EU Datenschutz-Grundverordnung (DSGVO)
Die Sache mit dem „Speed“ einer Webseite
März 13, 2018Auszahlung von Ferien im Stundenlohn
Dezember 1, 2018Bin ich in der Schweiz wirklich von der DSGVO betroffen, obwohl ich nicht einmal Kunden in der EU habe?!
Die grosse Frage, um die alle nur mit Juristen-Deutsch herumtanzen. Selbst das KMU Portal des Bundes ist keine Hilfe:
„Der Anwendungsbereich der neuen EU-Datenschutzverordnung, die am 25. Mai 2018 in Kraft tritt, ist so gross, dass viele Schweizer Unternehmen davon betroffen sein könnten.“
Ich könnte also betroffen sein und mit einer Geldbusse über bis zu 20 Millionen Euro oder (falls höher) 4% meines Jahresumsatzes belegt werden? Das würde ich in diesem Fall doch gerne genau wissen.
Vor gut 2 Wochen habe ich folgende E-Mail mit dem Titel „Die EU-Datenschutz-Grundverordnung (DSGVO) gilt auch für Schweizer Unternehmen!“ erhalten:
Die neue EU-Datenschutz-Grundverordnung ist auch für die meisten Schweizer Unternehmen relevant.
Ab dem 25. Mai 2018 gilt das neue Gesetz auch für Schweizer Unternehmen, welche Webseiten betreiben und Waren, Dienstleistungen oder Informationen für EU Bürger anbieten.
Wichtige Informationen und einen Selbsttest zum neuen Gesetz finden Sie auf www.datenschutz-neu.ch, eine Initiative der Arbeitsgemeinschaft Datenschutz.
Die genaue Regelung besagt:
Schweizer Unternehmen müssen sich an die DSGVO halten, wenn sie personenbezogene Daten von natürlichen Personen verarbeiten, die sich in der EU befinden, und falls die Verarbeitung dazu dient:
- diesen Personen Waren oder Dienstleistungen anzubieten (gegen Bezahlung oder unentgeltlich), oder
- das Verhalten dieser Personen zu verfolgen, sofern dieses Verhalten in den Mitgliedstaaten der EU erfolgt (Art. 3 Abs. 2 Buchst. a und b DSGVO).
Klartext: Sobald Sie auf Ihrer Website Google Analytics einsetzen, fallen Sie unter die DSGVO. Kann man sich auf Ihrer Website für einen Newsletter eintragen, fallen Sie unter die DSGVO. Völlig egal, ob Sie tatsächlich Kunden in der EU haben oder überhaupt erreichen wollen. Was damit wahrscheinlich mindestens 80% aller Schweizer Firmen sind.
Oder vielleicht besser gesagt:
Die DSGVO betrifft Sie in der Schweiz (wahrscheinlich) nur dann nicht, wenn Sie gar keine Website haben.
Denn selbst bei einer völlig veralteten statischen HTML-Website ist es sehr wahrscheinlich, dass der Webserver irgendwo ein Log-File mit IP-Adresse und sonstigen Informationen von einem EU-Besucher abspeichert.
Auch hier ist das KMU Portal des Bundes keine Hilfe:
„In der Praxis dürfte diese Regelung grundsätzlich nicht für kleine Geschäfte wie eine Bäckerei oder einen Coiffeursalon gelten“
OK, die DSGVO gilt auch für mich.
Was muss ich konkret tun?
Ganz einfach:
Sie müssen lediglich diese 7 Punkte umsetzen (Details hier in der Quelle):
Sie müssen lediglich diese 7 Punkte umsetzen (Details hier in der Quelle):
- Informieren und die Einwilligung der betroffenen Person einholen
- „Privacy by design“ und „Privacy by default“ gewährleisten
- Einen Vertreter in der EU ernennen
- Ein Verzeichnis der Verarbeitungstätigkeiten erstellen
- Verstösse gegen den Datenschutz an die Aufsichtsbehörde melden
- Eine Datenschutz-Folgenabschätzung durchführen
- Bei Verstössen gegen die DSGVO Geldbussen zahlen
Wie diese in der Realität und technisch konkret umgesetzt werden, ist schlicht noch unklar. Das gibt das Gesetz schliesslich nicht vor.
Schon nur Punkt 1: „Informieren und die Einwilligung der betroffenen Person einholen“
Wie soll ich denn bitteschön alle EU-Besucher informieren und erreichen, die auf meiner Website gelandet sind und darum von Google Analytics erfasst wurden? Das ist völlig realitätsfremd.
Muss ich mit einer Busse rechnen?
Wird es eine regelrechte Abmahnwelle geben?
Das ist die Frage der Fragen: Ob die Suppe tatsächlich so heiss gegessen wird, wie sie aktuell gekocht wird. Diese Frage wurde auf dem Blog von Anwalt Martin Steiger gestellt:
«Müssen wir jetzt tatsächlich mit einer Art Abmahnwelle rechnen? Werden Bussen im grossen Stil verteilt? Was denken Sie?»
Wir werden es sehen. Die Ressourcen der Aufsichtsbehörden sind weiterhin beschränkt, das heisst die Aufsichtsbehörden werden weiterhin Schwerpunkte setzen müssen. Gleichzeitig werden die Rechte der betroffenen Personen gestärkt, was insbesondere zu Abmahnungen sowie zu Anzeigen bei Aufsichtsbehörden führen kann. In der Praxis wesentlich wichtiger für Unternehmen dürfte aber sein, dass Vertragspartner auf die Einhaltung der DSGVO bestehen …
Es ist also schlussendlich auch Auslegungssache, ob Sie im Einzelfall tatsächlich zur Kasse gebeten werden.
Aber selbst wenn für kleine Unternehmen keine Auswirkungen haben wird und nur Konzerne wie Google oder Facebook ins Visier genommen werden sollen:
Es geht hier schliesslich auch um das Prinzip, dass ich in den Augen der EU rechtlich gesehen illegal handle, nur weil ich deren übertriebenen Vorgaben schlicht nicht einhalten kann, obwohl ich grundsätzlich verantwortungsvoll handle und z.B. die IP-Adresse in Google Analytics proaktiv anonymisiere.
Ich bin sehr gespannt, wie sich das dann tatsächlich in der Realität auswirken wird.[/vc_column_text][vc_message message_box_color=“warning“]
Hinweis:
Ich bin weder Anwalt, noch ersetzen die folgenden Tipps rechtliche Beratung. Schliesslich weiss ich nicht einmal, ob dieser Hinweis etwas bringt oder nicht.
