Unternehmen, die ihren Sitz in einem der derzeit 28 Mitgliedsstaaten haben – und personenbezogene Daten verarbeiten, unterliegen den Verpflichtungen, die sich aus der EU-Datenschutz-Grundverordnung ergeben. Doch auch Schweizer Unternehmen sind davon betroffen.
Dieser Beitrag ist Teil der Blogserie zur DSGVO (GDPR) für die Schweiz.
Extraterritoriale Anwendung
Beim Niederlassungsprinzip greift die Verordnung nach Art. 3 Abs. 1 DSGVO, wenn die Niederlassung eines Verantwortlichen oder Auftragsverarbeiters von personenbezogenen Daten in der Union liegt. Wo die eigentliche Datenverarbeitung stattfindet, spielt dabei keine Rolle.
Eine Rolle spielt die Verordnung beim Marktortprinzip nach Art. 3 Abs. 2 DSGVO aber, wenn Daten von betroffenen Personen verarbeitet werden, die sich in der Union befinden. Anwendung findet die DSGVO auch dann, wenn sich die Niederlassung des Verantwortlichen oder Auftragsverarbeiters ausserhalb der EU befindet.
Waren und Dienstleistungen
Das heisst, auch Schweizer Unternehmer, Selbstständige und Behörden unterliegen der Europäischen-Datenschutz-Grundverordnung, wenn sie "betroffenen (EU-) Personen Waren oder Dienstleistungen anbieten – unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist" oder nicht.
Drakonische Strafen bei Verstössen
Aufgrund der Kürze der Zeit, solltest du die erforderlichen Massnahmen direkt umzusetzen, damit du für den 25. Mai 2018 gewappnet bist. Das EU-Parlament, das diese Datenschutz-Grundverordnung bereits 2016 verabschiedet hat, sieht bei Verstössen teils empfindliche Bussen vor – und die haben es in sich: Bis zu 20 Mio. Euro bzw. bis zu 4% des weltweiten Jahresumsatzes können im Maximum verhängt werden.
Damit sollen in erster Linie US-amerikanische "Datenkraken" wie Google, Facebook, Amazon und Co abgeschreckt und die Schranken gewiesen werden. Doch auch Schweizer Unternehmen sollten aufhorchen – denn Bussen gelten für alle Unternehmen, die der EU-Verordnung unterliegen.
Persönlicher Eindruck
Es bringt nichts, nichts zu tun. Die EU-Verordnung kommt in grossen Schritten auf uns zu. Und damit meine ich auch uns Schweizer Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Zeit also, die entsprechenden Massnahmen anzugehen und umzusetzen.
Ich wünsche dir viel Erfolg bei den Vorbereitungen und hoffe, dir mit diesem Beitrag ein Stück weiterhelfen zu können.
Herzliche Grüsse
Sven
Hier gehts zur Übersicht der Blogserie: "DSGVO für die Schweiz"
Haftungsausschluss: Bitte beachte, dass die Beiträge innerhalb der Blogserie keine Rechtsberatung darstellen oder ersetzen. Für eine individuelle Abklärung der Massnahmen in deinem Unternehmen, empfehle ich ggf. einen Rechtsberater aufzusuchen.
Quellen: www.dsgvo-gesetz.de, https://www.edoeb.admin.ch