Menu

Neue Datenschutz-Grundverordnung: Was KMU wissen müssen

4 min.
jonas-kiefer-foto.1024x1024

von Jonas Kiefer

22 Beiträge

Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) beschäftigt KMU und Juristen gleichermassen. Das Gespräch mit Marc Goumaz, Advokat im Rechtsdienst der WIR Bank liefert die Antworten, was Unternehmen wirklich wissen müssen.

Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) ist seit Monaten ein grosses Thema, das bei weitem nicht nur die Juristen beschäftigt. Nun tritt diese am 25. Mai 2018 in Kraft. Fakt ist: Sie betrifft nicht einfach nur Unternehmen im EU-Raum, sondern auch zahlreiche KMU in der Schweiz.
Doch was müssen Sie wirklich wissen? Das Gespräch mit Marc Goumaz, Advokat im Rechtsdienst der WIR Bank und Mitglied der Direktion, liefert Einblicke und Antworten.

WIR-Blog: Welche Motivation steckt hinter der neuen Datenschutz-Grundverordnung (DSGVO)?
Marc Goumaz:
Dazu muss man sich vor Augen halten, dass der Datenschutz ein Grundrecht der Europäischen Union ist – siehe Artikel 8 der Charta der Grundrechte der EU. Die alte Datenschutzrichtlinie der Europäischen Gemeinschaft ist bereits über 20 Jahre alt, nach entsprechenden Erfahrungen und mit Bezugnahme auf die seither ergangene Rechtsprechung wurde beschlossen, diese Entwicklungen in eine neue gesetzliche Grundlage zu integrieren und zugleich auch neue technische Entwicklungen darin zu berücksichtigen. Zentral ist ferner, dass es sich bei diesem Regelwerk um eine direkt anwendbare Verordnung handelt, währenddessen die Richtlinie ins jeweilige Landesrecht überführt wurde. So soll eine einheitliche Anwendung stattfinden, welche sich positiv auf den europäischen digitalen Binnenmarkt auswirkt.

Unternehmen mit Sitz ausserhalb der EU werden verpflichtet, dieselben Vorschriften wie Unternehmen mit Sitz in der EU anzuwenden.

Was müssen Schweizer KMU ab dem 25. Mai beachten?
Der Eidgenössische Datenschutzbeauftragte geht davon aus, dass zahlreiche Schweizer Unternehmen direkt von der Datenschutz-Grundverordnung betroffen sein werden. Zudem haben die Entwicklungen in der EU natürlich grossen Einfluss auf das Schweizer Datenschutzgesetz (DSG), welches sich momentan in der Totalrevision befindet. Dies wiederum bedeutet, dass in mittelbarer Zukunft auch die anderen Schweizer Unternehmen später über die neuen Bestimmungen des DSG indirekt durch die DSGVO betroffen sein werden.
Nach einer Beurteilung, in welchem Ausmass die DSGVO auf sie Anwendung findet, müssen Schweizer Unternehmen sicherstellen, dass die verschiedenen Pflichten für die involvierte Person respektive für die involvierten Personen nach DSGVO erfüllt werden können. Wird dies nicht getan, drohen nach DSGVO – als letztes Mittel – den Unternehmen sehr hohe Bussen, konkret bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes. Im Entwurf zum DSG sind die Bussen mit 250‘000 Franken tiefer, sie werden jedoch der leitenden privaten Person auferlegt und nicht dem Unternehmen.

Den Unternehmen drohen sehr hohe Bussen, konkret bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes.

Vereinfacht die Verordnung auch gewisse Abläufe?
Die Abläufe sind natürlich von jedem Unternehmen selbst zu definieren. Im Anschluss an die vorherige Antwort kann aber darauf hingewiesen werden, dass die DSGVO von einem risikobasiertem Ansatz ausgeht. Das heisst: Die Pflichten des Verantwortlichen sind stets unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zu beurteilen (Gordon, Der risikobasierte Ansatz im neuen EU- und Schweizer Recht, SJZ 114 Nr. 7, S. 165 f.). Dennoch sind die Anforderungen an den Verantwortlichen natürlich hoch, da er die mit der Verarbeitung von Daten einhergehenden Risiken identifizieren und eine Risikoanalyse unter Berücksichtigung der Eintrittswahrscheinlichkeit vornehmen muss. Durch entsprechende Massnahme muss das Risiko danach auch behandelt werden.

Heisst in der Praxis?
Artikel 32 der DSGVO zählt mögliche Massnahmen für die Sicherheit der Verarbeitung auf, zum Beispiel die Pseudonymisierung und Verschlüsselung personenbezogener Daten oder die Erarbeitung eines Verfahrens zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Daher hat der Verantwortliche wenigstens einen gewissen Umsetzungsspielraum, wobei er bei dieser Abwägung nicht leichtfertig auf Regeln verzichten sollte.

Kommentare

Zu diesem Beitrag gibt es noch keine Kommentare.

Ihr Kommentar

Abbrechen Neuen Kommentar erfassen
Kein Kommentar

Nächster Artikel

Management

Mehr aus der KategorieManagement

Matthias Hüppi und Ansgar Gmür redeten Klartext

Noch einmal hiess es in diesem Jahr: Vorhang auf zum «WIR-KMU-Talk». Die zwei hochkarätigen und illustren Gäste boten informative und sehr oft tiefgründige Unterhaltung vom Feinsten – und begeisterten das Publikum vor Ort. Hier geht's zur Aufzeichnung.

Mehr

Work-Life-Balance zwischen Digital Detox und Höhenflügen

Rolf Stalder ist als Architekt erfolgreicher Unternehmer. Erste körperliche Signale haben zu persönlichen Veränderungen geführt. Im Interview redet er über übertriebene Disziplin, falsche Vorbilder und geistige Freiheit.

Mehr

WIR-KMU-Talk: Zwischen Digitalisierung und Schlafhygiene

Schlafforscher Christian Cajochen und Digitalisierungs-Experte Marc K. Peter stehen für grosses wissenschaftliches Know-how, klare Worte und pointierte Meinungen. Beim WIR-KMU-Talk haben sie dies auf eindrückliche Art und Weise bewiesen.

Mehr

Strategie-Balance: 10 Erfolgsgründe für KMU

Zu viel, zu wenig. Zu akademisch, zu unbedarft. Zu tiefgehend, zu pragmatisch. Bei der strategischen Arbeit in KMU ist die kostbare Zeit von Unternehmer und Geschäftsleitung sorgsam und zielfokussiert zu investieren. Gedanken, Tipps und Anregungen für die passende Dosis.

Mehr