Neues EU-Datenschutzrecht: 7 Pflichten für KMU in der Schweiz

Foto: Stapel von mehreren Ordnern, die mit Papier gefüllt sind

Ab dem 25. Mai 2018 gilt das vereinheitlichte und verschärfte Datenschutzrecht der Europäischen Union (EU).

Die neue Datenschutz-Grundverordnung (DSGVO) beziehungsweise General Data Protection Regulation (GDPR) gilt auch für viele Schweizer Unternehmen. Kleine und mittlere Unternehmen (KMU) in der Schweiz sind ausdrücklich betroffen.

Das Staatssekretariat für Wirtschaft (SECO) hat nun eine Liste mit sieben Pflichten veröffentlicht, mit denen das neue EU-Datenschutzrecht durch KMU in der Schweiz eingehalten werden kann:

  1. Betroffene Personen informieren und allenfalls notwendige Einwilligungen einholen.
  2. «Privacy by default» (datenschutzfreundliche Voreinstellungen) und «Privacy by design» («Datenschutz durch Technik») gewährleisten.
  3. Datenschutz-Vertreter in der EU ernennen, zum Beispiel per Mausklick mit dem «Datenschutzpartner»-Angebot.
  4. Verzeichnis von Verarbeitungstätigkeiten erstellen, damit man überhaupt weiss, welche personenbezogenen Daten für welche Zwecke wie und wo verarbeitet werden.
  5. Datenschutz-Verletzungen an Aufsichtsbehörden melden und – sofern notwendig – die betroffenen Personen benachrichtigen.
  6. Datenschutz-Folgeabschätzung durchführen, sofern die Verarbeitung von personenbezogenen Daten zu einem hohen Risiko für die Freiheiten und Rechte der betroffenen Personen führt. In jedem Fall müssen die technischen und organisatorischen Schutzmassnahmen zur Gewährleistung von Datenschutz und Datensicherheit dokumentiert werden.
  7. Geldbussen bei Verstössen gegen die DSGVO zahlen, wobei es sich dabei eigentlich nicht um eine Pflicht handelt, sondern um eine mögliche Folge einer Pflichtverletzung.

Immerhin: Schweizer Unternehmen, welche die DSGVO umsetzen, werden damit voraussichtlich auch für das revidierte schweizerische Datenschutzrecht vorbereitet sein. In vielen Fällen lohnt es sich deshalb, das gesamte Unternehmen von Anfang an auf die DSGVO auszurichten.

Offenlegung: «Datenschutzpartner» ist ein Angebot der Papiertiger GmbH, an der Rechtsanwalt Martin Steiger unter anderem als Mitgründer beteiligt ist.

Bild: Pixabay / Geisteskerker, Public Domain-ähnlich.

25 Kommentare

  1. Hallo Herr Steiger,

    Zuerst einmal vielen Dank für den Beitrag.

    Ich habe schon einiges bezüglich diesem Thema recherchiert. Wenn ich das richtig sehe:

    Diese DSGVO trifft ja sicher 90% aller Unternehmen in der Schweiz. Es reicht ja bereits eine Website mit Google Analytics, und schon erfüllt man die Vorgaben.

    Das heisst also, auch ein Selbständiger / Einzelunternehmer muss theoretisch alle diese Vorgaben erfüllen, oder er kann mit einer Busse belegt werden. Korrekt?

    Jetzt mal ganz ehrlich: Dieses Gesetz ist doch absolut hirnrissiger Schwachsinn. Es kann mir doch keiner erzählen, dass am 25. Mai 2018 auch nur die Hälfte aller betroffenen Firmen in der Schweiz alle diese Vorgaben erfüllen werden. Selbst KMUs werden doch grosse Mühe haben, dass alles korrekt umzusetzen.

    De facto werden also auf einen Schlag ein Grossteil aller Schweizer Firmen dieses Gesetz verletzen und sich strafbar machen.

