DSGVO-Vertreter.ch

Startseite Die DSGVO Anbieter Ihr Vertreter Ablauf Preise

Die DSGVO möchte die EU-Bür­ger bes­ser da­vor schüt­zen, dass ih­re Da­ten oh­ne ihr Ein­ver­stän­dnis oder oh­ne ihr Wis­sen er­fasst und ver­wen­det wer­den. Sie ver­langt von al­len Un­ter­neh­men und an­de­ren Stel­len, die Per­so­nen­da­ten be­ar­bei­ten, ei­ne trans­pa­re­nte In­for­ma­tion an die be­trof­fe­nen Per­so­nen.
 
Artikel 3 Ab­satz 2 der DSGVO legt fest, dass die Ver­ord­nung an­wend­bar ist bei der Be­ar­bei­tung von Per­so­nen­da­ten von Per­so­nen, die sich in ei­nem EU-Mit­glied­staat be­fin­den. Dies um­fasst bei­spiels­wei­se auch Schwei­zer Staats­an­ge­hö­ri­ge auf ei­ner Fe­rien­rei­se in­ner­halb der Eu­ro­pä­i­schen Uni­on. Die DSGVO gilt, wenn:

1. Personen in der EU Wa­ren oder Dienst­leis­tun­gen an­ge­bo­ten wer­den. Dies um­fasst nicht nur das ak­ti­ve An­bie­ten an Kun­den aus der EU, son­dern be­reits die Mög­lich­keit ei­nes EU-Bür­gers, Wa­ren zu be­stel­len oder Dienst­leis­tun­gen zu be­zie­hen. Da­zu ge­hö­ren auch kos­ten­lo­se An­ge­bo­te wie News­let­ter, An­lei­tun­gen, Hin­wei­se, Tipps oder ähn­li­che In­for­ma­tio­nen, die auf ei­ner Web­sei­te be­reit­ge­stellt wer­den.
    
2. das Verhalten von Per­so­nen in der EU beo­bach­tet wird. Da­zu ge­hört die Be­su­cher­aus­wer­tung auf ei­ner Web­sei­te mit­tels Goo­gle Ana­ly­tics, ei­nem ähn­li­chen Pro­gramm oder ge­ne­rell, so­bald aus ei­ner Zu­griffs­sta­tis­tik Zu­grif­fe aus ver­schie­de­nen Län­dern er­sicht­lich sind.

Die nur gelegent­li­che Be­ar­bei­tung von Per­so­nen­da­ten aus den EU-Staa­ten wird von der DSGVO aus­ge­nom­men, so­lan­ge es sich da­bei nicht um eine be­son­ders schüt­zens­wer­te Ka­te­go­rie von Da­ten (z.B. zur Ge­sund­heit oder Re­li­gion ei­ner Per­son) han­delt. Dies meint je­doch nicht Fäl­le, in de­nen nur ab und zu ein EU-Bür­ger Wa­ren be­stellt oder Dienst­leis­tun­gen be­zieht, son­dern sol­che, in de­nen Be­su­cher eher zu­fäl­lig und un­be­ab­sich­tigt auf der Web­sei­te lan­den.
 
Privatpersonen als Da­ten­be­ar­bei­ter wer­den von der DSGVO nicht er­fasst, so­fern sie die Da­ten nur für per­sön­liche oder fa­mi­li­äre Tä­tig­kei­ten ver­wen­den. Das Be­trei­ben ei­ner pri­va­ten Web­sei­te wird über eine per­sön­liche Tä­tig­keit hi­naus­gehen, so­bald sie sich mit In­for­ma­tio­nen, ei­nem News­let­ter etc. auch an ein Pu­b­li­kum aus­ser­halb des ei­ge­nen Fa­mi­lien­krei­ses rich­tet.
 
Verfügt ein Un­ter­neh­men über ei­ne Fi­li­ale in der EU, ist au­to­ma­tisch die­se zu­stän­dig. Es be­nö­tigt kei­nen zu­sätz­li­chen Ver­tre­ter.

Die Datenschutz-Grund­ver­ord­nung (ei­gent­lich: «Ver­ord­nung (EU) 2016/679 des Eu­ro­pä­i­schen Par­la­ments und des Ra­tes vom 27. Ap­ril 2016») er­setzt die Da­ten­schutz­richt­li­nien der ein­zel­nen EU-Mit­glied­staa­ten. Als Grund­ver­ord­nung ist sie di­rekt an­wend­bar.
 
