Neugierde und Nervosität steigen. In weniger als zwei Monaten, nämlich am 25. Mai 2018, tritt die neue EU Datenschutz-Grundverordnung (DSGVO oder englisch GDPR) in Kraft.
Verstösse können mit kartellrechtsähnlichen Geldbussen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes sanktioniert werden. Ob internationaler Konzern oder KMU, der EU Datenschutz geht zu Recht alle an.
Um was geht es?
Es ist kein rein europäisches Thema mehr. Vor allem globale Unternehmen bereiten sich auf neue Datenschutzgesetze vor. Für alle Unternehmen, die Personendaten bearbeiten empfiehlt sich, eine zentrale Stelle für den Datenschutz zu schaffen. Ähnlich einer Compliance-Funktion wie es in den letzten Jahren vor allem die Finanzindustrie schon für andere Schwerpunktthemen (z.B. Anti-Korruption, Geldwäscherei, Wirtschaftssanktionen, Unternehmensstrafrecht oder Tax Compliance) einzurichten hatte.
Sind Schweizer Finanzdienstleister betroffen?
Ja, da sie infolge des weit gefassten räumlichen Anwendungsbereichs der DSGVO unter die neuen europäischen Datenschutzregeln fallen können.
Schweizer Unternehmen sind dann betroffen, wenn sie „offensichtlich beabsichtigen, betroffenen Personen in einem Mitgliedstaat der Union ihre Dienstleistungen anzubieten“. Zur Prüfung, ob das Angebot offensichtlich beabsichtigt ist, gibt es eine ganze Reihe von Hinweisen. So zum Beispiel die Verwendung einer im EU Mitgliedsland verwendeten Sprache, Währung oder die Angabe einer Telefonnummer mit internationaler Vorwahl. Aber auch die Anreisebeschreibung aus dem (EU-) Ausland zu Ihrem Unternehmen in der Schweiz wäre ein solch wichtiges Indiz.
Auch das Schweizer Datenschutzgesetz (DSG) befindet sich in Revision. Es ist für Schweizer Unternehmen daher ratsam, sich mit dem strengeren Datenschutzniveau bereits jetzt auseinanderzusetzen, um nicht von der laufenden Totalrevision des DSG überrascht zu werden.
Was ist zu tun?
Zunächst aber benötigen Sie eine Übersicht über sämtliche Ihrer Datenverarbeitungsvorgänge (sogenanntes Datenverarbeitungsverzeichnis). Dieses Dateninventar ist wichtig, um den Überblick über die unternehmensinterne (und ggf. ausgelagerte) Datenverarbeitung zu behalten. Es ist aber auch - neu - eine verpflichtende Vorgabe der DSGVO. Denn: Solange Sie nicht wissen, wo, von wem, welche Daten, zu welchem Zweck, wie lange gespeichert werden, können Sie weder prüfen noch nachweisen, ob die Verarbeitung rechtmässig erfolgt.
Dabei spielt der risikobasierte Ansatz eine grosse Rolle. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, wie gross die mit der konkreten Datenverarbeitung verbundenen Risiken tatsächlich sind.
Sind Sie mit Ihrem Unternehmen diesbezüglich bereits auf Kurs?
Unser Online Datenschutz-Assessment ermöglicht Ihnen eine Standortbestimmung der aktuellen Datenschutzverhältnisse in Ihrem Unternehmen vorzunehmen. Starten Sie direkt mit dem Online Assessment oder kontaktieren Sie unsere Experten.