    Meine Frage ist: Müssen wir jetzt tatsächlich mit einer Art Abmahnwelle rechnen? Werden Bussen im grossen Stil verteilt? Was denken Sie?

    Ich bin sehr gespannt auf Ihre Antwort.

    Vielen Dank im Voraus und beste Grüsse,
    Michael Brütsch

    1. @Michael Brütsch:

      «Das heisst also, auch ein Selbständiger / Einzelunternehmer muss theoretisch alle diese Vorgaben erfüllen, oder er kann mit einer Busse belegt werden. Korrekt?»

      Ja.

      «Jetzt mal ganz ehrlich: Dieses Gesetz ist doch absolut hirnrissiger Schwachsinn.»

      Die Europäische Union (EU) versucht, das bestehende Datenschutzrecht durchzusetzen. Ob das mit der neuen Datenschutz-Grundverordnung (DSGVO) gelingen wird, muss sich zeigen.

      «Es kann mir doch keiner erzählen, dass am 25. Mai 2018 auch nur die Hälfte aller betroffenen Firmen in der Schweiz alle diese Vorgaben erfüllen werden. Selbst KMUs werden doch grosse Mühe haben, dass alles korrekt umzusetzen.»

      Ich hoffe, dass möglichst viele Unternehmen in der Schweiz die Übergangsfrist von zwei Jahren nutzen. In einem weiteren Schritt folgt dann das revidierte schweizerische Datenschutzrecht:

      https://steigerlegal.ch/2017/09/18/dsg-datenschutz-botschaft/

      «Müssen wir jetzt tatsächlich mit einer Art Abmahnwelle rechnen? Werden Bussen im grossen Stil verteilt? Was denken Sie?»

      Wir werden es sehen. Die Ressourcen der Aufsichtsbehörden sind weiterhin beschränkt, das heisst die Aufsichtsbehörden werden weiterhin Schwerpunkte setzen müssen. Gleichzeitig werden die Rechte der betroffenen Personen gestärkt, was insbesondere zu Abmahnungen sowie zu Anzeigen bei Aufsichtsbehörden führen kann. In der Praxis wesentlich wichtiger für Unternehmen dürfte aber sein, dass Vertragspartner auf die Einhaltung der DSGVO bestehen …

      In jedem Fall scheint mir klar, dass die EU den Standard für Datenschutz setzt und Unternehmen in der Schweiz werden sich diesem Standard nicht entziehen können. Datenschutz (einschliesslich Datensicherheit) ist nur eine Rechtsfrage, sondern auch eine Frage der Reputation.

      1. Vielen Dank für Ihre Antwort.

        Ich verstehe ja, wenn ein grösseres Schweizer Unternehmen, das in der EU tatsächlich aktiv ist, diese Vorgaben einhalten muss. Das macht ja noch Sinn.

        Ich sehe es einfach aus Sicht der 518’795 Mikrounternehmen (1 bis 9 Beschäftigte) in der Schweiz, die jetzt das alles auch einhalten müssen. Aber nicht, weil sie in der EU aktiv wären, sondern nur, weil sie z.B. auf ihrer Website Google Analytics haben und darum das Verhalten eines auf der Website verirrten EU-Bürgers aufzeichnen könnten.

        Das ist das, was ich so schwachsinnig finde: Dieser radikale Ansatz, der rechtlich gesehen auch einem einzelnen Selbständigen die gleichen Pflichten auferlegt. Das in der Realität in so einem Fall vielleicht/wahrscheinlich nichts passiert, finde ich nicht wirklich beruhigend.

        Aber ja, es lohnt sich ja schlicht nicht darüber zu diskutieren. Am 25. Mai gilt es ernst, und wie Sie sagen: Wir werden sehen, was dann passiert.

        Nochmals vielen Dank für Ihren Artikel (und Ihren Blog insgesamt) und Ihre Antwort.