Hier finden Sie den ge­nau­en Wort­laut der DSGVO.

 
Neben der Pflicht zur Be­nen­nung ei­nes Ver­tre­ters auf­er­legt die DSGVO den be­trof­fe­nen Un­ter­neh­men un­ter an­de­rem die fol­gen­den Pflich­ten:

• Datensparsamkeit: Erfasst wer­den sol­len nur Da­ten, die un­be­dingt be­nö­tigt wer­den. Sie sind nur so lan­ge auf­zu­be­wah­ren wie nö­tig und müs­sen da­bei aus­rei­chend vor un­be­rech­tig­tem Zu­griff ge­schützt wer­den.
• Ausdrück­li­che Zu­stim­mung: Bei der Er­fas­sung von Per­so­nen­da­ten muss ein Recht­fer­ti­gungs­grund vor­lie­gen. Sol­len die Da­ten wei­ter ver­wen­det wer­den, muss der ge­naue Ver­wen­dungs­zweck er­sicht­lich sein, da­mit eine aus­drück­li­che Zu­stim­mung mög­lich ist. Er­hal­te­ne Da­ten dür­fen nicht mehr «ein­fach so» z.B. für die Zu­stel­lung ei­nes News­let­ters ver­wen­det wer­den. Der Ein­satz ei­ner Zu­griffs­sta­tis­tik kann aber durch die ei­ge­nen In­te­res­sen (Reich­wei­ten­mes­sung) ge­recht­fer­tigt sein.
• Newsletter: Das Abon­nie­ren von News­let­tern muss mit Double-Opt-In er­fol­gen, um die Ein­wil­li­gung des E-Mail-Adres­sen-In­ha­bers zu be­le­gen. In Be­stell­for­mu­la­ren für Wa­ren oder Dienst­leis­tun­gen (auch für Free­bies o.ä.) muss das Abon­nie­ren ei­nes News­let­ters klar er­sicht­lich sein. Ein ent­spre­chen­des Käst­chen darf nicht mehr vor­mar­kiert sein. Und je­des E-Mail muss eine ein­fa­che Ab­mel­de­mög­lich­keit (di­rek­ter Ab­mel­de­link) ent­hal­ten.
• Datenschutz­er­klä­rung: Auf der Web­sei­te des Un­ter­neh­mens ist ei­ne Er­klä­rung auf­zu­schal­ten, die da­rü­ber in­for­miert, wel­che Da­ten er­fasst und wo­für sie ver­wen­det wer­den, und ob da­bei ei­ne Wei­ter­lei­tung an ein ex­ter­nes Un­ter­neh­men oder in ein an­de­res Land er­folgt. Zu den wei­te­ren zwin­gen­den In­hal­ten ge­hö­ren u.a. die Rech­te der be­trof­fe­nen Per­so­nen, z.B. auf Be­rich­ti­gung oder Lö­schung ih­rer Da­ten.
• Meldepflicht bei Da­ten­ver­lust oder Da­ten­dieb­stahl: Ein sol­cher Fall muss in­ner­halb von 72 Stun­den an die na­ti­o­na­le Mel­de­stel­le (zur­zeit der Eid­ge­nös­si­sche Da­ten­schutz- und Öf­fent­lich­keits­be­auf­trag­te EDÖB) ge­mel­det wer­den.
• Vertrag mit Auf­trags­be­ar­bei­tern: Ex­ter­ne Un­ter­neh­men, an die Da­ten wei­ter­ge­lei­tet wer­den oder die Ein­sicht in Da­ten ha­ben kön­nen, müs­sen ver­trag­lich zur Ein­hal­tung der Da­ten­schutz­bestim­mungen ver­pflich­tet wer­den. Da­zu ge­hö­ren zum Bei­spiel An­bie­ter von IT-Sup­port, Adress­ver­wal­tung, News­let­ter-Tool, Um­fra­gen, Zah­lungs­lö­sun­gen, Zu­griffs­sta­tis­ti­ken, aber auch der Web­de­sig­ner oder Hos­ting-An­bie­ter. Da­ten dür­fen nur in Län­der mit gleich­wer­ti­gem Da­ten­schutz­recht (inkl. Safe-Har­bor-Ab­kom­men) wei­ter­ge­lei­tet wer­den.

Es empfiehlt sich auch in den Fäl­len, in de­nen Un­ter­neh­men nicht der DSGVO un­ter­ste­hen, die­se Vor­ga­ben ein­zu­hal­ten.