Als Schweizer Unternehmen den
EU-Datenschutz umsetzen
- Stellung des EU-Vertreters nach DSGVO
- Ansprechpartner für Betroffene in der EU
- Offizieller Ansprechpartner bei Behördenanfragen
Machen Sie Ihr Unternehmen fit für die DSGVO
Ziel der seit dem 25. Mai 2018 gültigen europäischen Datenschutz-Grundverordnung (DSGVO) ist es, den Datenschutz in der EU zu vereinheitlichen. Auch Schweizer Unternehmen sind von ihren komplexen Anforderungen betroffen, sobald Daten von EU-Bürgern verarbeitet werden.
Verantwortliche und Auftragsverarbeiter ohne europäische Niederlassung werden mit verschiedenen Pflichten belegt, wenn die folgenden Voraussetzungen gegeben sind:
- Sie bieten Personen im europäischen Inland Waren oder Dienstleistungen an oder
- Sie beobachten das Verhalten dieser Personen (zum Beispiel anhand von Tracking Tools, vgl. Art. 3 Abs. 2 DSGVO).
Vor diesem Hintergrund ist in Art. 27 der DSGVO das sogenannte EU-Vertreter-Modell normiert. Dienstleister und Unternehmen aus dem EU-Ausland haben demnach die Aufgabe, einen in der EU niedergelassenen Vertreter zu ernennen.
DSGVO und Schweizer Datenschutzgesetz (DSG)
Am 1. März 2019 hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) über das Inkrafttreten des Schengen-Datenschutzgesetzes (SDSG) informiert. Nachdem das Schweizer Parlament die Aufspaltung der Revision des Datenschutzgesetzes in zwei Teile beschlossen hat, wurden nun die notwendigen Anpassungen an das europäische Recht, insbesondere die Umsetzung der RL (EU) 2016/680, vorgenommen.
Es ist vorgesehen das SDSG aufzuheben, sobald das neue Schweizer Datenschutzgesetz (DSG) in Kraft treten wird. Der Abschluss der Revision des DSG ist voraussichtlich für das Jahr 2020 geplant. Die Revision soll das Schweizer DSG kompatibel zur DSGVO machen, damit ein einheitliches Datenschutzniveau gewährleistet wird.
Wenn Schweizer Unternehmen nicht bereits von der DSGVO betroffen sind, müssen sie mit dem neuen DSG praktisch die gleichen Anforderungen erfüllen!
Was uns auszeichnet
Unser wissenschaftlicher Beirat
Exzellente Beratung für Sie
Exzellente Beratung
datenschutzexperte.ch ist mit seinem digitalen Geschäftsmodell ideal aufgestellt, um Unternehmen individuelle Betreuung und massgeschneiderte Datenschutzlösungen unabhängig von Ort und Zeit anzubieten. Von der kompetenten Beratung für Unternehmen, die Daten von EU-Bürgern verarbeiten, bis hin zur Plattform Proliance 360, mit der auch komplexe Sachverhalte einfach bearbeitet werden können, ist dabei alles möglich.
Prof. Dr. Boris Paal, M. Jur. (Oxford)
(Wissenschaftlicher Beirat)
Unsere Vorteile
Weil Datenschutz Vertrauenssache ist
Überzeugen Sie sich selbst
Unsere Kundenstimmen
datenschutzexperte.ch hat uns mit kompetenter Beratung und fachlicher Expertise dabei unterstützt sicherzustellen, dass alle Anforderungen der DSGVO erfüllt werden.
Kilian Wagner
(Geschäftsführer VIU VENTURES AG, Zürich)
Überzeugen Sie sich selbst
Unsere Kundenstimmen
Da wir bei mementor sensible personenbezogene Daten verarbeiten ist uns ein verantwortungsvoller Umgang mit unseren Kundendaten sehr wichtig. Die digitale Datenschutz-Organisation mit der Plattform Proliance 360 entspricht den Ansprüchen unseres ebenfalls digitalen Geschäftsmodells und lässt sich ideal in unser Tagesgeschäft integrieren.
Noah Lorenz
(Geschäftsführer mementor GmbH, Fribourg)
Zahlreiche zufriedene Kunden
Jetzt unverbindlich beraten lassen
Kontaktieren Sie uns und erhalten Sie noch heute Ihr unverbindliches Angebot!