        Beste Grüsse,
        Michael Brütsch

  2. Es ist wirklich nicht verständlich, warum die Schweiz hier einfach übernimmt. Warum können wir nicht sagen, EU Bürger kaufen bei uns auf eigenes Risiko ein oder verlassen besser den Shop, wenn sie nicht einverstanden sind. (ja, ich weiss, wir machen ja auch mit) Warum lässt man das nicht jeden einzelnen Nutzer entscheiden? – Ich bin im Musikbereich, wo wenige CDs per Shop verkauft werden, einige wenige auch an EU-Bürger. Der Verdienst ist sehr bescheiden, die Kosten für eine Einhaltung und der Aufwand riesig. Warum hat man in der Schweiz nicht eine bessere Idee für uns? Warum können wir nicht unsere eigenen Gesetze für EU-Bürger rausgeben? d.h. das Ganze umkehren und sagen, wenn ihr bei uns einkaufen bzw. in den Newsletter eintragen wollt, haben wir unsere eigenen Anforderungen? – Warum sollte das nicht gehen, ist das nicht eher eine vertragsrechtliche Sache? Danke und Gruss.

    1. @Charles:

      Die Schweiz «übernimmt» die DSGVO nicht, sondern die EU erklärt die DSGVO – unter bestimmten Bedingungen – auch für die ausländische Bearbeitung von Daten von Personen in der EU für anwendbar. Sie beklagen sich letztlich, dass die EU mit verschiedenen Anreizen versucht, dem Datenschutzrecht zur Durchsetzung zu verhelfen. Dabei sind die Grundsätze im EU-europäischen und schweizerischen Datenschutzrecht übrigens weitgehend identisch …

  3. Hallo,
    Vielen Dank für diesen Beitrag. Ich würde eine Start-Seite machen und darauf hinweisen, dass EU Besucher selber entscheiden dürfen ob Sie meine Webseite Besuchen möchten oder nicht und alle Verantwortung selber tragen müssen. Dann würde ich noch auf der Start-Seite beschreiben, was gespeichert wird und für was die gespeicherten Dateien gebraucht werden. Zum Beispiel die Adresse wird gespeichert zur Versendung der Ware. Ich glaube wir haben auf dieser Welt gescheiteres zu lösen als so ein Rezept der EU. Gruss Christian

  4. Das Lustige ist, dass die Hosting Firma (Webseite) bereits Server-Log Files mit IP Adressen sammelt und man somit, sofern man eine eigene Webseite betreibt DSGVO konform sein muss.

    Selbst wenn der Hoster die Server-Log Files ausschalten würde, hat man ja noch eine E-Mail Adresse auf der Webseite, auf welche evt. ein EU Bürger drauf schreiben könnte, selbst wenn das Angebot auf der Webseite nicht auf Ihn zutrifft. Von daher unterliegen alle Firmen in der Schweiz die eine E-Mail Adresse haben der DSGVO?

    Sofern man also unter die DSGVO fällt und einen Datenschutzbeauftragten in der EU hat mit Ihrem Datenschutzpartner https://www.datenschutzpartner.ch müsste ich für jede Anfrage 100 Franken bezahlen. Das heisst wenn unwahrscheinlicherweise 100 Leute aus der EU ihre Daten gelöscht haben möchten, bezahle ich einfach mal so 10’000 Franken.

    Grüsse an alle wachen Geister die sich mit der DSGVO auseinandersetzen.

    Und vielen Dank an Sie Herr Steiger für Ihre Arbeit hier auf Ihrer Webseite.

    1. @P.K.:

      Es unterliegt nicht jede Website in der Schweiz der DSGVO, sondern die DSGVO gilt unter zwei alternativen Bedingungen für die Personendatenverarbeitung in Bezug auf EU-Personen in der Schweiz:

      1. Beabsichtigtes Angebot von Dienstleistungen und / oder Waren, auch kostenlos;

      2. Tracking von Personen in der EU.

      Anfragen von betroffenen Personen in der EU müssen nicht zwingend über den Datenschutz-Vertreter laufen. Sollte jemand 100 Anfragen erhalten, wären die Kosten voraussichtlich geringer als gemäss den heutigen Angeboten von «Datenschutzpartner».

