Schweizerischer KMU Verband
  • Über uns...
    • Leitbild
    • Politische Ziele
    • Vorstand
    • Geschäftsstellen
    • Statuten
    • Partnerverbände
    • Geschäftsordnung
    • SKV Imagebroschüre
    • Blog
    • Logos
  • SKV Partner
  • Mitglieder
  • Klimaneutralität
  • Günstiger Einkaufen
  • Dienstleistungen
  • Rechtsberatung
    • Digital Lawyer
  • Workshop2022
  • Aus- & Weiterbildung
  • KMU & Gesundheit
  • IT-Security bei KMU
  • Förderung Projekte
    • Programme
    • Technologiefonds
  • Verträge & Checklisten
  • Events & Termine
  • Zeitung Erfolg
  • SKV Newsletter
  • Werbemöglichkeiten
  • Umfragen & Studien
  • Mediadaten
  • KundenVersprechen
  • QR-Rechnung
  • Digitaler Zahlungsverkehr

Neue Datenschutz-Grundverordnung der EU

20/4/2018

0 Comments

 
Von Roland M. Rupp, Leiter der Geschäftsstelle des SKV
Schweizer Unternehmen, die von der neuen EU-Verordnung betroffen sind, müssen ab dem 25. Mai 2018 verschiedene Pflichten erfüllen, da ansonsten drakonische Strafen drohen. Aus diesem Grund hat der Schweizerische KMU Verband hier eine Zusammenfassung der neuen Datenschutz-Grundverordnung erstellt und gleichzeitig Tipps implementiert, was Schweizer KMU tun und berücksichtigen müssen.
Aktuell wird gerade ein Schweizer Pendant zur DSGVO, ein neues Bundesgesetz über den Datenschutz, ausgearbeitet. Firmen, die sich schon auf die DSGVO eingestellt haben, dürften, wenn die Schweizer Version fertig ist, bei deren Umsetzung eine erhebliche Zeitersparnis haben.

Folgende Pflichten sind ab 25. Mai 2018 einzuhalten:
  • informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden
  • "Privacy by design" und "Privacy by default" garantieren
  • einen Vertreter in der EU benennen
  • ein Verzeichnis der Verarbeitungstätigkeiten erstellen
  • Verletzungen des Datenschutzes an die Aufsichtsbehörde melden
  • eine Datenschutz-Folgenabschätzung durchführen
  • bei Verstössen gegen die DSGVO Bussgelder zahlen. 

Informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden

Gesetzestext
Im EU-Datenschutzrecht gilt – anders als in der Schweiz – das sogenannte Verbot mit Erlaubnisvorbehalt. Das heisst, die Datenverarbeitung ist generell verboten, so lange sie nicht durch ein Gesetz ausdrücklich erlaubt ist oder die betroffene Person in die Verarbeitung eingewilligt hat.
Damit die Einwilligung der betroffenen Person gültig ist, müssen bestimmte Voraussetzungen gegeben sein:

− Freie Entscheidung

Die Einwilligung ist nur gültig, wenn die betroffene Person sie freiwillig abgegeben hat. Die betroffene Person muss also eine echte Wahl haben, d.h. sie darf im Zuge der Einholung der Einwilligung nicht vor vollendete Tatsachen gestellt oder sonst in ihrer Entscheidung eingeschränkt werden. In diesem Zusammenhang ist insbesondere auch auf das sogenannte "Koppelungsverbot" hinzuweisen, wonach der Abschluss eines Vertrags nicht von der Verarbeitung weiterer Daten abhängig gemacht werden darf, die für die eigentliche Vertragsdurchführung gar nicht benötigt werden.

