EU-Datenschutz- Grundverordnung (DSGVO)
Wie sich die DSGVO auf Schweizer Unternehmen auswirkt

Seit Ende Mai 2018 ist die neue Datenschutz-Grundverordnung (DSGVO) der EU in Kraft. Über sie sollen EU-Bürger die Kontrolle über die Nutzung ihrer Daten wieder zurückgewinnen. Das hat Auswirkungen auch auf Schweizer Unternehmen. Und das sogar, wenn sie keine Niederlassung in der EU haben. Sunrise hat die wichtigsten Eckdaten zusammengetragen.

Die Datenschutzgrundverordnung (DSGVO) gilt seit dem 25. Mai 2018 in der gesamten Europäischen Union (EU). Sie verpflichtet Unternehmen, Vereine und Institutionen unter anderem dazu, offenzulegen, wie Daten erhoben, verarbeitet und ggf. weitergereicht und verwendet werden. Kern der Verordnung ist deshalb, in einem Verzeichnis zu dokumentieren, wie und zu welchem Zweck Daten erhoben und weiterverarbeitet werden. Zudem sind die Unternehmen verpflichtet, vor Erhebung von personenbezogenen Daten in einer klaren und einfachen Sprache Kunden bzw. Mitglieder über die Verwendung ihrer Daten zu informieren und Daten auf Verlangen auch sofort zu löschen. Kommt es zu einer Datenpanne sind die Aufsichtsbehörden unverzüglich zu informieren.

Datenschutz in der Schweiz

All das betrifft auch viele Schweizer Unternehmen. Die EU-Verordnung gilt zum Beispiel auch dann, wenn ein Schweizer Unternehmen personenbezogene Daten im Auftrag eines europäischen Unternehmens verarbeitet oder Daten von Personen nutzt, die ihren Wohnsitz in der EU haben. Dies ist zum Beispiel der Fall, wenn Online-Shops Produkte an EU-Bürger versenden oder wenn Analysetools das Besucherverhalten auf einer Website tracken, ohne dass die IP-Adresse des EU-Bürgers anonymisiert wurde.

Probleme mit WhatsApp und Co.

Schweizer Unternehmen, die von der neuen EU-Verordnung betroffen sind, müssen also seit Ende Mai 2018 unter anderem über die Verwendung von personenbezogenen informieren, die Einwilligung zur Verarbeitung bei Kunden bzw. Usern dafür einholen und ein Verzeichnis der Verarbeitungstätigkeiten erstellen. Und genau da beginnt das Problem für viele kleinere Unternehmen: Sie nutzen Tools, Apps und Dienstleistungen von Drittanbietern, die die Daten systematisch abgreifen und weiterverarbeiten – beispielsweise auf Servern in den USA.

Berühmtestes Beispiel: Facebook-Tochter WhatsApp, gerne genutzt von Handwerkern und Mechanikern, um sich mal eben schnell ein Bild zu machen. Der Messengerdienst ist für den privaten Gebrauch gedacht, wer ihn beruflich nutzt, geht ein grosses Risiko ein und verstösst auf der ganzen Linie gegen die neue europäische Verordnung. Und das, auch wenn der Dienst nicht beruflich, sondern nur privat genutzt wird. Ist die App auf einem Firmenhandy installiert, werden alle Kontaktdaten im Adressbuch in der Regel ausgelesen. Es muss also eine strikte Trennung von Privat- und Business-Account vorgenommen werden um der Datenschutzverordnung zu entsprechen.
 

Wer sicher gehen will, keine Datenschutzverstösse zu begehen, sollte seinen Mitarbeitern also verbieten, WhatsApp oder andere Messengerdienste, die Dateien und Chatverläufe auf Servern in den USA speichern, auf dem Firmenhandy zu installieren. Genauso vorsichtig sollten die Mitarbeiter sein, wenn sie auf ihren privaten Handys Businesskontakte speichern.

Sie wollen ganz auf Nummer sicher gehen? Dann informieren Sie sich über unsere konformen Work Smart Lösungen  

Natürlich muss auf Messenger-Tools und Co. nicht komplett verzichtet werden. Schliesslich vereinen sie komfortable Funktionen wie Instant-Messaging, Video-Conferencing, Desktop-Sharing, Team-Koordination oder das Teilen von Dokumenten in einer Anwendung. Mögliche Alternativen sind zum Beispiel Threema Work oder Microsoft Teams die mittels Ende-zu-Ende-Verschlüsselung technisch abgesichert sind und rechtlich der europäische Datenschutzgesetze entsprechen.

Noch komfortabler sind Dienste, die ganz auf die Bedürfnisse von Schweizer Unternehmen abgestimmt sind und bei denen der Telekommunikationsanbieter, zum Beispiel Sunrise, die Verantwortung für die komplette Tragweite der Datenschutzverordnung übernimmt. Sunrise verfügt über ein versiertes Team an Datenschutzbeauftragten, die die Fallstricke der neuen Verordnung kennen und alle Apps, Services und Tools auf Konformität hin überprüfen. Ausserdem garantiert Sunrise bei allen seinen Diensten, dass erhobene Daten nur auf Servern innerhalb der Schweiz gehostet werden.


Alle Verträge jetzt prüfen

Grundsätzlich gilt: jetzt alle Verträge überprüfen, um zu verstehen, wo jeweils die Daten und Anwendungen gespeichert sind und wo die Daten verarbeitet werden. Zudem empfiehlt es sich, den Lösungsanbieter dazu zu verpflichten, sämtliche Unteranbieter preiszugeben und jegliche Server-Standorte, an denen personenbezogene Daten gespeichert und verarbeitet werden aufzulisten, sodass diese jederzeit gegenüber von betroffenen Personen benannt werden können. Übrigens arbeitet die Schweiz derzeit ebenfalls an einem Bundesgesetz über den Datenschutz. Firmen, die sich schon auf die DSGVO eingestellt haben, dürften, wenn die Schweizer Version fertig ist, bei deren Umsetzung eine erhebliche Zeitersparnis haben.
 

Unsere Produkte