Was ist GDPR?
Die Datenschutz-Grundverordnung – auf Englisch General Data Protection Regulation (GDPR) – der EU gilt ab dem 25. Mai. Es ist die tiefgreifendste Überarbeitung der Datenschutzregeln der vergangenen Jahrzehnte. Das Gesetz vereinheitlicht und verschärft die bisher in der EU geltenden Datenschutzvorschriften. Intransparentes Datensammeln durch Unternehmen wird begrenzt und die Rechte der europäischen Konsumenten werden gestärkt.
Wo gilt GDPR?
Die neuen Datenschutzregeln gelten nicht nur innerhalb der EU, sondern für alle Unternehmen, die in der EU tätig sind – auch ohne Firmensitz in der EU – und personenbezogene Daten von europäischen Bürgerinnen und Bürgern verarbeiten. Und zwar wenn sie Personen in der EU Waren oder Dienstleistungen verkaufen oder kostenlos anbieten oder ihr Verhalten analysieren («Tracking»). Neben Unternehmen gilt GDPR auch für öffentliche Verwaltungen, die immer mehr digitale Dienste im Rahmen von E-Government anbieten.
Was ändert sich?
An den Grundprinzipien des europäischen Datenschutzes ändert sich nichts. Neu ist vor allem die bessere Durchsetzung der Rechte von Konsumenten sowie die Ahndung von Unternehmen bei Datenmissbrauch. Zudem gelten künftig strengere Transparenzpflichten: Unternehmen müssen ihren Kunden transparente Informationen über die Verwendung ihrer Daten bereitstellen, ohne dass die betroffenen Personen diese verlangen.
Wem nützt GDPR?
Vor allem den Konsumenten, indem sie umfassend darüber informiert werden, was mit ihren Daten passiert, und der Datenverarbeitung widersprechen können. Der europäische Gesetzgeber will die Bürger dafür sensibilisieren, wer über ihre Daten verfügt, und dafür, ihre Rechte wahrzunehmen. Doch auch für Unternehmen gibt es Vorteile: Die neuen Löschpflichten etwa können Firmen dabei helfen, ihre Datenverarbeitung zu entschlacken. Wenn sich Unternehmen datenschutzkonform verhalten, trägt es zu einem positiven Image bei. Und dies wiederum könnte ihnen einen Marktvorteil verschaffen.
Was passiert bei Verstössen?
Betroffene Personen können sich bei der zuständigen Aufsichtsbehörde in der EU beschweren. Wenn Unternehmen Datenschutzverletzungen feststellen, sind sie künftig verpflichtet, diese innert 72 Stunden den Aufsichtsbehörden zu melden – zuständig sind die jeweiligen nationalen Datenschutzstellen. Die Macht der Aufsichtsbehörden wird somit deutlich gestärkt – was insbesondere auch Internetkonzerne wie Facebook oder Google in Zukunft zunehmend zu spüren bekommen dürften.
Wie hoch sind die Bussen?
GDPR sieht bei Verstoss des Datenschutzes beachtliche Sanktionen vor: Die Bussgelder können sich auf bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens belaufen – je nachdem welcher Betrag höher ist. Neben dem wirtschaftlichen Risiko laufen Firmen bei Datenschutzverstössen aber auch Gefahr eines immensen Reputationsverlustes, wie aktuell der Fall von Facebook zeigt.
Was müssen Unternehmen tun?
GDPR trat bereits 2016 in Kraft, bis zum 25. Mai haben Unternehmen Zeit, sich auf die neuen Regeln vorzubereiten. Grossunternehmen haben das meist bereits hinter sich, während kleinere Firmen häufig noch nicht ausreichend vorbereitet sind. Experten zufolge ist es jedoch nicht entscheidend, zum Stichtag voll konform zu sein. Vielmehr sollten Unternehmen Prozesse geschaffen haben, um die Datenschutzvorschriften in Zukunft umzusetzen. So ist etwa die umfassende Dokumentation der Nutzung und Weitergabe von Personendaten ihrer Kunden wichtig.
Gilt GDPR in der Schweiz?
Ja, aber nicht direkt, sondern wie beschrieben nur, wenn Daten von Personen aus der EU betroffen sind. Das gesetzliche Pendant ist das Schweizer Datenschutzgesetz (DSG), das zurzeit überarbeitet und den EU-Regeln angepasst wird. Die Revision ist erforderlich, damit die EU die Schweiz auch weiterhin als Land mit adäquatem Datenschutzniveau anerkennt.
Sind Schweizer Firmen betroffen?
Es gilt das sogenannte Marktortprinzip: Entscheidend ist nicht, wo das Unternehmen sitzt, sondern wo sich die betroffene Person, deren Daten verarbeitet werden, befindet. Verkauft eine Schweizer Firma Waren oder Dienstleistungen oder schickt zum Beispiel einen kostenlosen Newsletter an Personen in der EU, unterliegt sie dem europäischen Gesetz. Schweizer Unternehmen sind künftig ausserdem verpflichtet, eine Datenschutzvertretung in der EU zu benennen. Das kann eine europäische Niederlassung sein, bei kleineren Unternehmen bieten Agenturen oder Beratungen diese Dienstleistung an. Dafür gibt es eigens eine Website: www.datenschutzpartner.ch.
Was sind die Folgen die Schweiz?
Für Unternehmen, die sich heute schon um Datenschutz kümmern, ändert sich nicht viel. Alle anderen könnten durch die hohen Bussen hart getroffen werden, insbesondere KMU. GDPR könnte auch Auswirkungen auf die vielen Geschäftsbeziehungen von Schweizer Unternehmen mit Firmen in der Europäischen Union haben. Denn aufgrund der strengeren EU-Regeln könnten die Geschäftspartner der Schweizer Unternehmen künftig verlangen, dass ihre Schweizer Handelspartner datenschutzkonform sind. Sind sie es nicht, könnte ihnen ein Wettbewerbsnachteil entstehen. Kurz: Kaum ein Schweizer Unternehmen kommt um GDPR herum.