is Aktiv > Beiträge > Was Sie über die EU Datenschutzverordnung GDPR wissen müssen
Was Sie über die EU Datenschutzverordnung GDPR wissen müssen

Das neue Datenschutzgesetz der EU General Data Protection Regulation (GDPR) wird ab 2018 in die Gesetzgebung aller EU-Staaten umgesetzt werden müssen. Die Schweiz ist zwar kein direktes Mitglied der EU, jedoch gilt das Gesetz ebenfalls sobald mindestens ein EU-Bürger im Unternehmen arbeitet.

Die Datenschutzgrundverordnung GDPR trat am 24. Mai 2016 bereits in Kraft. Sie schafft einen neuen Rechtsrahmen, der die Datenschutzgesetze in den 28 Mitgliedstaaten der Europäischen Union (EU) vereinheitlicht und die bisherige EU-Datenschutzrichtlinie ersetzt.

Die folgende zweiteilige Blogserie betrachtet übersichtlich und einfach geklärt, was Schweizer Unternehmen beachten müssen, sobald das neue EU Datenschutzgesetz ab 2018 umgesetzt werden muss. Im ersten Beitrag gebe ich einen kurzen Überblick über die wichtigsten Punkte.

pexels-photo-90837.jpeg

Geltungsbereich und Zeitpunkt Umsetzung

Das neue Datenschutzgesetz hat einen weltweiten Geltungsbereich, genauer gesagt müssen alle Unternehmen auf der Welt die Datenschutzgesetze ab 25.Mai 2018 befolgen, sobald personenbezogene Daten von EU-Bürgerinnen und Bürgern verarbeitet werden. ​Darüber hinaus betrifft dies ausserdem auch Organisationen, die keine Niederlassung in der EU besitzen, aber deren Dienstleistungen und Güter an EU-Bürgerinnen und Bürger angeboten werden. Konkret bedeutet dies, dass sobald ein Mitarbeitender (ebenfalls) eine EU-Staatsangehörigkeit besitzt (bspw. sowohl die Schweizer, als auch die Deutsche Staatsangehörigkeit) und seine Daten verarbeitet werden im Unternehmen, muss sich das Unternehmen an die GDPR Regelungen halten. Ebenfalls gilt dies z.b. für Schweizer Einzelhändlier ohne EU Niederlassung, die deren Produkte an Personen in der EU vertreiben.

Meldepflicht

Während heutzutage Datenpannen oftmals lange unentdeckt bleiben, fordert die GDPR Regelung trotzdem ein rasches Handeln. Innerhalb von drei Tagen, also 72 Stunden, müssen Data Breaches (Datenschutzpannen) den Behörden gemeldet werden. Falls die Frist nicht eingehalten werden kann, muss eine stichhaltige Begründung eingereicht werden, weswegen die Frist nicht eingehalten werden kann. Die entsprechende betroffene Person muss über einen Vorfall informiert werden, wenn es sich um Diskriminierung, Identitätsdiebstahl oder Betrug, finanziellem Verlust, Reputationsschäden oder anderen erheblich wirtschaftlichen oder sozialen Benachteiligungen für die betroffenen Personen handelt (PwC, 2016). Sie muss nicht informiert werden, wenn Unternehmen ausreichende Sicherheitsmassnahmen auf organisatorischer und technischer Ebene umgesetzt haben (bspw. durch Verschlüsselung)

Strafen / Bussgelder

Das Gesetz fordert nicht nur ein rasches Handeln und eine baldige Umsetzung. Die Bussgelder sind geregelt und betragen für Unternehmen bis zu 2% des globalen Jahresumsatzes des Unternehmens (max. 10 Millionen EUR). Bei einer Organisation, die gegen Verpflichtungen des GDPR verstossen beträgt die Strafe bis zur 4% des globalen Weltumsatzes. Das Bussgeld wird dabei von den Aufsichtsbehörden verhängt.

"Privacy By Design" & "Privacy By Default"

Datenbearbeitende sind verpflichtet den Datenschutz bereits früh zu erhalten bzw präventive Technolgien zu nutzen, damit der Datenschutz eingehalten werden kann bereits mit der richtigen Wahl von den geeigneten Mitteln und Technologien.

Kommentare

Zu diesem Beitrag sind keine Kommentare vorhanden.

Kommentar hinzufügen

Titel


Textkörper *


7 + 8


AppUrl


Anlagen

Kategorien

Archiv