Die Datenschutz-Grundverordnung (DS-GVO) ist am 24. Mai 2016 in Kraft getreten und die Mitgliedstaaten mussten bis Mai 2018 dafür sorgen, dass diese in ihrem Hoheitsgebiet uneingeschränkt umsetzbar ist. Die DSGVO ist nun in der gesamten Europäischen Union (EU) als Gesetz anerkannt.

Was ist DSGVO und wie betrifft es uns?

 

WIE ERSTELLE ICH EIN VERARBEITUNGSVERZEICHNIS – WAS IST DER INHALT?

Folgende Informationen gehören in ein Verarbeitungsverzeichnis rund um Personendaten:

  • Name der kontrollierenden Firma, Kontaktdaten des Verantworlichen (nicht zwingend Datenschutzbeauftragter)
  • Zu welchem Zweck werden Daten verarbeitet
  • Beschreibung der Kategorien betroffener Personen (Kunden, Mitarbeiter…) und der Kategorien der personenbezogenen Daten
  • Empfänger der Daten (Dienstleister, Konzernfirmen)  in der EU (idealerweise gleiche eine gesamte Bestandesaufnahme vornehmen inkl. Schweiz und Ländern ausserhalb EU)
  • Übermittlung von Daten in die EU (idealerweise alle Länder). Auch reine Cloudspeicherdienste zählen zu  dieser Kategorie, es genügt die Zugriffsmöglichkeit einer Organisation in der EU bzw. eines Drittlandes
  • sofern vorhanden: Fristen für die Löschung von Daten
  • Beschreibung der technischen und organisatorischen Massnahmen zum Schutz der Daten (inkl. Zugriffskonzept)

Muster für ein Verarbeitungsverzeichnis 

Quelle: Bitkom Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.

 

DATENSCHUTZ.ORG

Sie suchen Informationen, Checklisten und Muster zur DSGVO und Datenschutz mit Fokus EU-Binnenmarkt? Datenschutz.org ist ein wirklich umfassendes Informationsportal mit vielen Inputs und Hinweisen. Betrieben wird die Seite vom Berufsverband der Rechtsjournalisten in Berlin.

 

ALLGEMEIN GÜLTIGE CHECKLISTE

 

FAQ DSGVO

WANN GILT DIE DSGVO?

  • Wenn eine Datenbearbeitung von Einwohnern der EU (nicht zwingend Bürger) erfolgt
  • Die DSGVO gilt, wenn ich eine Niederlassung in der EU habe und dort Daten bearbeitet werden. Unabhängig davon, woher die Daten stammen, es kommt also nicht darauf an, ob ich Schweizer Daten oder Deutsche Daten bearbeite
  • Die DSGVO kommt auch zur Anwendung wenn Sie Mitarbeiterdaten von EU-Mitarbeitern in der Schweiz bearbeiten
  • Wenn ich Ware aus der Schweiz (oder einem anderen Drittland) an EU-Kunden verkaufe und die Website auch auf EU-Länder / Konsumenten ausgerichtet ist
  • CH-Unternehmen beauftragt EU-Unternehmen für Hosting, Cloud-Speicherung etc. Beauftragter in der EU untersteht immer der DSGVO. Es ist nicht entscheidend ob der EU-Anbieter mit den Daten etwas macht, alleine die «Lagerung» von Daten löst die Unterstellung aus

 

WANN GILT DIE DSGVO NICHT?

  • Wenn man EU-Bewohner / Kunden von seiner Website explizit ausschliesst oder ablehnt und die Daten ausschliesslich in der Schweiz bearbeitet.

 

SIND COOKIES VON DER DSGVO AUCH BETROFFEN?

  • Es wird eine separate Cookie Regelung geben.

 

IST DSGVO AUF B2B DATEN ANWENDBAR?

  • Ist anwendbar, wenn in der B2B Bearbeitung auch Personendaten verarbeitet werden. Z.B. Hans Muster, Marketingleiter….
  • Reine Unternehmensdaten fallen nicht unter die DSGVO (kein Schutz von juristischen Personen).

 

GILT DIE DSGVO WENN NUR ZUGRIFFE (LESEN/PROGRAMMIERUNG ETC.) OHNE VERARBEITUNG AUF DATEN IN DER EU ODER VON EU BEWOHNERN ERFOLGEN?

  • Allein die Möglichkeit dass ein Unternehmen aus der EU die Möglichkeit hat auf Daten zuzugreifen, bedeutet schon die Gleichstellung mit einen «Datentransfer» und bewirkt DSGVO Unterstellung.

 

IST ES MÖGLICH, INNERHALB EINER UNTERNEHMENSGRUPPE DATEN «FORMLOS» FLIESSEN ZU LASSEN?

  • Alle selbständigen Unternehmen innerhalb einer Unternehmensgruppe sind als Dritte zu betrachten, es gibt kein Konzernprivileg. Deshalb haben auch «gruppeninterne» Datentransfers unter DSGVO Richtlinien zu erfolgen.

 

AUFTRAGSDATENVERARBEITUNGSVERTRAG

  • Jeder Auftraggeber muss sicherstellen, dass ein konformer Auftragsbearbeitungsvertrag vorliegt und sich der in der EU ansässige Datenverarbeiter verpflichtet, die DSGVO zu befolgen.

 

KANN RÜCKWIRKEND SANKTIONIERT WERDEN?

  • Nein es kann nicht für Aktivitäten vor dem 25. Mai 2018 sanktioniert werden. Hingegen müssen ab 25. Mai neu Einwilligungen eingeholt werden, da vorher die neuen Anforderungen/Informationspflichten mutmasslich nicht bekannt waren.

 

WAS MUSS ICH BEI DATENANREICHERUNG BEACHTEN?

  • Es bestehen neu hohe Informationspflichten: Ich muss den Kunden informieren, wenn ich seine Daten mit «zugänglichen» Informationen anreichere. Ich muss eine Einwilligung vom Konsumenten einholen.
  • Davon betroffen sind z.B. auch Umzugsmeldungen der SchweizeriSchen Post (Match, Swisscom Multisource), wenn diese Daten ins Ausland fliessen (Hosting, CRM, ERP etc.)

 

BRAUCHE ICH SEPARATE EINWILLIGUNGEN FÜR AGB UND DATENSCHUTZERKLÄRUNG?

  • In der Schweiz braucht es nicht zwingend zwei getrennte Einwilligungen dafür. Die Empfehlung lautet aber 2 Einwilligungen einzuholen, da es sich um 2 getrennte Pflichten / Vereinbarungen handelt.
  • Bei den AGB hält es sich um eine transaktionsbasierte Vertragsvereinbarung. Diese Vereinbarung kann bei jedem neuen Kauf angepasst werden. Die Datenschutzerklärung hingegen ist eine reine Informationspflicht seitens Anbieter und hat im Normalfall «länger dauernde» Wirkung (die Daten werden im Normalfall unabhängig weiterer Transaktionen bearbeitet und zum Beispiel für Marketingzwecke verwendet).

 

WAS MUSS ICH BEI OPT-IN FÜR NEWSLETTER IN DER EU BEACHTEN? ÄNDERT SICH ETWAS GEGENÜBER DER HEUTIGEN REGELUNG?

 

INTERPELLATION DORIS FIALA ZUR UMSETZUNG DER DSGVO IN DER SCHWEIZ

Top