− Ausführliche, erkennbare und bestimmte Information
Die betroffene Person muss vor Abgabe der Einwilligungserklärung über den Zweck der Beschaffung und Verarbeitung  ihrer personenbezogenen Daten informiert werden. Dabei müssen alle für den konkreten Fall entscheidungsrelevanten Informationen enthalten sein und diese müssen genügend konkret sein. Eine Einwilligung ist also immer an einen bestimmten Zweck gebunden, welcher nicht zu allgemein gehalten werden darf. Die betroffene Person muss schliesslich in die Lage versetzt werden, die Informationen leicht zu erkennen und zu erkennen, dass ihr Handeln als Einwilligung qualifiziert wird.
​
− Form und aktive Handlung
Gemäss EU-DSGVO genügt die Nachweisbarkeit der Einwilligung durch die verantwortliche Stelle. Die Einwilligung ist also nicht an eine bestimmte Form gebunden und kann auch elektronisch oder mündlich erfolgen. Allerdings soll die Einwilligung nur durch eine eindeutige Handlung zustande kommen. Damit ist regelmässig eine aktive Handlung der betroffenen Person notwendig, andere Varianten wie eine stillschweigende Zustimmung, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person würden daher keine Einwilligung darstellen. Erfolgt die Einwilligung schriftlich, so hat die Aufforderung dazu in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache sowie von anderen Sachverhalten getrennt zu erfolgen. 

− Widerruflichkeit
Die betroffene Person kann ihre Einwilligung jederzeit widerrufen. Es muss sichergestellt werden, dass dieser Widerruf
genauso einfach erfolgen kann, wie die Einwilligung selbst.

Tipp des Schweizerischen KMU Verbandes
Wenn Sie eine WebSite oder einen Onlineshop betreiben oder einen eNewsletter versenden, so sollten Sie unbedingt bei den Formularen zur Erfassung von Daten, E-Mail etc. dass Sie auf die Einhaltung des Datenschutzes Ihrerseits bedacht sind.

Schreiben Sie vor den «Senden» Button Ihres Formulares zum Beispiel:
Wir benötigen Ihre E-Mail-Adresse für die Zustellung des Gratis-Downloads oder eNewsletters.
Sie können sich jederzeit über einen Link in unserem eNewsletter oder mittels einer kurzen Nachricht wieder abmelden.
Bitte beachten Sie auch unseren Datenschutz-Hinweis. [Hier ein Link zu Ihrer WebSite mit dem Datenschutzhinweis]

Wichtig:
Wenn Sie in Ihren Formularen Funktionen integriert haben wie:

□ Ich möchte den eNewsletter erhalten

so darf dieses Feld standardmässig NICHT angekreuzt sein.

Unsere Empfehlung:
Bauen Sie in alle Formulare ein:

□ Ich habe Ihre AGB gelesen, verstanden und akzeptiere diese
□ Ich habe die Widerrufsbelehrungen gelesen und akzeptiere diese
□ Ich möchte den eNewsletter erhalten

Unterbinden Sie, dass ohne das Ankreuzen der ersten 2 Kästchen ein Absenden des Formulares überhaupt möglich ist.
Alle Formulare, welche Sie so erhalten, sollten Sie mit der IP Adresse, Datum und Uhrzeit speichern.

In einem Newsletter müssen Sie sicherstellen, dass man sich sowohl über einen einfachen Klick auf einen Abmeldelink oder mittels Rücksendung des eNewsletters mit einem kurzen Hinweis austragen kann.

Tipp:
Erfassen Sie nur Daten, welche Sie wirklich zur Verarbeitung benötigen. Ein Geburtsdatum ist in den seltensten Fällen notwendig, um einen Auftrag zu realisieren. Allenfalls ist es besser, dass Sie eine Abfrage integrieren:

