|
Die DSGVO möchte die EU-Bürger besser davor schützen,
dass ihre Daten ohne ihr Einverständnis oder ohne
ihr Wissen erfasst und verwendet werden. Sie verlangt von
allen Unternehmen und anderen Stellen, die
Personendaten bearbeiten, eine transparente
Information an die betroffenen Personen.
Voraussetzungen
Artikel 3 Absatz 2 der DSGVO legt fest, dass die Verordnung anwendbar
ist bei der Bearbeitung von Personendaten von Personen,
die sich in einem EU-Mitgliedstaat befinden. Dies umfasst
beispielsweise auch Schweizer Staatsangehörige
auf einer Ferienreise innerhalb der Europäischen
Union. Die DSGVO gilt, wenn:
- Personen in der EU Waren oder
Dienstleistungen angeboten werden. Dies umfasst nicht
nur das aktive Anbieten an Kunden aus der EU, sondern bereits
die Möglichkeit eines EU-Bürgers, Waren zu bestellen
oder Dienstleistungen zu beziehen. Dazu gehören auch
kostenlose Angebote wie Newsletter, Anleitungen,
Hinweise, Tipps oder ähnliche Informationen, die auf
einer Webseite bereitgestellt werden.
- das Verhalten von Personen in
der EU beobachtet wird. Dazu gehört die Besucherauswertung
auf einer Webseite mittels Google Analytics, einem
ähnlichen Programm oder generell, sobald aus einer
Zugriffsstatistik Zugriffe aus verschiedenen
Ländern ersichtlich sind.
Die nur gelegentliche Bearbeitung von Personendaten
aus den EU-Staaten wird von der DSGVO ausgenommen, solange
es sich dabei nicht um eine besonders schützenswerte
Kategorie von Daten (z.B. zur Gesundheit oder Religion
einer Person) handelt. Dies meint jedoch nicht Fälle, in denen
nur ab und zu ein EU-Bürger Waren bestellt oder Dienstleistungen
bezieht, sondern solche, in denen Besucher eher zufällig
und unbeabsichtigt auf der Webseite landen.
Privatpersonen als Datenbearbeiter werden von der DSGVO nicht erfasst,
sofern sie die Daten nur für persönliche oder familiäre
Tätigkeiten verwenden. Das Betreiben einer privaten
Webseite wird über eine persönliche Tätigkeit
hinausgehen, sobald sie sich mit Informationen, einem
Newsletter etc. auch an ein Publikum ausserhalb des eigenen
Familienkreises richtet.
Verfügt ein Unternehmen über eine Filiale in der EU, ist
automatisch diese zuständig. Es benötigt keinen
zusätzlichen Vertreter.
|
|
Die Datenschutz-Grundverordnung (eigentlich: «Verordnung
(EU) 2016/679 des Europäischen Parlaments und des Rates
vom 27. April 2016») ersetzt die Datenschutzrichtlinien
der einzelnen EU-Mitgliedstaaten. Als Grundverordnung ist
sie direkt anwendbar.
Pflichten aus der DSGVO
Neben der Pflicht zur Benennung eines Vertreters auferlegt
die DSGVO den betroffenen Unternehmen unter anderem
die folgenden Pflichten:
- Datensparsamkeit: Erfasst werden
sollen nur Daten, die unbedingt benötigt werden. Sie sind
nur so lange aufzubewahren wie nötig und müssen dabei
ausreichend vor unberechtigtem Zugriff geschützt werden.
- Ausdrückliche
Zustimmung: Bei der Erfassung von Personendaten muss
ein Rechtfertigungsgrund vorliegen. Sollen die Daten weiter
verwendet werden, muss der genaue Verwendungszweck ersichtlich
sein, damit eine ausdrückliche Zustimmung möglich ist.
Erhaltene Daten dürfen nicht mehr «einfach so» z.B.
für die Zustellung eines Newsletters verwendet werden.
Der Einsatz einer Zugriffsstatistik kann aber durch die eigenen
Interessen (Reichweitenmessung) gerechtfertigt sein.
- Newsletter: Das Abonnieren von
Newslettern muss mit Double-Opt-In erfolgen, um die Einwilligung des
E-Mail-Adressen-Inhabers zu belegen. In Bestellformularen
für Waren oder Dienstleistungen (auch für Freebies o.ä.) muss
das Abonnieren eines Newsletters klar ersichtlich sein. Ein
entsprechendes Kästchen darf nicht mehr vormarkiert sein. Und jedes
E-Mail muss eine einfache Abmeldemöglichkeit (direkter
Abmeldelink) enthalten.
- Datenschutzerklärung: Auf
der Webseite des Unternehmens ist eine Erklärung
aufzuschalten, die darüber informiert, welche Daten
erfasst und wofür sie verwendet werden, und ob dabei eine
Weiterleitung an ein externes Unternehmen oder in ein
anderes Land erfolgt. Zu den weiteren zwingenden Inhalten
gehören u.a. die Rechte der betroffenen Personen, z.B.
auf Berichtigung oder Löschung ihrer Daten.
- Meldepflicht bei Datenverlust
oder Datendiebstahl: Ein solcher Fall muss innerhalb von 72 Stunden
an die nationale Meldestelle (zurzeit der
Eidgenössische Datenschutz- und
Öffentlichkeitsbeauftragte EDÖB) gemeldet werden.
- Vertrag mit
Auftragsbearbeitern: Externe Unternehmen, an
die Daten weitergeleitet werden oder die Einsicht in Daten
haben können, müssen vertraglich zur Einhaltung der
Datenschutzbestimmungen verpflichtet werden. Dazu
gehören zum Beispiel Anbieter von IT-Support,
Adressverwaltung, Newsletter-Tool, Umfragen,
Zahlungslösungen, Zugriffsstatistiken, aber auch
der Webdesigner oder Hosting-Anbieter. Daten dürfen
nur in Länder mit gleichwertigem Datenschutzrecht (inkl.
Safe-Harbor-Abkommen) weitergeleitet werden.
Es empfiehlt sich auch in den Fällen, in denen Unternehmen
nicht der DSGVO unterstehen, diese Vorgaben einzuhalten.
|
|