DSGVO: Gilt die EU-Datenschutzgrundverordnung in der Schweiz?
Aufgrund der steigenden Digitalisierung der Gesellschaft sorgen sich viele Menschen um das Thema Datenschutz. Insbesondere personenbezogene Daten bieten dabei viele Möglichkeiten zum gezielten Missbrauch. Um genau solchen Szenarien entgegenzuwirken, hat die EU mit der DSGVO (Datenschutzgrundverordnung) ein neues Gesetz verabschiedet. Doch was bedeutet das eigentlich für Unternehmen aus der Schweiz?
Wir erklären dir in diesem Artikel, ob diese neue Vorgabe für dich relevant ist und wie du deine Website sowie Datenverarbeitung DSGVO-konform machen kannst. Dann steht deinem erfolgreichen EU-Geschäft nichts mehr im Weg.
Was regelt die Datenschutzgrundverordnung (DSGVO)?
Die zum 25. Mai 2018 eingetretene Verordnung hat zum Ziel, den Datenschutz innerhalb des EU-Raums zu vereinheitlichen. Im Fokus steht sowohl der Schutz vor Missbrauch bei der Verarbeitung von personenbezogenen Daten als auch das Recht auf informationelle Selbstbestimmung. Viel Spielraum für nationale Alleingänge gibt es jetzt nicht mehr.
Es gab zwar eine zweijährige Schonfrist, die Unternehmen den Übergang erleichtern sollte. Diese Frist ist selbst mit den verständlichen Verzögerungen durch die Corona-Pandemie lange verstrichen. Deswegen gelten prinzipiell keine Ausnahmen mehr und alle Unternehmen mit Geschäft in der EU müssen sich an die neue Datenschutzgrundverordnung halten.
Wann betrifft die DSGVO Unternehmen aus der Schweiz?
Doch obwohl es sich um eine EU-Verordnung handelt, können auch Unternehmen aus der Schweiz davon betroffen sein. Das Datenschutzgesetz gilt nämlich grundsätzlich für alle, die personenbezogene Daten von natürlichen Personen aus der EU verarbeiten möchten.
Die folgenden zwei Fälle sind hierfür massgeblich:
- Dein Unternehmen hat die Absicht, Waren oder Dienstleistungen an Personen in der EU anzubieten (gegen Bezahlung oder unentgeltlich).
- Dein Unternehmen möchte das Verhalten von Personen verfolgen, sofern dieses Verhalten in den Mitgliedstaaten der EU erfolgt.
Während der erste Fall relativ klar ist, handelt es sich im zweiten Fall beispielsweise um die Nutzung von Profiling-Tools oder Google Analytics. Selbst hier haben natürliche Personen nach der DSGVO umfassende Rechte, um den Schutz ihrer Daten zu gewährleisten.
Die EU ist der wichtigste Handelspartner der Schweizer Wirtschaft und allen voran Deutschland, Italien und Frankreich sind für viele KMU als Märkte unverzichtbar. Deswegen ist die Datenschutzgrundverordnung für Unternehmen mit EU-Geschäft ein absolutes Muss.
Die wichtigsten Grundsätze und Prinzipien der DSGVO
Um dieses komplexe Thema etwas greifbarer zu machen, gibt es mehrere Grundsätze und Prinzipien. Sie geben einen guten Überblick zu den wesentlichen Verpflichtungen und erklären, welches Ziel mit jedem Prinzip verfolgt wird.
Das DSGVO-Gesetz orientiert sich an folgenden Grundsätzen:
- Verbot mit Erlaubnisvorbehalt: Zunächst ist die Verarbeitung von personenbezogenen Daten grundsätzlich verboten (Verbotsprinzip). Eine Ausnahme gilt nur, wenn eine explizite Erlaubnis der betroffenen Person vorliegt.
- Zweckbindung: Unternehmen dürfen nur zweckgebundene Daten erheben und verarbeiten. Hierfür muss bereits bei der Einholung der Erlaubnis der Zweck ausformuliert und die zukünftige Verwendung dokumentiert werden.
- Datenminimierung: Die Erhebung von Daten muss sich auf das absolut Notwendige beschränken. Es gilt das Prinzip: So wenig wie möglich, so viel wie nötig. Erlischt die Verarbeitungsbefugnis, sind die Daten sofort zu löschen.