□ Ich bestätige, das 18. Altersjahr erreicht zu haben

"Privacy by design" und "Privacy by default" garantieren

Gesetzestext (Art. 25 DSGVO)
Der Grundsatz "Privacy by Design" (Datenschutz durch Technik) bedeutet, dass der Verantwortliche bereits ab dem Zeitpunkt der Planung einer Datenverarbeitung (z.B. mittels eines neuen IT-Systems oder Prozesses) das Risiko von Verletzungen der Persönlichkeit oder der Grundrechte betroffener Personen verringern und solchen Verletzungen vorbeugen muss. Beispiels weise sollen eine regelmässige Löschung von Daten oder deren standardmässige Anonymisierung vorgesehen werden. Als besonders bedeutsam für den technikgestützten Datenschutz wird jeweils die Datenminimierung hervorgehoben.
Der Grundsatz "Privacy by Default" (Datenschutz durch datenschutzfreundliche Voreinstellung) bedeutet, dass der Verantwortliche verpflichtet ist, mittels geeigneter Voreinstellungen sicherzustellen, dass standardmässig nur diejenigen Personendaten verarbeitet werden, die für den jeweiligen Verwendungszweck erforderlich sind. Beispielsweise muss eine Webseite grundsätzlich Einkäufe erlauben, ohne dass ein Benutzerprofil erstellt werden muss.


Tipp des Schweizerischen KMU Verbandes
Gestalten Sie die Erfassungsmasken auf Ihrer WebSite so, dass nur die wirklich relevanten Daten abgefragt werden. Alle optionalen Daten welche Sie erfassen möchten, sollten klar gekennzeichnet sein.
Das beginnt übrigens schon bei der Anrede, welche ja darüber Auskunft gibt, ob man männlich oder weiblich ist und geht weiter zum Geburtsdatum. Sind diese Daten wirklich zwingend notwendig bei einem Onlinekauf?
Desweiteren könnte man ja zum Beispiel in den eignen Datenschutzbestimmungen schreiben, dass die Daten ausschliesslich in den eigenen Datenverarbeitungssystemen gespeichert sind und der Zugang zu diesen Daten mittels Verschlüsselung und Passwortabfrage den heutigen Anforderungen an den Stand des Datenschutzes entsprechen.



Einen Vertreter in der EU benennen

Gesetzestext
Grundsätzlich müssen Schweizer Verantwortliche oder Auftragsdatenverarbeiter, die vom Anwendungsbereich der EU-DSGVO erfasst werden, einen Vertreter in der EU bezeichnen.

Tipp des Schweizerischen KMU Verbandes
Diese Pflicht entfällt, wenn die Verarbeitung nur gelegentlich erfolgt, keine besonderen Datenkategorien verarbeitet werden und die Verarbeitung nicht zu einem Risiko für die Rechte und Freiheiten der natürlichen Person führt.



Ein Verzeichnis der Verarbeitungstätigkeiten erstellen

Gesetzestext
Der Verantwortliche hat ein Verzeichnis von Verarbeitungstätigkeiten im Unternehmen zu erstellen. Auftragsverarbeiter müssen ein analoges Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Verarbeitungstätigkeiten führen. Beim Verzeichnis handelt es sich um eine Dokumentation oder Übersicht über alle Prozesse und Verfahren im Unternehmen, bei welchen personenbezogene Daten verarbeitet werden. Dabei sind die wesentlichen Angaben zur Datenverarbeitung anzugeben, wie z.B. die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und allfällige Datenempfänger.
Ein Unternehmen muss dafür zunächst ermitteln, in welchen Fällen personenbezogene Daten von z.B. Kunden, Lieferanten oder Beschäftigten erhoben und verarbeitet werden. Hierzu bietet es sich an, zuerst alle innerhalb der Systemlandschaft des Unternehmens eingesetzten Anwendungen und Tools (z.B. Zeiterfassungssystem, CRM System, HR-Informationssystem) aufzulisten, in denen personenbezogene Daten gespeichert werden. Dies hilft gleichsam bei der Ermittlung der Datenflüsse im Unternehmen und kann auch als Grundlage für das Verzeichnis von Verarbeitungstätigkeiten dienen. Ausserdem werden Schweizer Unternehme ohnehin als Erstes eine Bestandesaufnahme vornehmen müssen, um eruieren zu können, ob sie vom Anwendungsbereich der EU-DSGVO erfasst werden.

