DSGVO.

Was Schweizer Unternehmen beachten müssen.

19.03.2018

Die Europäische Datenschutz-Grundverordnung (kurz DSGVO) war im vergangenen Jahr für Datenschutz- und Compliance-Juristen ein beherrschendes Thema, und 2018 wird das nicht anders sein: Ab Ende Mai sind die Vorgaben der DSGVO einzuhalten. Dass dies auch Unternehmen in der Schweiz betrifft - und zwar nicht nur Grosskonzerne, sondern auch KMUs -, hat sich inzwischen herumgesprochen.

 

Für wen gilt die DSGVO?

Die DSGVO findet auf jeden Umgang mit Personendaten (einschliesslich Beschaffung, Speicherung, Löschung, Anonymisierung, Weitergabe etc.; kurz "Verarbeitung") durch schweizerische Unternehmen Anwendung, wenn das Unternehmen

 

  • in der EU eine Niederlassung unterhält, etwa eine Tochtergesellschaft, eine Zweigniederlassung, eine Agentur oder eine lokale Repräsentanz, und im Zusammenhang mit der Niederlassung Personendaten verarbeitet (Beispiel: eine Niederlassung in Frankreich verkauft Produkte oder Leistungen für die Hauptniederlassung in der Schweiz und verwendet dafür Name und Adresse von Endkunden oder Kontaktpersonen des Käufers vor Ort);
  • falls keine Niederlassung in der EU besteht: wenn das Unternehmen Angebote auf natürliche Personen in der EU ausrichtet (Beispiel: ein Unternehmen in der Schweiz vertreibt über eine Website Waren oder Dienstleistungen bewusst auch nach Deutschland) oder das Verhalten von Personen in der EU beobachtet (Beispiel: ein SaaS-Anbieter in der Schweiz hat Kunden in der EU).

Eine Pflicht zur Einhaltung der DSGVO kann sich auch aus Verträgen mit Unternehmen in der EU ergeben. Im Ergebnis haben sich sehr viele Unternehmen mit der DSGVO zu befassen, auch wenn sie in der EU keine Niederlassung haben.

 

Welche organisatorischen und operationellen Massnahmen sind zu treffen?

Schweizerische Unternehmen, die der DSGVO unterstehen, aber keine europäische Niederlassung haben, müssen in einem der betroffenen Staaten einen lokalen Vertreter bestimmen. Bei bestimmten riskanten Datenbearbeitungen muss zudem ein Datenschutzbeauftragter bestimmt werden. Allgemein müssen betroffene Unternehmen das Know-how und die Ressourcen beschaffen, um die operationellen Anforderungen der DSGVO bewältigen zu können.