DSGVO-Konformität in der Schweiz

Die Datenschutz-Grundverordnung ("DSGVO") ist die allgemeine Datenschutzverordnung. Warum ist sie wichtig? Welche Anforderungen müssen erfüllt werden, und welche Rolle spielen sie dabei?

Schutz der Privatsphäre und des Datenschutzes

Die DSGVO, die für die allgemeine Datenschutzverordnung steht, ist eines der strengsten Gesetze zum Schutz der Privatsphäre und des Datenschutzes weltweit, doch nur wenige Organisationen halten sich vollständig an ihre Vorgaben.

Die Datenschutz-Grundverordnung gilt in der Regel für Länder innerhalb der Europäischen Union (EU) und des europäischen Wirtschaftsraums, aber ihr Rahmen wurde in viele wichtige Datenschutzgesetze auf der ganzen Welt übernommen.

Unternehmen, die die Vorschriften nicht einhalten können mit Bussgeldern von bis zu 20 Millionen Euro oder Strafen von 2 bis 4 Prozent des weltweiten Jahresumsatzes (je, nachdem welcher Betrag höher ist) belegt werden. Seit 2018 setzt das Information Commissioner's Office (ICO) die DSGVO-Standards durch.

Dieser Artikel beschreibt die von der DSGVO festgelegten Standards und bietet eine Checkliste, die Organisationen dabei hilft, die Vorschriften einzuhalten.

Was ist die Datenschutz-Grundverordnung ("DSGVO")?

Die Datenschutz-Grundverordnung (DSGVO) ist ein Ergebnis der ambitionierten Datenschutzreform der Europäischen Union (EU). Die strengen Datenschutzstandards traten am 25. Mai 2018 in Kraft, um die Rechte der Menschen zu schützen. Dieser Cybersicherheitsrahmen zielt darauf ab, die personenbezogenen Daten aller Menschen in der Europäischen Union zu schützen.

Die Datenschutz-Grundverordnung aktualisiert die europäische Menschenrechtskonvention von 1950, um sie für das digitale Zeitalter relevant zu machen. Artikel 8 der Konvention besagt, dass jeder Mensch das Recht hat, sein privates Familienleben zu achten. Im analogen Zeitalter waren die Grenzen zwischen öffentlichem und privatem Leben klar definiert und leicht zu erkennen. Heute sind sie mehrdeutig und verschwommen. Ohne einen klaren und durchgesetzten Standard wie die Datenschutz-Grundverordnung können die Nutzer nie sicher sein, dass ihre privaten Daten und damit ihr Privatleben respektiert werden.

Als Ergänzung zu den Risikominderungsbemühungen der DSGVO beschreibt die Aufsichtsbehörde in ihrer Aufsichtserklärung SS2/21 ihre Standards für das Risikomanagement Dritter.

Was ist unter "personenbezogenen Daten" im Sinne der europäischen Datenschutzgrundverordnung zu verstehen?

Gemäss Artikel 4 der DSGVO werden personenbezogene Daten als alle Informationen über eine bestimmte oder bestimmbare natürliche Person definiert. Mit anderen Worten: Personenbezogene Daten sind alle Daten, die sich auf die Identität einer lebenden Person beziehen.

Personenbezogene Daten sind nicht nur Bilder, Videos, Töne, Zahlen und Wörter. Sie umfassen nicht nur direkte Verknüpfungen wie Finanzinformationen und Adressen, sondern auch indirekte Verknüpfungen wie Bewertungen der Verhaltensmuster einer Person.

Ungenaue Informationen über betroffene Personen werden immer noch als personenbezogene Daten betrachtet, da diese Informationen mit einer Identität verknüpft sind. Wenn die Informationen jedoch mit einer fiktiven Person in Verbindung gebracht werden, gelten sie nicht als personenbezogene Daten. Wenn Sie sich zum Beispiel auf eine fiktive Person beziehen, die an einem fiktiven Ort wohnt, gelten sie nicht als personenbezogene Daten.

Personenbezogene Daten werden in zwei Kategorien eingeteilt: diejenigen, die die Daten kontrollieren, und diejenigen, die die Daten verarbeiten (für die Verarbeitung Verantwortliche vs. Auftragsverarbeiter).

Für wen gilt die Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung betrifft jede Organisation, die Waren und Dienstleistungen für Menschen in der EU anbietet. Dies gilt auch für Unternehmen, die nicht in der EU ansässig sind. Wenn Sie ein Online-Geschäft betreiben, wissen Sie nie mit Sicherheit, ob die Personen, mit denen Sie Geschäfte machen, in der EU ansässig sind. Aus diesem Grund sollten alle Online-Aktivitäten als Schutzmassnahme mit der DSGVO übereinstimmen.

