Obwohl die DSGVO (Datenschutz-Grundverordnung) ein Erlass der Europäischen Union und damit kein nationales Recht ist, wirkt sie sich trotzdem auch auf in der Schweiz ansässigen Unternehmen aus,

  • welche die Daten von natürlichen Personen – sei es potenzielle Interessenten oder bereits bestehende Kunden – aus dem EU-Raum verarbeiten und/oder
  • die Absicht haben, diese Personen online anzusprechen.

Wenn Sie also mit Ihrer Website auch Kunden aus der EU-Raum anwerben oder die Daten solcher Personen mittels Analysetools (z.B. Google Analytics) oder im Rahmen von E-Mail-Marketing verarbeiten, sollten Sie die wichtigsten Pflichten der DSGVO kennen.

Anlässlich der Connecta 2018 hielt Dr. Noëmi Schöni ein Referat mit dem Titel «Die neue DSGVO – Fluch oder Segen für den Onlinehandel?». In der nachfolgenden Webinaraufzeichnung erklärt Dr. Noëmi Schöni die wichtigsten Auswirkungen der DSGVO auf Schweizer Webseiten ausführlich und praxisnah:

Die wichtigsten Pflichten der DSGVO

Unternehmen, welche aktuell der DSGVO unterstehen, obliegen insbesondere die nachfolgenden Pflichten:

1. Einwilligungserklärung einholen

Die Einwilligung muss freiwillig gegeben werden und auf einer ausführlichen, erkennbaren und bestimmten Information basieren. Personen, deren Daten verarbeitet werden, müssen ausführlich informiert werden, was mit ihren Daten nach der Datenerhebung passiert, wie und wo diese verarbeitet werden. Die Einwilligung erfordert keine bestimmte Form und kann deshalb auch mündlich erfolgen. Da das Unternehmen die Einwilligung jedoch nachweisen können muss, empfiehlt sich jedoch die Schriftform. Zudem muss die Einwilligung jederzeit widerrufen werden können.

Anfangs Oktober hat der Europäische Gerichtshof entschieden, dass auch der Verwendung von Cookies aktiv zugestimmt werden muss und auf einer Webseite keine vorausgefüllten Einwilligungen (z.B. angekreuztes Kästchen) zur Verfügung gestellt werden dürfen (Pressemitteilung Nr. 125/19). Denn eine Cookie-Voreinstellung ist ein Eingriff in die Privatsphäre, weshalb die Einwilligung der betroffenen Person erforderlich ist. Diese Einwilligung muss in jedem Einzelfall erfolgen und der Nutzer muss darüber informiert werden, ob und wie weit Dritte auf die Cookies zugreifen können. Davon ausgenommen sind grosse Anbieter mit Abomodellen und Logins wie Facebook. Dort gibt der Nutzer einmalig sein Einverständnis bei der Registrierung.

2. Technische und organisatorische Massnahmen

Einerseits müssen Unternehmen technische und organisatorische Massnahmen ergreifen, um die Einhaltung der DSGVO sicherzustellen und die Daten der betroffenen Personen zu schützen. Andererseits müssen sie mit ihren technischen Voreinstellungen gewährleisten, dass standardmässig nur Daten erhoben werden, die für den jeweiligen Verwendungszweck erforderlich sind.

3. Ernennung eines Vertreters in der EU

Diese Pflicht entfällt, wenn die Datenverarbeitung

  • nur gelegentlich erfolgt,
  • keine besonderen Datenkategorien betreffen und
  • nahezu kein Risiko mit sich bringen wird.

4. Führen eines Datenverarbeitungsverzeichnisses

Das Unternehmen muss ein Verzeichnis über die Methoden der Datenverarbeitung führen und dieses der Datenschutzaufsichtsbehörde auf deren Aufforderung hin vorlegen können.

5. Melden von Verstössen

Das Unternehmen muss über Mechanismen verfügen, mit denen die betroffenen Personen und die zuständigen Aufsichtsbehörden im Falle einer Datenschutzverletzung benachrichtigt werden.

6. Durchführung einer Datenschutz-Folgenabschätzung

Datenverarbeitungen, die ein hohes Risiko mit sich bringen, dass Rechte und Freiheiten verletzt werden könnten, müssen einer Folgenabschätzung unterzogen werden.

Im Fall einer Datenschutzverletzung wird das Unternehmen Abmahnungen bekommen und Geldbusse zahlen müssen, die bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes im vergangenen Geschäftsjahr betragen kann. Betroffenen Unternehmen ist daher eine frühzeitige Umsetzung der neuen Pflichten empfohlen.

>> Weitere Beiträge zu rechtlichen Themen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.