Blog als PDF
Erstellt am 15. Januar 2018 von Dr. iur. Reto Fanger, ADVOKATUR FANGER (www.advokatur-fanger.ch). Reto Fanger ist Rechtsanwalt in Luzern und auf ICT- und Datenschutzrecht spezialisiert. Er ist Tagungsorganisator sowie Diskussionsteilnehmer am LITS 2018 an der Universität Luzern.
EU-Datenschutzgrundverordnung (DSGVO/GDPR)
Der Lucerne LAW & IT Summit (LITS) vom 1. Februar 2018 an der Universität Luzern steht unter dem Thema ‚Die EU-Datenschutzgrundverordnung (DSGVO/GDPR) – Unmittelbarer Handlungsbedarf für Schweizer Unternehmen’
Am 25. Mai 2018 ist es soweit: Die EU-Datenschutz-Grundverordnung (EU-DSGVO/GDPR) wird als Kernstück der europäischen Datenschutzreform anwendbar sein. Aufgrund der extraterritorialen Wirkung der DSGVO müssen zahlreiche Schweizer Unternehmen die Verarbeitung von Personendaten auf diese neuen Datenschutzbestimmungen ausrichten, wollen sie nicht Reputationsschäden sowie Sanktionen wie Schadenersatz und Bussen in der Höhe von bis zu € 20 Mio. oder 4% des globalen Jahresumsatzes in Kauf nehmen.
Neben der Vereinheitlichung des Datenschutzes in den EU-Mitgliedstaaten sollen mit der DSGVO die Datenschutzbestimmungen auch an unsere heutige digitale Welt angepasst wer-den. Letzteres ist – abgesehen von den internationalen Verpflichtungen der Schweiz – auch der Grund, weshalb zur Zeit sowohl der Bund als auch die Kantone ihre eigenen Datenschutzgesetze revidieren. Neben diesen schweizerischen Datenschutzgrundlagen müssen aber viele Schweizer Unternehmen künftig auch die (strengere) DSGVO berücksichtigen, selbst wenn sie keine Niederlassung in der EU haben. Doch wie kommt es dazu?
Die DSGVO führt neu das so genannte Marktortprinzip ein: Sobald ein Unternehmen aus der Schweiz oder einem anderen EU-Drittstaat Produkte und Dienstleistungen in der EU ansäs-sigen Personen anbietet oder das Verhalten dieser Personen beobachtet (z.B. durch Web-Analysetools), greift die DSGVO.
Unter die DSGVO fallen nur personenbezogene Daten. Dies umfasst alle Informationen, mit denen eine Person direkt oder indirekt identifiziert werden kann.
Die Person, deren Daten verarbeitet werden, erhält mit der DSGVO weitreichende Rechte. So kann sie unter gewissen Umständen verlangen, dass ihre Daten gelöscht werden (Recht auf Vergessenwerden). Auch gibt es ein Recht auf Datenübertragbarkeit (Datenportabilität); dabei kann die betroffene Person die Herausgabe ihrer Daten in einem maschinenlesbaren Format sowie deren Übertragung an einen Dritten verlangen.
Daneben gibt es für die Unternehmen insbesondere Verpflichtungen auf organisatorischer Ebene. So ist ein Verzeichnis über die Datenverarbeitungstätigkeiten zu führen und in gewissen Fällen ein Unternehmensdatenschutzbeauftragter (intern/extern) zu benennen. Die Einhaltung der DSGVO muss zudem nachgewiesen werden können. Auf die Unternehmen kommen strenge Meldepflichten bei Datenschutzverletzungen zu, während die Anforderungen an die Einwilligung in eine Datenverarbeitung gleichzeitig steigen. Auch sind die Unternehmen zur Vornahme von Datenschutz-Folgeabschätzungen verpflichtet, sofern eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffe-nen Personen darstellt.
Da es sich bei der Klärung der Anwendbarkeit wie auch einer (allfälligen späteren) Umsetzung der DSGVO im Unternehmen nicht nur um komplexe Fragegestellungen, sondern gar um Neuland handelt, befasst sich der LITS 2018 im Rahmen einer Nachmittagsveranstaltung mit dem Vorgehen und sowie bisherigen Erfahrungen in konkreten Umsetzungsprojekten mit drei Keynote-Referaten sowie einer Diskussionsrunde: