EU Datenschutz-Grundverordnung

Auch wenn die Schweiz kein EU-Land ist, wird die im Mai 2018 wirksam werdende EU-Datenschutz-Grundverordnung (DS-GVO) wohl eine erhebliche Rolle für Schweizer Unternehmen spielen. Dies gilt insbesondere dann, wenn diese in Vertragsbeziehungen zu deutschen Unternehmen stehen.

Die Datenschutz-Grundverordnung für die Europäische Union

Wenn Ende Mai 2018 die DS-GVO wirksam wird, festigt sie einen einheitlichen Schutz und Regelungsgehalt für den Umgang mit personenbezogenen Daten in der Europäischen Union. Der erweiterte Schutzbereich gilt für alle EU-Bürger. Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen sich ausgehend vom Anwendungsbereich ebenfalls an die Bestimmungen der DS-GVO halten. Dies gilt auch für Unternehmen mit Sitz außerhalb der EU.

Die datenschutzrechtliche Verbindung der Schweiz mit der EU

Die Regelungen der DS-GVO sind gem. Art. 3 Abs. 2 DS-GVO auch für Schweizer Unternehmen beachtlich, sofern diese mit Unternehmen oder Kunden aus der EU agieren und hierbei personenbezogene Daten – wie etwa Kundendaten – verarbeiten. Das gleiche gilt, falls Niederlassungen oder Tochtergesellschaften in der EU vorhanden sind und diese mit dem Hauptsitz in der Schweiz personenbezogene Daten austauschen.

Die Schweiz gilt als sicheres Drittland im Sinne des Art. 45 DS-GVO. Das bedeutet, dass die Schweiz nach den Kriterien der EU ein angemessenes Schutzniveau bietet und daher die Übermittlung personenbezogener Daten von der EU in die Schweiz grundsätzlich möglich ist. Ende 2016 wurde auch eine Revision des Datenschutzgesetzes (DSG) der Schweiz beschlossen, um das eigene Datenschutzniveau auf das der EU anzupassen.

Darauf müssen Schweizer Unternehmen besonders achten

Werden bei der Verarbeitung personenbezogener Daten von EU-Bürgern Verstöße gegen die DS-GVO festgestellt, drohen auch Schweizer Unternehmen Geldbußen in einer Höhe von bis zu 20 Millionen EUR. Art. 83 DS-GVO zählt hierfür katalogartig Verstöße und deren Konsequenzen auf.

Beispielhaft erwähnt sei der Verstoß gegen die Rechte von betroffenen Personen, zu denen etwa das Recht auf Vergessenwerden nach Art. 17 DS-GVO zählt. Auch eine Datenschutz-Folgeabschätzung nach Art. 35 DS-GVO kann unter Umständen für ein Schweizer Unternehmen verpflichtend sein.

Es wäre daher für Unternehmen in der Schweiz grob fahrlässig, sich nicht mit der DS-GVO auseinanderzusetzen. Entsprechend gilt dies natürlich auch für alle anderen Länder, die zusammen mit EU-Unternehmen personenbezogene Daten verarbeiten.