  5. Darf man GoogleAnalytics noch legal nutzen, ohne einen in der EU niedergelassenen Vertreter zu beauftragen?

    Als Schweizer sitze ich zwar inmitten der EU, aber nicht in einem Mitgliedsstaat. Somit verpflichtet mich die DSGVO, ein EU-Anwaltsbüro oder dergleichen als „Vertreter von nicht in der Union niedergelassenen Verantwortlichen“ zu beauftragen. Da dies für meine kleine, überwiegend nichtkommerzielle Website (Patienten-Selbsthilfegruppierung, aber mit Dienstleistung, die auch von EU-Bürgern beansprucht werden darf) nicht erschwinglich ist, will ich dies unbedingt vermeiden. Von der Pflicht eines EU-Vertreters ausgenommen ist man aber nur, wenn die Datenverarbeitung:
    1) nur gelegentlich erfolgt UND
    2) nicht in größerem Umfang besonders schützenswerte Daten bearbeitet werden UND
    3) wenn die betreffende Datenbearbeitung nur geringe Datenschutzrisiken birgt.
    Google Analytics verarbeitet aber nicht nur gelegentlich, sondern ständig Daten. Damit wäre bereits das erste der drei kumulativ zu erfüllenden Kriterien wahrscheinlich nicht erfüllt. Bietet folglich die EU-DSGVO gar keine Möglichkeit mehr, Google Analytics legal einzusetzen, wenn man ausserhalb der EU-Grenzen wohnt und sich keinen rechtlichen Vertreter in der EU leisten kann oder will?

    Wie sieht es aus mit irgendwelchen anderen Zählern, mit denen man die Anzahl Seitenaufrufe zählen kann? Kann dies auch als Datenverarbeitung und Verfolgung von EU-Bürgern betrachtet werden?

    Wie sieht es aus, wenn bereits der Webhosting-Provider mir standardmässig die Möglichkeit bietet, die Statistik seines Servers einzusehen, wie viele Seitenaufrufe aus welchen Ländern es auf meine bei ihm gehosteten Seiten gibt, oder von welchen IP-Adressen welche Seiten aufgerufen wurden, ohne dass sich dies deaktivieren liesse? Ist hierfür allein der Provider/Serverbetreiber verantwortlich oder kann ich Ärger bekommen, wenn ich meine Seiten bei so einem Provider hoste und die DSGVO mit der Erfassung solcher Nutzerdaten nicht erfüllt würde (z.B. weil ich die Websitebesucher nicht darauf aufmerksam mache, dass der Server meines Providers auswertbare Logfiles erstellt)?

  6. Guten Tag Herr Steiger

    Ich habe nun an mehreren Orten gelesen, dass die Pflicht einen Datenschutzbeauftragten zu ernennen u.a. erst ab 9 Mitarbeitern besteht. Da Sie davon nichts erwähnen, frage ich mich ob dies für nicht in der EU ansässige Unternehmen nicht gilt. Für eine kurze Beantwortung dieser Frage, bedanke ich mich im Voraus.

    1. @St.M.:

      Aus Sicht der DSGVO ist die Zahl der Mitarbeiter keihttps://steigerlegal.ch/wp-admin/edit-comments.php#n Kriterium. In Deutschland hingegen galt und gilt, dass man ab 10 Personen, die ständig mit der automatisierten Datenverarbeitung beschäftigt sind, einen Datenschutzbeauftragten benötigt.

      Wenn man der DSGVO unterliegt, benötigt man aus Schweizer Sicht fast immer einen EU-Datenschutz-Vertreter. Hingegen ist ein Datenschutzbeauftragter in vielen Fällen nicht notwendig.

