Früher war alles besser? Was die DSGVO anbelangt, war es für Unternehmer und Werbetreibende ohne DSGVO bestimmt „einfacher“. Was verbirgt sich hinter der sperrigen Abkürzung und was muss man bei Geschäften in der EU beachten?
Es geht um die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU). Sie sorgt für eine EU-weite Vereinheitlichung des Datenschutzes bei der Verarbeitung personenbezogener Daten. Sie ist für alle Mitgliedsstaaten automatisch ab dem 25. Mai 2018 gültig. Die DSGVO stärkt die Rechte von EU-Bürgern im Hinblick auf ihre Daten, Unternehmen sollen bewusster mit Personendaten umgehen und Missbrauch soll verhindert werden.
Gilt die DSGVO auch für Schweizer Unternehmen?
Den Vorgaben des EU-Datenschutzrechts unterstellt sind Schweizer Unternehmen, die ihre Waren oder Dienstleistungen auch Kunden in der EU anbieten und in diesem Zusammenhang personenbezogene Daten speichern und bearbeiten.
Das ganze Juristen-Deutsch lässt sich auf zwei wesentliche Kriterien reduzieren. Es geht zum einen um den sachlichen Anwendungsbereich der DSGVO. Art. 2 § 1: «Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen». Lange Rede, kurzer Sinn: Sobald irgendwelche Daten eines bestehenden oder potentiellen Kunden (persönliche Daten, Bilder, etc.) gespeichert werden, greift die DSGVO. Wichtig: Es betrifft nur Daten, die für geschäftliche Zwecke gespeichert werden.
Das zweite Kriterium ist der räumliche Anwendungsbereich (Art. 3 DSGVO), der besagt, dass die DSGVO für Auftraggeber oder -nehmer gilt, die ihren Sitz in der EU haben (Kriterium der Niederlassung) oder es sich um Geschäfte mit oder Beobachtungen von Personen in der EU handelt (Kriterium des Zielmarktes). Ob diese Personen dabei EU-Bürger sind oder ihren Wohnsitz dort haben, ist zweitrangig. Mit „Beobachten“ von Personen ist vor allem das Tracking und Targeting im Online Marketing gemeint.
Und was ist mit EU-Mitarbeitenden, die in der Schweiz arbeiten?
Grundsätzlich gilt die DSGVO für alle Personen, von denen Daten gespeichert oder die beobachtet werden. Da sich Mitarbeitende für die Arbeit mit Schweizer Betrieben grundsätzlich in der Schweiz aufhalten, würde die DSGVO dann gelten, wenn beispielsweise eine «Beobachtung» über elektronische Geräte erfolgt, wenn sich die Mitarbeitenden in der EU aufhalten.
Welche Rechte haben die betroffenen Personen? Bzw. welche Pflichten haben die Unternehmer?
Sobald Daten gespeichert werden, die Personen im EU-Raum betreffen, greift ein ganzer Katalog an Rechten, die diese Personen nun haben: Es ist namentlich das Recht auf Information, Berichtigung, Löschung und Widerspruch. Das heisst, dass Personen, von denen Daten gespeichert werden, informiert werden müssen, dass dies geschieht, die Daten jederzeit berichtigt oder gelöscht werden können und früheren Entscheidungen zur Datenspeicherung jederzeit auch widersprochen werden kann.
Welche Bereiche von Unternehmen betrifft es?
Es betrifft praktisch alle Prozesse des Marketings und des Verkaufs bzw. des CRM. Je nach Situation von Mitarbeitenden kann es auch das HR betreffen.
Beispiele:
Im Web:
Eine Website muss heute per SSL verschlüsselt sein, um als sicher taxiert zu werden. Ein Impressum ist in der Schweiz zwar schon seit dem 1. April 2012 Pflicht, wird nun aber noch wichtiger. Es müssen der Betreiber der Website mit Namen und Kontaktdaten ersichtlich sein. Über die Datenschutzerklärung muss deklariert sein, welche Tools verwendet werden, um online Daten zu sammeln. Last but not least muss der Besucher einer Website informiert werden, dass Cookies verwendet werden.