- Transparenz: Eine transparente, verständliche und einsehbare Datenschutzerklärung ist ebenfalls notwendig. Zudem müssen Unternehmen auf Anfrage von Personen Details zur Datenerhebung und Verarbeitung offenlegen.
- Vertraulichkeit: Unternehmen sind dazu verpflichtet, personenbezogene Daten ihrer Kunden zu schützen. Dazu gehören angemessene technische und organisatorische Massnahmen mit Hinblick auf die Sensibilität der Daten.
So machst du deine Website in 5 Schritten DSGVO-konform
Für viele Unternehmen ist die eigene Website oft der wichtigste Vertriebskanal im EU-Raum. Das betrifft dann natürlich auch Unternehmen aus der Schweiz, die sich an die DSGVO halten müssen, wenn sie Kunden aus dem EU-Raum ansprechen wollen.
Mit den folgenden Tipps schaffst du eine gute Basis zur Umsetzung aller Anforderungen der Datenschutzgrundverordnung. Im Zweifel ist aber die professionelle Beratung durch einen Experten unabdingbar – es gibt nämlich einige Ausnahmen und Sonderfälle.
1. Modernisiere bei Bedarf deine IT-Infrastruktur
Unternehmen sind dazu verpflichtet, personenbezogene Daten in ausreichendem Umfang zu schützen. Dazu gehört eine moderne und sichere IT-Infrastruktur, die mit Hinblick auf deine Website einige Aspekte umfassen kann. Ist dein Content-Management-System auf dem neuesten Stand? Sind SQL-Datenbank und PHP-Version aktuell? Werden alle Datenübertragung mithilfe einer SSL-Verschlüsselung abgesichert?
2. Aktualisiere die Datenschutzerklärung für deine Website
Jede Website sollte bereits über eine Datenschutzerklärung verfügen, doch im Rahmen der DSGVO ist häufig ein Update notwendig. Lege von Anfang klar fest, was der Zweck der Datenverarbeitung ist, welche Daten erhoben werden, was mit ihnen geschieht und wie lange die Speicherung erfolgt. Informiere zudem über das Recht auf Auskunft und Löschung und gebe die Kontaktdaten eines Datenschutzbeauftragten an (sofern vorhanden).
3. Formulare mit Erlaubnis zur Datenverarbeitung versehen
Wer heute Internetseiten ansteuert, muss häufig der Nutzung und Datenerhebung durch Cookies zustimmen. Das ist die erste Erlaubnis, die man erteilen muss. Aber viele Websites verfolgen das Ziel einer Konversion, ob zur Kontaktaufnahme oder zum Verkaufsabschluss. Das müssen entsprechende Formulare berücksichtigen und vorab die datenschutzfreundlichste Erlaubnis zur Datennutzung vorschlagen (privacy by default).
4. Datenhunger von Google Analytics einschränken
So gut wie alle Websites setzen heute auf Google Analytics als Standard, doch das praktische Tool sammelt auch umfassende Daten. Die DSGVO verlangt zunächst, dass du einen Vertrag zur Auftragsdatenverarbeitung mit Google abschliesst (unter Google Analytics → Kontoeinstellungen → Zusatz anzeigen). Eine Opt-Out-Option für Nutzer sowie IP-Anonymisierung ist ebenfalls wichtig – dafür bietet WordPress praktische Plugins.
5. Dokumentation zum Datenschutz nach DSGVO anfertigen
Unternehmen vernachlässigen gerne das Thema Dokumentation, die Vorgaben sind aber klar. Hausinterne Dokumentation muss die Datenschutzgesetz-Compliance belegen und ist Behörden auf Anfrage verfügbar zu machen. Hierzu gehört auch ein Verzeichnis der Verarbeitungstätigkeiten, das alle Unternehmen erstellen müssen. Ausnahmen gibt es nur für Unternehmen unter 250 Mitarbeitern, die unkritische Daten verarbeiten.
Mit WordPress gelingt die Umsetzung noch einfacher
Ein modernes und flexibles Content-Management-System (CMS) ist meistens die beste Grundlage, um die Anforderungen der DSGVO schnell umsetzen zu können. So bietet WordPress als beliebtestes CMS der Welt zahlreiche praktische Plugins für stärkeren Datenschutz. Einige Themen sind damit per Mausklick erledigt.