  7. Guten Tag Herr Steiger,
    Ich beschäftige mich erst seit kurzem mit der Thematik und bin als Ein-Mann-Betrieb wirklich auf der K-Seite der KMUs – wie wohl einige der vorangegangenen Schreibenden.
    Frage: Gibt es eine «Anweisung» für Kleinstbetriebe, um die Minimalanforderungen abzudecken (Im Sinne von: im Impressum anfügen, welche Daten z.B. via Google Analytics ausgewertet werden, und gut ist)?

    1. @Franz Lurvink:

      Leider ist mir bislang kein solches Angebot bekannt. In einem ersten Schritt muss man aber sowieso überprüfen, ob man von der DSGVO überhaupt direkt betroffen ist. Allerdings stellen dabei viele fest, dass sie bereits das heutige schweizerische Datenschutzrecht nicht einhalten …

      Bei der Verwendung von Google Analytics beispielsweise führt kein Weg daran vorbei, mindestens mit einer Datenschutzerklärung zu informieren. Je nach Verwendung von Google Analytics ist auch eine ausdrückliche Einwilligung der betroffenen Personen (Website-Besucher) notwendig und / oder man fällt durch die Verwendung von Google Analytics, gerade auch in Form von Universal Analytics, mit seiner Website unter die DSGVO. Google Analytics-Benutzer wurden in den letzten Wochen direkt von Google ausführlich über die Umsetzung der DSGVO informiert.

      Man kann die Datenschutzerklärung mit dem Impressum verbinden, muss aber entsprechend darauf verlinken («Datenschutz» oder «Datenschutzerklärung»). Empfehlenswert sind getrennte Seiten für Impressum und Datenschutzerklärung.

  8. Guten Tag Herr Steiger

    Vielen Dank für Ihre informativen Beitrag.
    Leider bin ich mir bezüglich der Auswirkungen bzw. der Betroffenheit zur DSGVO nicht wirklich sicher. Vielleicht können Sie mir da weiterhelfen:
    Persönlich habe ich keine geschäftliche Beziehungen zu Personen, welche im EU-Raum Ausland wohnen. Allerdings muss ich im Auftrag einer Drittfirma Personendaten von solchen Personen speichern und bearbeiten.
    Inwieweit ist dann die Drittfirma für die Einhaltung der DSGVO verantwortlich und welche Pflichten habe ich?
    Was sieht es eigentlich aus, wenn Daten von in der Schweiz wohnhaften Personen erhoben wurden und diese später in den EU-Raum umziehen?
    Besten Dank für Ihre Informationen

  9. Guten Tag Herr Steiger

    Ich betreibe einen kleine Webshop ohne grossen Schinickschnack. Es werden nur für die Bestellung notwendige Daten erfasst, also was bestellt wurde und an wen es geschickt werden soll (Name, Adresse, Email und Tel.-Nr. des Kunden).

    Der Versand erfolgt ausschliesslich an Schweizer Lieferadressen. Dies ist zum einen in den AGBs erwähnt, zum andern auch technisch so eingerichtet: bei Eingabe der Lieferadresse kann ausschliesslich «Schweiz» als Land gewählt werden.

    Inwiefern bin ich trotzdem vom DSGVO betroffen und muss Anpassungen vornehmen? Oder bin ich, da nicht im EU-Bereich tätig, nicht betroffen?

    Vielen Dank für die Auskunft.

    1. @L. C. Steimer:

      Aufgrund Ihrer Angaben vermute ich, dass sich die DSGVO für Sie nicht für anwendbar erklärt, da Sie keine Angebote an Personen in der EU beabsichtigen. Auch klingen Ihre Angaben danach, als würden Sie kein Tracking von Personen in der EU betreiben.

