Bereits in wenigen Monaten, am 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Als eine Konsequenz wird damit für viele Schweizer Unternehmen, die kein Domizil in der EU haben, die Bestellung eines EU-Datenschutzbeauftragten Pflicht.
Denn nicht in der EU niedergelassene Unternehmen müssen, wenn ihre Datenverarbeitung im Zusammenhang damit steht, d.h.
a) betroffenen Personen in der EU Waren oder Dienstleistungen entgeltlich oder unentgeltlich anzubieten
oder
b) das Verhalten betroffener Personen zu beobachten („Tracking“ bzw. „Profiling“), soweit dieses in der EU erfolgt
zwingend einen Vertreter in der EU schriftlich benennen.
Der Vertreter in der EU wird beauftragt, insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung der DSGVO als Anlaufstelle zu dienen.
| ? | Ist dein Unternehmen in der Schweiz (und nicht in der EU) niedergelassen? |
| → | Ja – zur nächsten Frage: |
| ? | Steht die Datenverarbeitung im Zusammenhang, betroffenen Personen in der EU Waren oder Dienstleistungen entgeltlich oder unentgeltlich anzubieten? |
| → | Nein – zur nächsten Frage: |
| → | Ja – zur letzten Frage: |
| ? | Steht die Datenverarbeitung im Zusammenhang, das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der EU erfolgt? |
| → | Ja – zur letzten Frage: |
| ? | Erfolgt die Datenverarbeitung gelegentlich oder beinhaltet nicht die umfangreiche Verarbeitung besonderer Datenkategorien und führt unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für Recht und Freiheiten natürlicher Personen? |
| → | Nein, Vertreter schriftlich benennen |
Der Grundsatz aus Art. 27 DSGVO dazu lautet: Eine in der EU niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt.
Davon ausgenommen, einen EU-Datenschutzbeauftragten zu bestellen, sind lediglich Behörden und öffentliche Einrichtungen sowie nur die gelegentlichen Verarbeitungen von Personendaten.
Das Wort «gelegentlich» bietet in diesem Zusammenhang viel Spielraum. Unternehmen, die auf der sicheren Seite sein wollen, definieren einen Vertreter.
Unternehmen, die der DSGVO unterstellt sind, verpflichten sich zum Handeln. Zur Umsetzung der DSGVO müssen diverse Aufgaben bis zum 25. Mai 2018 geklärt, zugeteilt und erledigt werden. Denn wer sich nicht an die neue Verordnung hält, riskiert hohe Geldstrafen. Eine Schritt-für-Schritt-Anleitung zur Umsetzung der DSGVO in deinem Unternehmen erhältst du kostenfrei in diesem Whitepaper.
