Obwohl die DSGVO (Datenschutz-Grundverordnung) ein Erlass der Europäischen Union und damit kein nationales Recht ist, wirkt sie sich trotzdem auch auf in der Schweiz ansässigen Unternehmen aus,
- welche die Daten von natürlichen Personen – sei es potenzielle Interessenten oder bereits bestehende Kunden – aus dem EU-Raum verarbeiten und/oder
- die Absicht haben, diese Personen online anzusprechen.
Wenn Sie also mit Ihrer Website auch Kunden aus der EU-Raum anwerben oder die Daten solcher Personen mittels Analysetools (z.B. Google Analytics) oder im Rahmen von E-Mail-Marketing verarbeiten, sollten Sie die wichtigsten Pflichten der DSGVO kennen.
Denn das Bussgeld kann unter Umständen hoch ausfallen und sehr schmerzhaft sein, da es basierend auf dem Unternehmensumsatz berechnet wird. In den ersten 7 Monaten seit Ende der DSGVO-Schonfrist im Mai 2018 wurden durchschnittlich 247 Vergehen pro Tag im Europäischen Wirtschaftsraum gemeldet. In den letzten 12 Monaten (Januar 2019 – Januar 2020) stiegen die täglichen Meldungen auf 278 pro Tag, was einem Zuwachs von 12% entspricht. Unter der neuen DSGVO wurden bisher folgende Rekordbussgelder verhängt oder angekündigt:
- Deutsches Wohnen: 14.5 Millionen Euro, weil die Daten der Mieter nicht gelöscht werden konnten.
- Google (Frankreich): 50 Millionen Euro, weil die Informationen zum Datenschutz und der Einwilligungserklärung vage und schlecht zugänglich waren.
- British Airways: über 200 Millionen Euro, weil der Schutz sensibler Daten mangelhaft war.
- Hotelkette Marriott: 110 Millionen Euro, weil der Schutz sensibler Daten mangelhaft war.
Anlässlich der Connecta 2018 hielt Dr. Noëmi Schöni ein Referat mit dem Titel «Die neue DSGVO – Fluch oder Segen für den Onlinehandel?». In der nachfolgenden Webinaraufzeichnung erklärt Dr. Noëmi Schöni die wichtigsten Auswirkungen der DSGVO auf Schweizer Webseiten ausführlich und praxisnah:
Die wichtigsten Pflichten der DSGVO
Unternehmen, welche aktuell der DSGVO unterstehen, obliegen insbesondere die nachfolgenden Pflichten:
1. Einwilligungserklärung einholen
Die Einwilligung muss freiwillig gegeben werden und auf einer ausführlichen, erkennbaren und bestimmten Information basieren. Personen, deren Daten verarbeitet werden, müssen ausführlich informiert werden, was mit ihren Daten nach der Datenerhebung passiert, wie und wo diese verarbeitet werden. Die Einwilligung erfordert keine bestimmte Form und kann deshalb auch mündlich erfolgen. Da das Unternehmen die Einwilligung jedoch nachweisen können muss, empfiehlt sich jedoch die Schriftform. Zudem muss die Einwilligung jederzeit widerrufen werden können.
Anfangs Oktober hat der Europäische Gerichtshof entschieden, dass auch der Verwendung von Cookies aktiv zugestimmt werden muss und auf einer Webseite keine vorausgefüllten Einwilligungen (z.B. angekreuztes Kästchen) zur Verfügung gestellt werden dürfen (Pressemitteilung Nr. 125/19). Denn eine Cookie-Voreinstellung ist ein Eingriff in die Privatsphäre, weshalb die Einwilligung der betroffenen Person erforderlich ist. Diese Einwilligung muss in jedem Einzelfall erfolgen und der Nutzer muss darüber informiert werden, ob und wie weit Dritte auf die Cookies zugreifen können. Davon ausgenommen sind grosse Anbieter mit Abomodellen und Logins wie Facebook. Dort gibt der Nutzer einmalig sein Einverständnis bei der Registrierung.
2. Technische und organisatorische Massnahmen
Einerseits müssen Unternehmen technische und organisatorische Massnahmen ergreifen, um die Einhaltung der DSGVO sicherzustellen und die Daten der betroffenen Personen zu schützen. Andererseits müssen sie mit ihren technischen Voreinstellungen gewährleisten, dass standardmässig nur Daten erhoben werden, die für den jeweiligen Verwendungszweck erforderlich sind.
3. Ernennung eines Vertreters in der EU
Diese Pflicht entfällt, wenn die Datenverarbeitung
- nur gelegentlich erfolgt,
- keine besonderen Datenkategorien betreffen und
- nahezu kein Risiko mit sich bringen wird.
4. Führen eines Datenverarbeitungsverzeichnisses
Das Unternehmen muss ein Verzeichnis über die Methoden der Datenverarbeitung führen und dieses der Datenschutzaufsichtsbehörde auf deren Aufforderung hin vorlegen können.
5. Melden von Verstössen
Das Unternehmen muss über Mechanismen verfügen, mit denen die betroffenen Personen und die zuständigen Aufsichtsbehörden im Falle einer Datenschutzverletzung benachrichtigt werden.
6. Durchführung einer Datenschutz-Folgenabschätzung
Datenverarbeitungen, die ein hohes Risiko mit sich bringen, dass Rechte und Freiheiten verletzt werden könnten, müssen einer Folgenabschätzung unterzogen werden.
Im Fall einer Datenschutzverletzung wird das Unternehmen Abmahnungen bekommen und Geldbusse zahlen müssen, die bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes im vergangenen Geschäftsjahr betragen kann. Betroffenen Unternehmen ist daher eine frühzeitige Umsetzung der neuen Pflichten empfohlen.
>> Weitere Beiträge zu rechtlichen Themen