Wir unterstützen Sie bei der Umsetzung aller für Sie relevanter DSGVO-Vorgaben:
- Stellung des EU-Vertreters
- Ansprechpartner für Betroffene in der EU
- Offizieller Ansprechpartner bei Behördenanfragen
- Weiterleitung von Betroffenenanfragen
- E-Mail und Postadresse für Anfragen von Betroffenen und Behörden
Zusätzlich bieten wir Ihnen auf Wunsch weitere Dienstleistungen rund um das Thema Datenschutz
Unsere Sales-Experten unterstützen Sie gerne bei der Evaluierung des für Sie passendsten Angebots.
Über uns
Team datenschutzexperte.ch
"datenschutzexperte.ch ist einer der digitalen Marktführer im Bereich EU-Datenschutz. Mit über 80 Juristen und IT-Spezialisten betreuen wir mehr als 1.700 Unternehmen in Deutschland und Europa. Als „All-in-one“ Lösung stellen wir Ihnen, je nach Bedarf, einen EU-Vertreter oder zertifizierten externen Datenschutzbeauftragten nach DSGVO, setzen sämtliche Dokumentationspflichten im Bereich Datenschutz für Sie um, führen einen Datenschutz-Audit mit Ableitung von Handlungsempfehlungen durch und sind in allen täglichen Anfragen zum europäischen Datenschutz Ihr verlässlicher Ansprechpartner."
Alexander Ingelheim, Gründer und CEO, der nach seinem Studium an der HSG in St. Gallen jahrelang als Unternehmensberater in Zürich tätig war.
Immer einen Schritt voraus mit Proliance 360
Die digitale Datenschutzsoftware Proliance 360 bietet dem Nutzer vielseitige Funktionen und wird fortlaufend ausgebaut, um den rechtlichen Vorgaben im Datenschutz immer einen Schritt voraus zu sein und den Datenschutzalltag noch einfacher zu gestalten.
Proliance 360 ist die digitale Datenschutz-Plattform zur betrieblichen Organisation der Datenschutz-Themen in Ihrem Unternehmen. Durch die Vielzahl an Funktionen ist sie leicht zu bedienen und organisiert für Sie den Datenschutz zentral an einer Stelle. Wir beraten und unterstützen Sie gerne zum einfachen und transparenten Datenschutz-Management in Ihrem Unternehmen.
Haben Sie noch Fragen?
Unsere FAQs helfen Ihnen weiter
Allgemein
Was müssen wir tun, um den Vertrag zu starten?
Vor Vertragsstart findet ein telefonisches Beratungsgespräch mit einem unserer zertifizierten Datenschutzexperten statt, bei dem wir Ihrem Unternehmen das passende Leistungspaket zuordnen. Hieran anknüpfend schicken wir Ihnen unseren Beratervertrag zu. Sobald Sie uns diesen unterschieben zukommen lassen, kann unser Service für Sie beginnen.
Wann ist Vertragsstart?
Verträge starten zum 1. des jeweiligen Folgemonats.
Wie lange ist die Vertragslaufzeit?
Unsere Verträge haben immer eine Laufzeit von 12 Monaten.
Was macht das Datenschutzexperten-Team aus?
Neben existierenden Kunden in der Schweiz, agieren wir bereits in ganz Deutschland als externer Datenschutzbeauftragter für zahlreiche verschiedene Unternehmen. Unser Team besteht aus Volljuristen, technischen Entwicklern, IT-Spezialisten sowie Betriebswirten. Ziel ist es, das Thema Datenschutz in Ihrem Unternehmen möglichst einfach und effizient zu halten und dabei immer auf die neuesten Technologien zu setzen. Unsere eigens entwickelte Software-as-a-Service (SaaS) Plattform Proliance 360 ist dabei die Schnittstelle zwischen Ihnen und uns.
Was hat sich mit der DSGVO seit Mai 2018 geändert?