Tipp des Schweizerischen KMU Verbandes
Im Artikel 30 DSGVO steht:
Unternehmen mit weniger als 250 Beschäftigten sind – mit einigen Ausnahmen – von dieser Pflicht ausgenommen (vgl. Art. 30 § 5 DSGVO).



Verletzungen des Datenschutzes an die Aufsichtsbehörde melden

Verletzungen des Schutzes personenbezogener Daten müssen der Aufsichtsbehörde möglichst innert 72 Stunden gemeldet werden. Es besteht nur dann keine Meldepflicht, wenn ein Risiko für Rechte und Freiheiten von Individuen unwahrscheinlich ist. Häufig müssen auch die betroffenen Personen benachrichtigt werden.
 
Tipp des Schweizerischen KMU Verbandes
Natürlich ist es wichtig, ein solches Szenario (Datenverlust durch Hacker o.ä.) einmal komplett «durchzuspielen», entsprechende Massnahmen beim Eintreten eines solchen Falles schriftlich festzuhalten und bei den entsprechenden Stellen (Personalabteilung, Marketing, IT) zu hinterlegen. Ebenso muss dort auch verzeichnet sein, wer von der Firma wo genau die Verletzung des Datenschutzes zu melden hat.

Ein Beispiel:
Sie haben eine umfassende Adressdatenbank und müssen feststellen, dass bei einem Einbruch Ihre IT-Systeme entwendet wurden.
In diesem Fall müssten Sie ein neues IT-System in Betrieb nehmen, den Backup der Adressdaten zurückspielen und danach alle Personen/Firmen informieren, dass möglicherweise Ihre Daten Drittpersonen ohne Berechtigung zugänglich wurden. Natürlich können Sie dann aber vermerken, dass die Daten auf den besagten IT Systemen verschlüsselt und passwortgeschützt waren. In der Datenbank des Schweizerischen KMU Verbandes wurden eigenes dazu so genannte «Fangadressen» integriert, so dass im Falle eines Datendiebstahles und Missbrauchs dies sofort erkannt wird.



Eine Datenschutz-Folgenabschätzung durchführen

Gesetzestext
Wenn eine Form der Verarbeitung wahrscheinlich ein hohes Risiko verursacht, insbesondere bei neuen Technologien oder aufgrund ihres Wesens, ihres Umfangs, ihres Kontexts oder ihrer Zwecke, muss eine Datenschutz-Folgenabschätzung durchgeführt werden. Wenn die Datenschutz-Folgenabschätzung ergibt, dass eine Datenverarbeitung ohne Massnahmen ein hohes Risiko bedeutet, muss die Aufsichtsbehörde konsultiert werden.
 
Tipp des Schweizerischen KMU Verbandes
Wenn Sie Daten mit einem hohen Risikofaktor (Zum Beispiel komplette Personen und Firmenprofile, Auslagerung der daten bei externen Datenverarbeitern, externe Datenspeicherung zum Beispiel in der Cloud) sollten Sie unbedingt die Mindestanforderungen der DSGVO Artikel 35 § 7 erfüllen.



Bei Verstössen gegen die DSGVO Bussgelder zahlen

Gesetzestext
Die maximale Geldbusse beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten, weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Dabei gilt der Jahresumsatz des gesamten Konzerns, nicht der einer einzelnen juristischen Person. Ausserdem sieht die EU-DSGVO neu ein Verbandsklagerecht vor, womit zukünftig Verbraucherschutzverbände Rechte von Betroffenen geltend machen können.
 
Tipp des Schweizerischen KMU Verbandes
Wenn Sie die oben genannten Punkte entsprechend umsetzen und laufend kontrollieren, so müssen Sie sich auch nicht vor Abmahnungen geschäftstüchtiger Anwälte oder dergleichen sorgen.



