Die neue Datenschutz-Grundverordnung (DSGVO) der EU tritt am 25. Mai 2018 in Kraft. Das komplexe Regelwerk gilt für Unternehmen in der Schweiz, für Behörden sowie für gemeinnützige und sonstige Organisationen, die in der EU eine Niederlassung haben oder dort Waren oder Dienstleistungen anbieten. Die Schweiz wird ihr Recht an die EU anpassen, um Schweizer Unternehmen keinen Wettbewerbsnachteilen auszusetzen. Angesichts der grossen Bedeutung sollten Unternehmen bereits heute die Überprüfung ihrer Datenschutz-Governance ins Auge fassen.
Das Unternehmen Microsoft begrüsst die Datenschutz-Grundverordnung. Aus der Sicht des US-Unternehmens stellt diese einen wichtigen Schritt für den Schutz der Privatsphäre des Einzelnen dar. Die neuen Bestimmungen vereinheitlichen in den EU-Mitgliedsländern den Datenschutz, was für Schweizer KMU Rechtssicherheit schafft. Die Ziele der Datenschutz-Grundverordnung stimmen mit den bestehenden Anstrengungen von Microsoft im Hinblick auf Sicherheit, Datenschutz und Transparenz überein. Microsoft arbeitet zurzeit daran, seine Produkte bis Mai 2018 mit der Datenschutz-Grundverordnung in Einklang zu bringen. Dazu gehören auch die Dokumentationen und die Kundenvereinbarungen.
Beispiel Microsoft
Zu den wichtigsten Regelungen der Datenschutz-Grundverordnung gehört unter anderem ein Recht auf Vergessenwerden, das jeder Person einen Anspruch auf Löschung ihrer personenbezogenen Daten einräumt. Auch wer einmal die Einwilligung zur Nutzung seiner Daten an ein Unternehmen abgetreten hat, erhält künftig eine Opt-out-Option. Er kann die Nutzung seiner Daten ab 2018 verhindern. Auch einzelne Bewilligungen, wie zum Beispiel für das Direktmarketing, können nachträglich widerrufen werden. Ebenfalls kann ein Kunde alle einmal von einem Unternehmen gesammelten Daten in elektronischer Form zurückverlangen. Was die meisten Kunden von Unternehmen direkt spüren werden: Die Verordnung hat zur Folge, dass unerwünschte Massenmails bald der Vergangenheit angehören werden.
Die Pflichten der KMU
Die Datenschutz-Verordnung nimmt die Unternehmen in die Pflicht. Und das fängt bereits bei den «Allgemeinen Geschäftsbedingungen» an. Tausende Kunden haben diesen bereits gedankenlos mit einem Klick zugestimmt. Neu haben die Unternehmen nun proaktiv und detailliert zu informieren. Sie müssen darüber informieren, was mit den verarbeiteten Daten des Betroffenen passiert, was deren Zweck sein wird, wie lange die Daten gespeichert werden und vieles mehr.
Erheblicher Aufwand
Dies ist mit einem erheblichen bürokratischen Aufwand verbunden. Zudem muss auch ein kleines oder mittelgrosses Unternehmen nachweisen können, dass der oder die Betroffene auch wirklich der Nutzung der persönlichen Daten zugestimmt hat. Die europäischen Datenschutzwächter legen insbesondere auch ein Auge auf die klare, einfache und verständliche Sprache solcher Einwilligungserklärungen.
Eine zentrale Bedeutung kommt der Pflicht zur erhöhten Sicherheit und proaktiven Information über Datenlecks zu. Hier müssen Unternehmen nachweisen, dass sie die notwendigen Vorkehrungen getroffen haben, um die Datensicherheit zu gewährleisten. Kommt es dennoch zum Datenklau sind Unternehmen innerhalb von 72 Stunden verpflichtet, dies der Aufsichtsbehörde zu melden. Je nach Schwere des Zwischenfalls sind auch die davon betroffenen Personen über die Verletzung zu informieren.