Aber viele Unternehmen haben individuelle Geschäftsprozesse, die ebenso individuelle Lösungen erfordern. Dann kann es entscheidend sein, die eigene Website und Plugins mit Hinblick auf die Datenschutzgrundverordnung anzupassen. Eine erfahrene WordPress-Agentur ist dafür der richtige Partner an deiner Seite.
Fazit: Die DSGVO (EU-Datenschutzgrundverordnung) ist auch für Unternehmen aus der Schweiz relevant
Die EU ist der mit Abstand wichtigste Markt für Unternehmen aus der Schweiz mit Auslandsgeschäft. Hat dein Unternehmen also die Absicht, Waren und Dienstleistungen in der EU anzubieten, dann kann die DSGVO für dich verpflichtend sein. Schaffe also frühzeitig Klarheit und sorge bei Bedarf für eine zügige Umsetzung.
Häufig gestellte Fragen (FAQ) zur DSGVO für Schweizer Unternehmen
Auch bei gelegentlichen EU-Kunden kann die DSGVO gelten. Entscheidend ist, ob du gezielt Waren oder Dienstleistungen an EU-Bürger anbietest oder deren Verhalten beobachtest. Im Zweifelsfall solltest du dich an die DSGVO-Richtlinien halten.
Bei Verstössen drohen hohe Geldbussen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Zudem können Reputationsschäden und der Verlust von EU-Kunden folgen.
Nicht jedes Unternehmen benötigt einen Datenschutzbeauftragten. Dies ist abhängig von der Art und dem Umfang der Datenverarbeitung. Wenn du regelmässig und systematisch personenbezogene Daten in grossem Umfang verarbeitest, ist ein Datenschutzbeauftragter erforderlich.
Obwohl es Ähnlichkeiten gibt, ist die DSGVO in vielen Bereichen strenger und detaillierter als das Schweizer Datenschutzgesetz. Die DSGVO legt beispielsweise mehr Wert auf die Rechte der Betroffenen und hat strengere Meldepflichten bei Datenpannen.
Es gibt keine explizite Vorgabe zur Sprache. Jedoch sollte die Datenschutzerklärung in einer Sprache verfasst sein, die deine Zielgruppe versteht. Wenn du dich an deutschsprachige und englischsprachige Kunden richtest, ist es ratsam, die Erklärung in beiden Sprachen anzubieten.
Die DSGVO schreibt vor, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für den Zweck der Verarbeitung erforderlich ist. Sobald der Zweck erfüllt ist, musst du die Daten löschen oder anonymisieren, es sei denn, es bestehen gesetzliche Aufbewahrungspflichten.
Du musst dem Löschungsantrag nachkommen, sofern keine rechtlichen Gründe dagegen sprechen. Die Löschung muss unverzüglich erfolgen und du musst sicherstellen, dass die Daten auch bei Dritten, an die du die Daten weitergegeben hast, gelöscht werden.
Es gibt spezielle Cyber-Versicherungen, die auch DSGVO-Risiken abdecken können. Ob eine solche Versicherung für dein Unternehmen sinnvoll ist, hängt von deinem individuellen Risikoprofil ab. Konsultiere einen Versicherungsberater für eine fundierte Einschätzung.
Über den Author
Stefan “Velthy” Velthuys ist ein herausragender Designer, der sich durch seine Leidenschaft für visuell ansprechende und funktionsreiche Designs auszeichnet. Mit einem starken Hintergrund in der Frontend-Entwicklung versteht er es, responsive Designs zu kreieren, die nicht nur auf dem Bildschirm gut aussehen, sondern auch perfekt funktionieren. Velthy hat seine Fähigkeiten in einer Vielzahl von Projekten unter Beweis gestellt, darunter die Neugestaltung von Websites für renommierte Kunden wie autotechnik und Ringier Advertising. Ausserhalb des Büros geniesst er Städtetrips und die Natur, spielt regelmässig Geografie-Quizzes und taucht tief in seine Kaffeekultur ein.
Hast du auch ein Projekt mit einem ähnlichen Thema?
Velthy ist dein Ansprechpartner.
Melde dich bei uns! Wir sind immer interessiert an neuen Herausforderungen.