Quelle:

kmu.admin
KellerhalsCarrard
EDÖB
 

Muster eines Datenschutzhinweises auf einer Website
hier downloaden

Quelle: 

wirtschaftswissen.de


0 Comments

    Autoren dieses Blogs

    Im SKV Blog können sowohl die Mitarbeiter als auch Gastautoren Interessante News publizieren.

    Archiv

    Dezember 2022
    November 2022
    September 2022
    August 2022
    Juni 2022
    Januar 2022
    Dezember 2021
    November 2021
    Oktober 2021
    September 2021
    Juni 2021
    Mai 2021
    April 2021
    März 2021
    Februar 2021
    Januar 2021
    Dezember 2020
    November 2020
    Oktober 2020
    September 2020
    August 2020
    Juli 2020
    Juni 2020
    April 2020
    März 2020
    Januar 2020
    Dezember 2019
    Oktober 2019
    Juni 2019
    Mai 2019
    April 2019
    März 2019
    Februar 2019
    November 2018
    Oktober 2018
    September 2018
    August 2018
    Juli 2018
    Juni 2018
    Mai 2018
    April 2018
    März 2018
    Februar 2018
    Januar 2018
    Dezember 2017
    September 2017
    August 2017
    Juli 2017
    Mai 2017
    April 2017
    März 2017
    Februar 2017
    Januar 2017
    November 2016
    Oktober 2016
    August 2016
    Juli 2016
    Mai 2016
    Februar 2016
    Januar 2016
    Dezember 2015
    November 2015
    Oktober 2015
    September 2015
    August 2015
    Juli 2015
    Juni 2015
    Mai 2015
    März 2015
    Februar 2015
    Januar 2015