Durch die Datenschutzgrundverordnung (DSGVO) wurde erstmals der Datenschutz in der gesamten EU auf ein einheitliches Niveau gebracht. Das hat umfangreiche Auswirkungen auf Unternehmen, die in irgendeiner Weise mit personenbezogenen Daten arbeiten. Neben zahlreichen zusätzlichen Pflichten wurde mit der Anwendbarkeit der DSGVO seit dem 25. Mai 2018 insbesondere auch der Bussgeldrahmen für Datenschutzverstösse deutlich angehoben. Künftig können, je nach Schwere des Verstosses, Bussgelder in Höhe von bis zu 4 Prozent der Jahresumsätze des Unternehmens oder bis zu 20 Millionen Euro verhängt werden, je nachdem welcher der Beträge höher ist. Auch Unternehmen in Drittländern können hiervon betroffen sein, weshalb unser Angebot auch Schweizer Kunden bei einer bestmöglichen Umsetzung helfen soll.
Ihre Frage ist hier nicht aufgeführt?
Falls Ihre Frage nicht beantwortet wurde, melden Sie sich einfach kurz bei uns!
Sie erreichen uns telefonisch unter: +41 (0)44 51 24 25 1 oder per
E-Mail: info@datenschutzexperte.ch
EU-Vertreter
Brauche ich einen EU-Vertreter oder einen Datenschutzbeauftragten nach der DSGVO?
Unabhängig von der lokalen Schweizer Datenschutzrechtslage, treffen die Regeln der DSGVO zur Benennung eines Datenschutzbeauftragten auch viele Schweizer Unternehmen. Grundsätzlich gilt es hier zwei Fälle zu betrachten.
1. Ein Schweizer Unternehmen betreibt eine Niederlassung in einem EU-Land:
Hier sind in jedem Fall die Regeln der DSGVO und die jeweils geltenden länderspezifischen Massgaben zur Bestellungspflicht eines Datenschutzbeauftragten einzuhalten. In Deutschland greift die Bestellungspflicht zum Beispiel sobald mindestens zehn Personen (dazu zählen auch Freelancer, Praktikanten, ...) z.B. Zugriff auf Outlook haben.
2. Ein Schweizer Unternehmen ohne Niederlassung in der EU hat Kunden/ Interessenten/ Geschäftspartner in der EU (Website reicht). Es werden keine besonderen Kategorien personenbezogener Daten verarbeitet:
In diesem Fall, muss ein EU-Vertreter benannt werden.
Wieso gilt die DSGVO für Unternehmen in der Schweiz?
Neben Einhaltung des für alle Schweizer Unternehmen massgeblichen "Eidgenössischen Datenschutzgesetz" erstreckt sich das Recht der DSGVO durch die Einführung des Marktortprinzips auch auf Länder ausserhalb der EU und des EWR, wenn personenbezogene Daten von Personen, die sich in der EU aufhalten, in sogenannten Drittländern, verarbeitet werden (Art. 3 Abs. 2 DSGVO).
Da die Schweiz als Drittland zählt, fällt auch diese unter die DSGVO sobald personenbezogene Daten einer Person, die sich in der EU aufhält, verarbeitet werden. Dies ist auch schon der Fall, wenn kostenfreie Angebote mit Bezug auf personenbezogene Daten angeboten werden (beispielsweise Newsletter) oder beim Tracking von Daten von EU-Bürgern - unabhängig davon, wo eine Website betrieben wird.
Was ist ein EU-Vertreter?
Nach der seit dem 25.05.2018 in der gesamten EU anwendbaren Datenschutz-Grundverordnung (DSGVO), kann sich der Anwendungsbereich nach dem Marktortprinzip auch auf Unternehmen ohne Niederlassung in der EU erstrecken. So können nach Art. 27 Abs. 1 DSGVO Unternehmen, welche in der EU tätig sind aber ausserhalb der EU Ihre Niederlassung haben, schriftlich einen EU-Vertreter benennen.
Dieser dient nach Art. 27 Abs. 4 DSGVO insbesondere Aufsichtsbehörden oder Betroffenen bei sämtlichen Anfragen im Zusammenhang mit der DSGVO als Ansprechpartner.
Was sind die Aufgaben des EU-Vertreters?
Der EU-Vertreter dient nach Art. 27 Abs. 4 DSGVO als zusätzliche Anlaufstelle für Aufsichtsbehörden und betroffene Personen bei sämtlichen Anfragen im Zusammenhang mit der Gewährleistung der Einhaltung der DSGVO.