Ein entscheidender Punkt für Websites von Schweizer Unternehmen: Wer seine Produkte und Dienstleistungen nicht offensichtlich in der EU anbietet, unterliegt nicht der DSGVO. Erwägung 23 der DSGVO sagt: «Die blosse Zugänglichkeit der Website des Verantwortlichen, des Auftragsverarbeiters oder eines Vermittlers in der Union, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Drittland, in dem der Verantwortliche niedergelassen ist, allgemein gebräuchlich ist, [ist] hierfür [aber] kein ausreichender Anhaltspunkt.»
Im Direktmarketing:
Für Newsletter beispielsweise wird es noch wichtiger, dass das sogenannte Opt-in Verfahren gewählt wird. Das heisst, dass der Empfänger von News diese auch ausdrücklich verlangt. Bei online erhobenen Formulardaten ist ebenfalls eine ausdrückliche Einwilligung nötig, damit die Daten gespeichert werden dürfen.
An Events:
Fotos und Videos an öffentlichen Veranstaltungen in der EU sind hier das Thema. Eine Einwilligung der fotografierten Personen war bisher schon nötig – wenngleich sie von Veranstaltern sehr oft nicht eingeholt wurde. Mit der DSGVO ändert sich hier nichts Wesentliches: An öffentlichen Veranstaltungen sind Unternehmen weiterhin gut beraten, wenn sie bereits bei der Anmeldung darüber informieren, dass Fotos und Videos gemacht werden und wie man sie zu verwenden gedenkt. Ein wichtiger Punkt der DSGVO ist die «Wahrung berechtigter Interessen». Das heisst wiederum, dass wichtige Interessen der Veranstalter, zum Beispiel die Vermarkung des Events, wozu natürlich auch Bilder gehören, höher gewichtet werden können als das Grundrecht der teilnehmenden Personen. Wie sich das genau auswirkt, ist auch ein halbes Jahr nach dem Inkrafttreten der DSGVO noch nicht abschliessend zu beurteilen. Deshalb: Die Einwilligung vor dem Event einzuholen, ist nach wie vor der sicherste Weg.
Ein Hotel erfasst Daten von seinen europäischen Gästen:
Ein delikater Fall ist die DSGVO auch für den Tourismus. Wenn ein Schweizer Hotelier Daten von seinen europäischen Gästen vor Ort erfasst, gilt die DSGVO streng genommen nicht. Wenn er seine Gäste aber online trackt und ihre Daten auf einem Verhalten in der EU basieren, gilt die DSGVO wiederum. Der sicherste Weg ist auf jeden Fall auch hier: Die Einwilligung einholen und proaktiv informieren – on- oder offline, insbesondere um seine Gäste auch in Zukunft zu Werbezwecken kontaktieren zu dürfen.
Was passiert, wenn man gegen die DSGVO verstösst?
Die Verordnung sieht eine ganze Reihe von abschreckenden Massnahmen (vgl. Art. 58 § 2 RGPD) wie Mahnungen und Verwarnungen vor. Als letztes Mittel können Verantwortliche mit Geldbussen von bis zu 20 Millionen Euro oder 4 Prozent ihres weltweiten Jahresumsatzes belegt werden. Es ist aktuell noch nicht absehbar, welche Urteile dazu gefällt werden und ob es Anwälte geben wird, die fehlbare Unternehmer ohne konkrete Kläger im Rücken rechtlich verfolgen werden.
Links:
Umfassende Informationen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)
KMU-Portal des Bundes
Die EU-DSGVO und das Schweizer Datenschutzgesetz – beurteilt durch die Rechtskommission von swissICT
http://www.swissict.ch/publikationen/swissict-magazin/dsg-und-eu-dsgvo/
Die DSGVO – das dümmste Gesetz oder der Geburtshelfer für ein neues Internet?
Neues EU-Datenschutzrecht: 7 Pflichten für KMU in der Schweiz