Saturday, May 13, 2017

EU-Datenschutz betrifft auch Schweizer Firmen

Das Europäische Gesetze auch Schweizer Bürger betreffen können, ist nichts Neues. Das zeigt sich erneut mit der geplanten Europäischen Datenschutzverordnung. Diese ist verabschiedet, tritt am 25. Mai 2018 in Kraft und wird von diesem Zeitpunkt an zahlreiche Schweizer Firmen betreffen, die mit Kunden in der EU Geschäfte machen. Das sind sich viele dieser Schweizer Firmen allerdings nicht bewusst.

Die neue Datenschutz-Gesetzgebung der EU betrifft auch Schweizer Firmen.
In der Schweiz steht der Datenschutz auch auf der Tagesordnung: Der Bundesrat will den Datenschutz komplett überarbeiten – unabhängig von der EU. Im April ist die Vernehmlassungsfrist abgelaufen – und die Reaktionen sind durchzogen. Zitat aus einem Bericht von Inside-IT:
“Die Stossrichtung der Revision wird in der Vernehmlassung begrüsst. Kritisiert wird aber vieles. So wird bemängelt, dass Bestimmungen der EU-Reform nicht übernommen werden, die den Datenschutz von Personen massgeblich verbessern würden. Es handelt sich dabei um zwei zentrale Elemente der EU-Reform: Ein Recht auf Datenübertragbarkeit und ein Recht auf Löschung. […]
 Beide Rechte würden die Position der Betroffenen insbesondere gegenüber grossen global tätigen Datenbearbeitern stärken, heisst es in der Stellungnahme der schweizerischen Datenschutzbeauftragten ("Privatim"). Für die Datenschützer und auch weitere Organisationen ist nicht nachvollziehbar, warum den Schweizer Bürgern diese Rechte verwehrt werden sollen…“ 
Nicht nachvollziehbar vielleicht auch deshalb, weil viele Schweizer Firmen sowieso von der neuen EU-Datenschutzregelung betroffen sind. Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) betrifft nämlich Unternehmen aller Grössen und Branchen weltweit, wenn sie in der EU handeln, mit europäischen Unternehmen Personendaten austauschen oder die Daten von EU-Bürgern verarbeiten. Eine Wahl haben diese Unternehmen nicht: Die EU droht hohe Bussen in Millionenhöhe an.
Und das sind die wichtigsten Neuerungen:
- Persönliche Daten dürfen nur nach ausdrücklicher Einwilligung verarbeitet werden. Sie müssen auf Wunsch richtiggestellt oder gelöscht werden (Recht auf Vergessen).
- Datenschutzverletzungen müssen innerhalb definierter Fristen an die Behörden und die Betroffenen gemeldet werden.
- Es gibt ein Recht auf Daten-Portabilität.
- Biometrische und genetische Daten gehören neu auch in die Kategorie der sensiblen persönlichen Daten.
- Alle betroffenen Unternehmen müssen zum Schutz persönlicher Daten angemessene technische und organisatorische Massnahmen treffen, und diese ständig aktualisieren.
- Es besteht eine Pflicht zur “Datenschutz-Folgenabschätzung“. Eine solche Abschätzung muss durchgeführt werden, wenn die Datenverarbeitung hohe Risiken für die Privatsphäre haben könnte.
Zwar dauert es noch eine Weile, bis die neuen Bestimmungen in Kraft treten. Trotzdem überraschen die Ergebnisse einer weltweiten Umfrage, die vor vier Monaten veröffentlicht wurde: Mehr als 80 Prozent der Befragten gaben an, dass sie nur wenige bis keine Details der Verordnung kennen; weniger als 30 Prozent der Unternehmen fühlten sich bereits auf die Anforderungen vorbereitet; fast 70 Prozent sagten, dass sie den Anforderungen nicht gerecht werden oder nicht wissen, ob sie ihnen gerecht werden. Nur drei Prozent hatten bereits einen Plan, wie sie Konformität herstellen wollen; fast alle Unternehmen (97 Prozent) hatten keinen echten Plan für den Zeitpunkt des Inkrafttretens. Die Ergebnisse zeigten ausserdem, dass man sich in den befragten Unternehmen nicht über das Ausmass der nötigen Veränderungen sowie über die Schwere der Strafen im Klaren ist.

No comments:

Post a Comment