      1. Danke für Ihre Einschätzung, Herr Steiger. Nun, die Webseite kann aber trotzdem aus der ganzen Welt besucht werden. Der Warenkorb kann nur mit Cookies betrieben werden (der EU-Besucher wird wohl erst beim Checkout merken dass ausschliesslich «Schweiz» als Land gewählt werden kann). Zudem zeichnet mein Hoster auch automatisch Statistiken auf (AWStats, nicht deaktiviertbar). Das ganze bringt eine grosse Verunsicherung mit sich. Verbindlich Auskunft geben kann anscheinend niemand (Sie nehmen, wie ich gelesen habe, keine neuen Mandate an, viele andere haben gar keine Ahnung und blocken beim Thema DSGVO komplett ab). Ich dachte schon an Geo-Blocking um keine Webseitenbesuche aus der EU zu erhalten, aber dies kann umgangen werden, und zudem ist es sehr unpraktisch wenn ein CH-Kunde von mir aus dem Urlaub eine Bestellung in meinem Shop aufgeben möchte. Laut der neusten Meldung muss ich wohl auch die Facebook-Fan-Seite zu meinem Shop offline stellen. Alles in allem scheint das DSGVO in vielen Dingen massiv am Ziel vorbeigeschossen zu haben.

        1. @L. C. Steimer:

          Wenn Personen aus EU und EWR Ihre Website besuchen, aber keine Bestellungen tätigen können, handelt es sich vermutlich nicht um ein beabsichtigtes Angebot, das heisst Sie fallen in dieser Hinsicht nicht unter die DSGVO. Und wenn Sie kein Tracking von Personen in der EU betreiben, entfällt vermutlich auch dieses Kriterium. «Vermutlich», weil ich Sie über solche Kommentare nicht sorgfältig beraten kann. Die Frage, welches Datenschutzrecht anwendbar ist, bildet Teil unserer Beratung.

          Was AWStats betrifft, so wäre wünschenswert, dass Ihr Hoster Ihnen die Wahl lässt, ob Sie es verwenden möchten oder nicht. Und bei einer Verwendung wäre es sinnvoll, wenn erfasste Personendaten nach einer definierten Zeitspanne automatisch gelöscht werden könnten. Ich vermute, Ihr Hoster wird so etwas früher oder später anbieten müssen, aber solche Anpassungen benötigen Zeit.

          Mir ist nicht bekannt, dass man aufgrund der DSGVO keine Facebook-Seiten mehr betreiben dürfte. Aber ja, wer über eine Social Media-Präsenz für sein Unternehmen verfügt, kann die datenschutzrechtliche Verantwortlichkeit dafür nicht ohne weiteres an die jeweilige Plattform abschieben.

  10. Guten Tag Herr Steiger
    Sie haben in Ihren Artikeln einige Fragen bereits beantwortet. Leider habe ich im Verlauf noch keine Informationen gelesen zur Situation von EU-Bürger, die in einem Unternehmen in der Schweiz tätig sind. Können Sie mir sagen in welcher Form das DSGVO für Mitarbeiter und Mitarbeiterinnen aus der EU gilt, welche bei einem Unternehmen in der Schweiz arbeiten und ihr Wohnsitz in der EU ist. Gibt es da in Bezug auf Personen bezogene Daten eine Voraussetzung zum Beispiel private Emails. Es ist mir bewusst, dass es in Bezug auf die Nutzung von Mails besondere Regeln gibt auch in der Schweiz. Es stellt sich aber die Frage ob ein EU-Bürger oder EU-Bürgerin das Recht hat, eine Löschung von Personen bezogenen Daten zu beantragen.

  11. Immer wieder wird hier Google Analytics erwähnt. Wir haben auf unserer Webseite schon immer darauf geachtet, dass unsere Besucher nicht unnötig Daten an uns oder an Dritte abliefern. Dies zahlt sich nun aus. Google Analytics kann übrigens sehr einfach wieder von einer Webseite entfernt werden. Meistens sind es nur wenige Zeilen Code, welcher der Webdesigner in wenigen Minuten entfernt hat.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.