unternehmen mit Sitz in der Schweiz personenbezogene Daten im Zusammenhang mit (i) Waren und Dienstleistungen, die sie betroffenen Personen in der EU – unabhängig von ihrer Staatsangehörigkeit – anbieten (auch unentgeltlich) oder (ii) das Verhalten von betroffenen Personen beobachten, soweit ihr Verhalten in der EU erfolgt.

Findet die DSGVO auch auf Arbeitsverhältnisse in der Schweiz (z.B. mit Grenzgängern) Anwendung?

Grundsätzlich nein; die DSGVO findet beim Angebot von Waren oder Dienstleistungen aus der Schweiz in der EU Anwendung, wozu die Nachfrage von Arbeitsleistung in der EU nicht zählt. Jedoch ist denkbar, dass die DSGVO wegen Verhaltensbeobachtung in der EU zur Anwendung kommt, beispielsweise wenn die betreffenden Mitarbeitenden «Bring Your Own Device» einsetzen.

Ist die DSGVO auf ein Unternehmen anwendbar, wenn dieses Google Analytics einsetzt?

Grundsätzlich nein. Eine «Verhaltensbeobachtung» setzt voraus, dass eine zeitlich und sachlich ausreichend intensive Beobachtung erfolgt. Das ist bei Google Analytics erst der Fall, wenn ein Nutzer über mehrere Websites und/oder Apps hinweg erfasst wird.

Unterliegen Lieferanten, die EU-Niederlassungen in der Schweiz unterstützen, auch der DSGVO?

Wenn Daten von Kunden wie beispielsweise Schweizer Niederlassungen international tätiger Firmen in der Schweiz, aber auch in der EU verarbeitet werden (z.B. weiterverarbeitet werden), so können auch diese Datenverarbeitungen der DSGVO unterliegen.

Unser Unternehmen untersteht selber nicht der DSGVO, nimmt jedoch Auftragsverarbeitungen für Unternehmen vor, welche ihrerseits der DSGVO unterstehen. Wie kann ich mich vorbereiten?

Kunden Ihres Unternehmens, welche der DSGVO unterstehen, sind gefordert, die Auftragsverarbeitungssituation in einem Vertrag oder einem anderen Rechtsinstrument gemäss Art. 28 Abs. 3 DSGVO zu regeln. Es kann sich für Ihr Unternehmen empfehlen, proaktiv entsprechende (Standard-)Verträge für Ihre Kunden vorzusehen und anzubieten. Einerseits signalisieren Sie damit Kompetenz im Bereich Datenschutz und Datensicherheit. Andererseits kann Ihr Unternehmen dadurch vertragliche Spielräume, die Art. 28 DSGVO zulässt, optimal ausnützen (z.B. Beizug von Unter-Auftragsverarbeitern, Haftung, Schadloshaltung etc.). Nicht zuletzt kann ein eigeninitiatives Vorgehen Ihrem Unternehmen helfen, die Vertragssituation mit Ihrer gesamten Kundenbasis möglichst einheitlich zu gestalten.

International tätige Unternehmen verschicken zurzeit diverse Vertragsanhänge zu Datenschutzfragen. Müssen diese unterzeichnet werden?

Lieferanten von Kunden, die gemäss Art. 3 DSGVO der besagten DSGVO unterliegen, unterliegen ebenfalls der DSGVO, wenn sie Personendaten für diese Kunden verarbeiten und die Verarbeitung unter den Anwendungsbereich von Art. 3 DSGVO fällt. Dazu kann z.B. die Lieferung von IT-Dienstleistungen (im Detail zu prüfen) oder Unterstützung im Marketing-Bereich zählen. Es wird empfohlen, hier sorgfältig zu prüfen, ob die DSGVO Anwendung findet und was in den Anhängen drinsteht, um intern und extern notwendige Schritte einzuleiten oder auch Änderungen der Anhänge zu verlangen.

Datenschutzerklärungen

Muss ich auf meiner Website eine Datenschutzerklärung bereitstellen?

