GDPR: 25. Mai 2018 ist Stichtag

General Data Protection Regulation – kurz GDPR – oder Deutsch: die Datenschutz-Grundverordnung der EU, die festlegt, wie personenbezogene Daten gesammelt und verarbeitet werden dürfen. Sie ist ab 25. Mai 2018 anwendbar und betrifft alle Unternehmen, die mit Daten von Personen arbeiten, welche in der EU niedergelassen sind. Communicators mit zahlreichen Kunden im EU-Raum ist derzeit intensiv mit dem Thema beschäftigt, überprüft vorhandene Richtlinien und Dokumentationen und macht sich zusammen mit dem externen IT-Provider und einem Datenrechtsspezialisten fit für den 25. Mai.

Die Normen der GDPR betreffen eigentlich alle, nicht nur Unternehmen, die mit EU-Firmen zusammenarbeiten. Denn spätestens ab 2019 wird auch die Revision des Schweizer Datenschutzgesetzes (DSG) Konsequenzen für den Umgang mit Personendaten haben. Wer sich also heute schon mit den Grundlagen befasst, Strukturen und Abläufe überprüft, Reglemente anpasst usw. leistet wichtige Vorarbeiten, um 2019 nicht überrumpelt zu werden. Denn die Anforderungen sind hoch und breit gefächert, Bussgelder drakonisch hoch angesetzt.

Im Fokus stehen die personenbezogenen Daten bzw. deren Schutz und die Handhabung dieser Daten. Dabei geht es nicht nur um die Erfassung der Kontaktdaten in Ihrem Adress-/Kundensystem, wenn Sie eine Visitenkarte bekommen, sondern auch um deren Schutz, den Verwendungszweck usw.  Beispielsweise E-Mail-Adressen, die für den Versand eines Newsletters verwendet werden. Auch dieser Newsletter geht seit Jahren quartalsweise unter anderem an Leser aus dem EU-Raum (wer sich übrigens von dieser Versandliste austragen und seine E-Mail-Adresse löschen möchte, kann dazu den Link ganz am Ende des Newsletters benutzen).   

Gemäss BDO zählen zu den wichtigsten Kernelementen der GDPR:

  • Höhere Bussgelder: Verstösse sind neu mit hohen Bussen bedroht. Entweder (i) bis zu vier Prozent des weltweiten Jahresumsatzes des ganzen Konzerns oder (ii) 20 Millionen Euro. Je nachdem, welcher Betrag der höhere ist. 
  • Erweiterte Dokumentationspflichten: Unternehmen müssen die ordnungsgemässe Bearbeitung von Personendaten belegen. 
  • Meldepflicht: Datenschutzverletzungen müssen möglichst innerhalb von 72 Stunden gemeldet werden. 
  • Datenspeicherung: Die Speicherdauer von Personendaten muss durch das Unternehmen festgelegt werden. Nach Ablauf der Frist müssen Daten gelöscht werden. 
  • Aufsichtsbehörden: Sie erhalten erweiterte Kompetenzen.

Im Unterschied zur EU sollen in der Schweiz die hohen administrativen Bussen gegen Unternehmen nicht übernommen werden. Hierzulande sollen dagegen die Verantwortlichen in den Unternehmen persönlich sanktioniert werden. In Strafverfahren kann gegen sie eine Busse für Datenschutzverletzungen bis zu 250‘000 Franken ausgesprochen werden. In der Regel werden somit die Verwaltungsratsmitglieder Schweizer Firmen persönlich haften. Lediglich bei geringfügigen Bussen (unter 50‘000 Franken) kann auf die persönliche Verfolgung verzichtet und stattdessen das Unternehmen gebüsst werden.

Es lohnt sich also, sich frühzeitig mit dem Thema auseinanderzusetzen.

Als Erstlektüre zum Thema empfehlen wir Ihnen zwei Artikel von Klaus Krohmann, Rechtsanwalt bei der BDO AG:

13. April 2018, Roland Cecchetto - Blogbeitrag

New comment

0 comments