So kann ein EU-Vertreter zum Beispiel von den Aufsichtsbehörden angewiesen werden, alle Informationen bereitzustellen, welche für die Erfüllung der Aufgaben der Aufsichtsbehörden nötig sind. Sollten Informationen nicht verfügbar sein, muss der EU-Vertreter diese beim zu vertretenen Unternehmen einholen.
Wer kann laut DSGVO Vertreter in der EU werden?
Nach Art. 27 Abs. 3 DSGVO muss der EU-Vertreter in einem der EU-Mitgliedsstaaten niedergelassen sein, in denen sich der von der Datenverarbeitung betroffene Personenkreis befindet. Der EU-Vertreter kann eine natürliche oder juristische Person sein.
Wenn der EU-Vertreter seinen Sitz beispielsweise in Deutschland haben soll, müssen mindestens auch Daten von Bürgern mit deutschem Wohnsitz verarbeitet werden.
Gibt es mehrere Mitgliedstaaten, die dabei in Frage kommen, ist innerhalb dieses Rahmens eine freie Ortswahl möglich. Die Benennung des EU-Vertreters im Unternehmen muss zudem schriftlich erfolgen (Art. 27 Abs. 1 DSGVO). Der Vertretene erteilt dem Datenschutzvertreter durch Ausstellung einer entsprechenden Vollmacht die Befugnis, im Namen des Vertretenen zu handeln. Nur dann kann der EU-Vertreter seine Funktion als Ansprechpartner und Anlaufstelle ordnungsgemäss erfüllen (Art. 27 Abs. 4, Erwgr. 80 DSGVO).
Wie haftet der EU-Vertreter bei Verstössen gegen die DSGVO?
Mit der Benennung eines EU-Vertreters erfüllt ein Unternehmen zunächst das massgebende Recht der DSGVO. Die Haftung des vertretenen Unternehmens entfällt nicht mit der Bestellung eines EU-Vertreters. Auch nach der Benennung des EU-Vertreters, trägt der Verantwortliche des vertretenen Unternehmens nach Art. 27 Abs. 5 DSGVO selbst die Verantwortung für die Einhaltung der DSGVO.
Was passiert bei Gesetzesänderungen welche den EU-Vertreter betreffen (Art. 27 DSGVO)?
Sollten die Gesetze geändert werden, passen wir unser Angebot dementsprechend an, um Ihnen weiterhin einen optimalen Datenschutz zu ermöglichen.
Begriffserklärungen
Personenbezogene Daten
Unter personenbezogenen Daten versteht man nach DSGVO jene Daten, die Rückschlüsse auf eine natürliche Person erlauben. In der DSGVO ist die Definition von personenbezogenen Daten weiter gefasst als bisher. Sie umfassen nach Art. 4 Nr. 1 DSGVO alle Informationen zur genetischen, geistigen, wirtschaftlichen, kulturellen und sozialen Identität einer identifizierten oder identifizierbaren Person.
Zu besonderen Kategorien personenbezogener Daten gehören nach Art. 9 Abs. 1 DSGVO Angaben zur rassischen und ethnischen Herkunft, zu politischen Meinungen, zu religiösen oder weltanschauliche Überzeugungen, zu einer Gewerkschaftszugehörigkeit, zur Gesundheit, zum Sexualleben oder sexuellen Orientierung, sowie genetische und biometrische Daten.
Betroffener
Werden personenbezogene Daten einer natürlichen Person verarbeitet, so ist diese im Sinne der DSGVO „betroffen“. Betroffene/r kann also nur ein Mensch sein.
Der/dem Betroffenen stehen, sofern eine Verarbeitung ihrer/seiner Daten stattfindet, unterschiedliche Rechte zu, welche in den Art. 12 bis 23 DSGVO umfassend geregelt sind.
Zu den wichtigsten Betroffenenrechten zählen unter anderem das Recht auf Auskunft, Löschung („Vergessenwerden“), Berichtigung sowie das Widerspruchsrecht und der Widerruf der Einwilligung.