Ja. Man erwartet nach Art. 12 ff. DSGVO, dass jedes Unternehmen auf seiner Website eine Datenschutzerklärung bereitstellt, in der mindestens über die Datenbearbeitung im Zusammenhang mit der Website informiert wird. Auch weitere Themen können dort abgehandelt werden, z.B. die Bearbeitung von Bewerberdaten.

Verarbeitungsverzeichnis

Was ist ein Verzeichnis von Verarbeitungstätigkeiten?

Das Verzeichnis von Verarbeitungstätigkeiten ist eine zentrale, in vielen Fällen verpflichtende und in jedem Falle empfehlenswerte Datenschutz-Dokumentation. Um sich selber und auskunftsberechtigten Dritten (insb. Aufsichtsbehörden und betroffenen Personen) Rechenschaft über die Einhaltung der DSGVO abzulegen (insb. über die Grundsätze der Verarbeitung [Art. 5], die Rechte der betroffenen Personen [Art. 12–23] sowie im Kontext von Datenschutzverstössen [Art. 33–34]), ist ein fundiertes Wissen über die Verarbeitungstätigkeiten im eigenen Unternehmen Grundvoraussetzung. Die Dokumentation der Verarbeitungstätigkeiten hilft auch dabei, allfällige Lücken zu identifizieren und Umsetzungsarbeiten risikobasiert zu priorisieren.

Einwilligung

Braucht ein Unternehmen immer eine Einwilligung der betroffenen Person, um personenbezogene Daten verarbeiten zu dürfen?

Nein. Anstelle einer Einwilligung kann sich ein Unternehmen auch auf andere in Art. 6 DSGVO vorgesehene Gründe stützen, die eine Datenverarbeitung erlauben, z.B. Vertragserfüllung, rechtliche Verpflichtung, berechtigte Interessen etc. Dies ist im Detail jeweils abzuklären.

Sind Einwilligungen gewissen Formvorschriften unterworfen oder können sie auch z.B. elektronisch eingeholt werden?

Wenn eine Einwilligung notwendig ist (weil z.B. der Vertragszweck die Datenverarbeitung nicht genügend umfasst oder ein überwiegendes privates Interesse vorliegt), dann kann diese schriftlich oder elektronisch eingeholt werden. Wichtig ist, dass die Einwilligung nachweisbar sein muss, wenn es zu einem Streitfall vor Gericht kommt. Voreinstellungen wie ein bereits gesetztes Häkchen bei einer Tickbox sind nicht zulässig.

Was bedeuten «Privacy by Design» und «Privacy by Default»?

Mit «Privacy by Design» wird zum Ausdruck gebracht, dass Geräte und Software so zu gestalten sind, dass sie den Datenschutz unterstützen; beispielsweise sollte ein Wearable Device wie Google Glass gut sichtbar zum Ausdruck bringen, wann Aufnahmen erfolgen. «Privacy by Default» verfolgt das Ziel, dass Voreinstellungen datenschutzfreundlich ausgestaltet werden; z.B. sollten bei einer Online-Registrierung für einen bestimmten Service die Voreinstellungen so gesetzt sein, dass die Daten nur für den Zweck des betreffenden Service, nicht aber weitergehend genutzt werden können.

Technische und organisatorische Massnahmen

Immer wieder wird von «TOMs» gesprochen. Was sind diese und wann ist mein Unternehmen davon betroffen?

TOM steht für «technische und organisatorische Massnahmen». Die DSGVO gibt in Art. 32 technische und organisatorische Massnahmen vor, mit denen die Sicherheit der Datenverarbeitung gewährleistet werden soll. Jedoch benennt sie dabei keine konkreten Handlungsanweisungen, sondern beschreibt vielmehr Datenschutzziele. Dieser Umstand trägt nicht gerade dazu bei, dass sich Unternehmen bei der Umsetzung der TOMs DSGVO-rechtlich auf der sicheren Seite wissen. Ausserdem legt die DSGVO es in Ihr eigenes Ermessen, welche und wie viele technische und organisatorische Massnahmen Sie ergreifen. Die getroffenen Massnahmen sind sodann aber konkret zu bestimmen und zu bezeichnen; pauschale Aussagen und Wiederholungen der gesetzlichen Vorschriften genügen hierfür nicht. Dies gilt insbesondere für Auftragsdatenverarbeiter.