    Kategorien

    Alle
    25. Mai 2018
    Account Management
    Adressdaten
    Adressen
    Afrika
    Allgemein
    Analyse
    App
    Arbeitskleidung
    Arbeitskultur
    Arbeitslosen
    Arbeitslosigkeit
    Arbeitsmarkt
    Arbeitswelt
    Augmented Reality
    Ausflugziel
    Automatisierung
    Award
    Bank
    Basel
    Bauwesen
    Berechtigung
    Berufsbekleidung
    Betreibungsverfahren
    Bewerbungsprozesse
    Bildung
    Blockchain
    Brexit
    Buchhaltung
    Bulgarien
    Business
    Cashflow
    Cham
    Chatbots
    China
    Cloud
    CO2
    Coaching
    Content Marketing
    Corona
    COVID-19
    Credit Suisse AG
    Crowdlending
    Cyber Angriffen
    Cyber-Angriffen
    Cyber Attacken
    Cyber-Attacken
    Cybergefahren
    Cyberkriminellen
    Cybersecurity
    Datenschutz
    Defender
    Design
    Digital
    Digitalisierung
    Disruption
    Dokument Management
    Dokument-Management
    Drucken
    DSGVO
    EBanking
    E-Banking
    EBill
    E Commerce
    E-Commerce
    Einzahlungsscheine
    EMEX
    Emotionen
    Energie
    Energiesparen
    Entwiklung
    Epidemie
    Erbschaftssteuer
    Erfolg
    ERP
    ES Und ESR
    EU
    Event
    Expansion
    Export
    Exportunterstuetzung
    Exportwirtschaft
    Fachhochschule
    Fachkräfte
    Fakturierung
    Familienunternehmen
    Ferien
    Finanzierung
    Finnland
    Firmenverkauf
    Flutbot
    Fokus
    Food
    Forum
    FRAIM
    Führung
    Gedanken
    Gefahrgut
    GEIGER
    GEIGER-Projekt
    Geld
    Generationenwechsel
    Gesundheit
    Globalisierung
    Gründer
    Gütertransporte
    Handeln
    Handelskrieg
    Händler
    Herausforderungen
    Homeoffice
    HR Management
    Illnau
    Inkasso
    Innovation
    Insolvenz
    Internet
    Investitionen
    IPaaS
    IT
    IT Sicherheit
    IT-Sicherheit
    Jona
    Josef Rothenfluh
    Kapital
    KI
    Klimafreundlich
    Klimaschutz
    KMU
    Kommunikation
    Konkurse
    Kooperation
    Krankenkasse
    Kredit
    Krise
    Kunden
    Lausanne
    Leadership
    Lebensmittel
    Lebensqualität
    Lernkultur
    Liquidität
    Liquidität
    Management
    Marketing
    Martin Betschart
    Medizin
    Meeting
    MELANI
    Meldesysteme
    Messenger
    MICE
    Mitarbeiter
    Mitglieder
    Multibanking
    Nachfolgemarkt
    Nachfolgeregelung
    Networking
    Neugründung
    Noëmi Schöni
    OKR
    Online
    Onlinehandel
    Onlineshop
    Partnersuche
    Personalentwicklung
    Personalrekrutierung
    Pflege
    Phishing
    Post
    Prävention
    Praxen
    Prestige
    Produkte
    Projektmanagement
    Protektionismus
    Publikationssysteme
    QR-Rechnung
    Rabatt
    Rechnungswesen
    Recht
    Rolf Frischknecht
    SAP
    Schuldenmanagement
    Schweiz
    Schweizer KMU
    Security Defender
    Selbstständige
    Seminar
    Seminare
    SEO
    SERV
    SGE
    Sicherheit
    SKV
    SKV Partner
    Smishing
    Software
    Stellen
    Steuern
    Strategie
    Strategien
    Strom
    Studium
    Team
    Technik
    Technologie
    Technologietrend
    Telefonmarketing
    Therapien
    Tischmesse
    Todai
    Topsoft
    Transfomation
    Türkei
    Umfrage
    Umzug
    Unternehmenssteuerreform 3
    Unternehmensverkauf
    Unternehmertreffen
    Veranstaltungen
    Vermarktung
    Vernetzen
    Verordnung
    Versicherung
    Versprechen
    Virtual Storytelling
    Wachstum
    Wahlen 2015
    Währung
    Währung
    Webinar
    Weiterbildung
    Werbekampagne
    Werbung
    Wettbewerb
    Whistleblower
    WIR
    Wirtschaft
    Wirtschaftslage
    Xing
    Zahlungsausfällen
    Zahlungsverzögerungen
    Zielgruppe
    Zielsetzung
    Zugriffskontrolle
    Zukunft
    Zürich

    RSS-Feed


    View my profile on LinkedIn

Postanschrift:
Schweizerischer KMU Verband
Bösch 43
6331 Hünenberg

Tel. 041 348 03 30
Der Schweizerische KMU Verband -
Aktives Sprachrohr Schweizer KMU Betriebe.

Als Mitglied im Schweizerischen KMU Verband profitiert man von zahlreichen Vergünstigungen und einer grossen Unterstützung direkt bei der Bewältigung von Problemen oder erhält Hilfe in den Bereichen Marketing & Sales.
Login für Mitglieder

Datenschutz & Nutzungsbedingungen
Impressum
Kontakt
Intranet

Datenverarbeitungsverzeichnis
Cookies​
Widerrufbelehrung

Partrnerwebsites:
EGC - Europäischer Gesundheitsclub - Unternehmertreffen - Burgerfan - Schachmuseum - kmu-butler - insurtech ag - manere-sanus - mvm - spam-cop  - policenverwaltung - kmuverband - netzwerk-ag - netzwerk-appenzell - netzwerk-basel - netzwerk-bern - netzwerk-freiburg - netzwerk-glarus - netzwerk-gr - netzwerk-luzern - netzwerk-nidwalden - netzwerk-obwalden - netzwerk-schaffhausen - netzwerk-schwyz - netzwerk-stgallen - netzwerk-solothurn.ch - netzwerk-tg - netzwerk-uri - netzwerk-verlag - netzwerk-wallis - netzwerk-zuerich - netzwerk-zug