- Besitzer des Titels

Die Datenschutz-Grundverordnung definiert einen für die Verarbeitung Verantwortlichen als jede natürliche Person, Behörde, Einrichtung oder sonstige Stelle, die den Zweck und die Verarbeitung personenbezogener Daten bestimmt. Die für die Verarbeitung Verantwortlichen entscheiden, wie personenbezogene Daten verarbeitet werden.

Eine Musikschule verwendet beispielsweise einen digitalen Bildschirm, um die Eltern im Warteraum zu informieren, wenn die einzelnen Lehrer bereit sind. Der Bildschirm zeigt den Namen jedes Kindes und die Raumnummer seiner Musikstunde an.

Die Musikschule wird als "für die Verarbeitung Verantwortlicher" personenbezogener Daten eingestuft, da sie entscheidet, wie das Benachrichtigungssystem alle Daten verarbeiten soll.

- Datenverarbeitungsgeräte

Die DSGVO definiert jede Person, Behörde, Agentur oder andere Einrichtung, die personenbezogene Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeitet. Da die für die Verarbeitung verantwortlichen die von dem für die Verarbeitung Verantwortlichen festgelegten Regeln für die Datenverarbeitung ausführen, treffen sie keine Entscheidungen darüber, wie personenbezogene Daten verarbeitet werden.

Ein Beispiel: Ein Softwareunternehmen stellt einen Vermarkter für eine anstehende E-Mail-Kampagne ein. Der Vermarkter erhält die Namen und E-Mail-Adressen aller potenziellen Kunden, damit er ihnen eine sogenannte "Cold E-Mail" (eine unaufgeforderte E-Mail, die ohne Vorwarnung an einen Empfänger gesendet wird), schicken kann.

Das Softwareunternehmen wird als für die Datenverarbeitung Verantwortlicher eingestuft, da es bestimmt, wie die Daten zu behandeln sind. Der Vermarkter wird als "Auftragsverarbeiter" eingestuft, weil er die Anweisungen des Softwareunternehmens zur Datenverarbeitung ausführt.

Da sie personenbezogene Daten verarbeiten, müssen sie, auch wenn die Prozesse den Anweisungen des Eigentümers folgen, immer noch die DSGVO einhalten.

Um die Vorschriften einzuhalten, müssen Sie sicherstellen, dass Sie

   - alle von Ihrem Unternehmen erhobenen Daten kennen
   - einen Datenschutzbeauftragten ernennen
   - ein DSGVO-Register erstellen, um die Prozesse in Ihrem Unternehmen/Ihrer Organisation abzubilden
   - die Anforderungen an die Datenerfassung bewerten
   - Datenverstösse sofort melden
   - den Grund für die Datenerfassung transparent machen
   - das Alter aller Nutzer, die in die Datenverarbeitung einwilligen, überprüfen
   - eine ausdrückliche doppelte Zustimmung für alle neuen E-Mail-Listen-Abonnements hinzufügen
   - Ihre Datenschutzrichtlinien auf dem neuesten Stand halten
   - regelmässig alle Risiken Dritter bewerten

Swizzonic.ch hat eine automatisierte und sichere DSGVO-Lösung, welche Unternehmen und kleinen Privatpersonen dabei hilft, die DSGVO, das Schweizer DSG und andere Online-Datenschutzvorschriften einzuhalten. Es handelt sich dabei um eine Lösung von iubenda, die derzeit beste auf dem Markt, welche bereits von über 90'000 Kunden in mehr als 100 Ländern gewählt wurde.

Es handelt sich um ein schnelles und einfaches Tool, das Webseiten dabei hilft, die DSGVO einzuhalten, indem es spezifische Sicherheitsschwachstellen, die sich auf die Verordnung auswirken, identifiziert und behebt.

Mit unserem Scanner können Unternehmen und Organisationen damit beginnen, ihre DSGVO-Konformität zu bewerten und zu beheben, indem sie einen konformen Online-Dienst anbieten.

Darüber hinaus können Sie mit unseren Online-Compliance-Lösungen von iubenda die Einhaltung der gängigen Vorschriften durch Dritte verfolgen. Auf diese Weise lassen sich Compliance-Lücken erkennen, die Dritte einem erhöhten Risiko von Sanktionen und Datenschutzverletzungen aussetzen.

Entdecken Sie unsere Online-Compliance-Lösungen von iubenda. Sie finden eine individuelle Lösung für jede Art von Online-Präsenz, sodass Sie alle rechtlichen Anforderungen entsprechend Ihren Bedürfnissen erfüllen können.

Swizzonic.ch begleitet Sie bei der Erstellung Ihrer Online-Präsenz mit Produkten für jeden Bedarf, und für die Vollständigkeit ist ein Online-Compliance-Service ein Muss.