Werbe-E-Mails

Muss ich für Werbe-E-Mails und Newsletter eine Einwilligung einholen?

Ja. Das ergibt sich zwar nicht aus der DSGVO bzw. dem schweizerischen Datenschutzgesetz (DSG); es gilt aber nach lauterkeitsrechtlichen Vorschriften. Nur in Ausnahmefällen ist eine Einwilligung nicht erforderlich. Das ist in der Praxis aber selten anwendbar. Die Einwilligung muss zudem freiwillig und eindeutig sein. Es braucht daher ein Opt-in, z.B. über eine Checkbox, die nicht vorangekreuzt ist.

Auskunftsbegehren

Hat jede natürliche Person das Recht, ein Auskunftsbegehren im Sinne von Art. 15 DSGVO zu stellen?

Ja, jeder natürlichen Person steht gegenüber dem Verantwortlichen das Recht zu, Auskunft zu verlangen, welche Daten über sie gespeichert sind.

Datenschutz-Folgeabschätzung

Was ist eine Datenschutz-Folgeabschätzung?

Bei der Datenschutz-Folgeabschätzung handelt es sich um ein Instrument der Risikominimierung: Sollen Produkte oder Dienstleistungen implementiert werden, die eine grosse Auswirkung auf die Rechte und Freiheiten von natürlichen Personen haben, so muss eine Datenschutz-Folgeabschätzung nach Art. 35 f. DSGVO durchgeführt und vor allem auch dokumentiert werden. Selbst wenn nach ersten Abklärungen keine Datenschutz-Folgeabschätzung durchgeführt wird, weil sie sich als nicht notwendig herausstellt, so sind diese Schritte zu dokumentieren.

Datenschutz in der Schweiz und der EU

Unser Unternehmen hält den Datenschutz nach geltendem Schweizer Recht (Datenschutzgesetz; DSG) ein – sind wir damit auch unter der DSGVO compliant?

Wenn die DSGVO für Ihr Unternehmen Anwendung findet, dürfte dies nicht der Fall sein. Die DSGVO geht in verschiedenen Bereichen wesentlich über das DSG hinaus. Beispielsweise verlangt die DSGVO, dass Datenschutzverstösse (Data Breaches) innerhalb von 72 Stunden gemeldet werden.

Unser Unternehmen hält den Datenschutz nach der DSGVO ein – wird es damit auch unter dem neuen Schweizer DSG compliant sein?

Aller Voraussicht nach ja. Es gibt zwar wenige Aspekte, in denen der aktuelle Entwurf des DSG über die DSGVO hinausgeht; es ist aber damit zu rechnen, dass diese Punkte noch angepasst werden.

Wird der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) die DSGVO auch in der Schweiz umsetzen?

Nein, hierfür muss der ordentliche Amts- und Rechtshilfeweg beschritten werden.

Versicherung

Können Risiken von Datenschutzverletzungen versichert werden?

Es sind Versicherungsprodukte vorhanden, die einen Teil der Datenschutzrisiken vor allem im sicherheitstechnischen Bereich abdecken. Ohne entsprechende interne Vorkehrungen wie Verschlüsselung oder auch andere technische oder organisatorische Massnahmen können Versicherungen die Übernahme von Risiken aber verweigern. Es ist deshalb ratsam, die Bedingungen genau zu prüfen, bevor eine solche Versicherung abgeschlossen wird. Ohne interne Umsetzungen ist u.U. auch die Versicherungsdeckung nicht gegeben.

Mit Ihrem Besuch auf unserer Website stimmen Sie unserer Datenschutzerklärung und der Verwendung von Cookies zu. Dies erlaubt uns unsere Services weiter für Sie zu verbessern. Datenschutzerklärung

OK