Verantwortlicher
Der Verantwortliche ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Auftragsverarbeiter
Auftragsverarbeiter verarbeiten weisungsgebunden und vertraglich gebunden Daten für jemand anderes, den Verantwortlichen. „Klassische“ Auftragsverarbeiter sind z. B. Clouddienste-Anbieter, Werbeadressenverarbeitung durch einen Newsletter-Tool-Betreiber oder Datenträgerentsorgung durch einen Dienstleister.
Marktortprinzip
Einen weit verbreiteten Irrtum stellt die Annahme dar, die DSGVO gelte nur im europäischen Raum. Dementgegen regelt Art. 3 DSGVO, dass diese auch dann Anwendung findet, sobald:
... die Verarbeitung von personenbezogenen Daten durch einen Verantwortlichen mit Niederlassung in der EU geschieht, unabhängig davon, ob die Verarbeitung in der Union stattfindet (also auch in einem Drittland!),
... der Verantwortliche seinen Sitz ausserhalb der EU hat, aber Waren oder Dienstleistungen in der Union anbietet und
... der Verantwortliche seinen Sitz ausserhalb der EU hat, aber das Verhalten betroffener Personen beobachtet, die sich innerhalb der Union aufhalten.
Verzeichnis von Verarbeitungstätigkeiten (VVT)
Im Verzeichnis von Verarbeitungstätigkeiten wird dokumentiert, welche Kategorien von personenbezogenen Daten aktuell im Unternehmen verarbeitet werden und wie diese geschützt werden. Im Rahmen der Verarbeitung „Bewerbermanagement“ beispielsweise wird dokumentiert, welche Bewerberdaten gespeichert werden, auf welcher Rechtsgrundlage diese verarbeitet werden, wer Zugriff auf diese Daten hat, woher diese Daten kommen, wie diese wieder gelöscht und geschützt werden.
Technische und organisatorische Massnahmen (TOM)
Technische und organisatorische Massnahmen sind alle Schutzmassnahmen, die innerhalb eines Unternehmens eine sichere Verarbeitung von personenbezogenen Daten gewährleisten. Diese müssen in Hinblick auf Art und Umfang der verarbeiteten Daten auch wirtschaftlich vertretbar sein.
Technische Massnahmen:
Alle Massnahmen, die sich umsetzen lassen, etwa durch bauliche Massnahmen wie Alarmanlagen oder durch Soft- und Hardwarevorgaben wie etwa passwortgeschützte Benutzerkonten. Die technischen Massnahmen beziehen sich auf den Datenverarbeitungsvorgang und damit die Verarbeitungstätigkeit selbst.
Organisatorische Massnahmen:
Alle Massnahmen, die Regeln und Vorgaben betreffen, die Mitarbeiter zur Einhaltung des Datenschutzes anhalten. Dies kann beispielsweise durch Handlungsanweisungen, Dienstanweisungen und Betriebsvereinbarungen erfolgen. Diese beziehen sich auf den äusseren Ablauf bzw. die äusseren Rahmenbedingungen des Datenverarbeitungsvorgangs.
Auftragsverarbeitungsvertrag (AV-Vertrag)
Ein Auftragsverarbeitungsvertrag regelt den Austausch von personenbezogenen Daten zwischen Auftraggeber und Auftragnehmer. Grundsätzlich muss mit jedem Dienstleister ein Auftragsverarbeitungsvertrag abgeschlossen werden, sofern der Dienstleister potentiell Zugang zu personenbezogenen Daten hat und die Daten ausschliesslich auf Anweisung des Verantwortlichen und zu Zwecken des Verantwortlichen verarbeitet. Verantwortlicher ist derjenige, der allein oder gemeinsam mit anderen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Hierbei kommt es massgeblich auf die Entscheidung über die Verarbeitungszwecke an, während die Entscheidung über die technischen und organisatorischen Fragen der Verarbeitung auch auf den Auftragsverarbeiter delegiert werden kann. In einem Auftragsverarbeitungsvertrag wird z.B. geregelt, welche personenbezogenen Daten eine Werbeagentur erhält, wofür diese Daten verwendet werden dürfen (beispielsweise nur um einmalige Weihnachtskarten zu verschicken) und wie diese personenbezogenen Daten von der Werbeagentur geschützt werden müssen.
