Die neue Datenschutz-Gesetzgebung der EU betrifft auch Schweizer Firmen. |
“Die Stossrichtung der Revision wird in der Vernehmlassung begrüsst. Kritisiert wird aber vieles. So wird bemängelt, dass Bestimmungen der EU-Reform nicht übernommen werden, die den Datenschutz von Personen massgeblich verbessern würden. Es handelt sich dabei um zwei zentrale Elemente der EU-Reform: Ein Recht auf Datenübertragbarkeit und ein Recht auf Löschung. […]Nicht nachvollziehbar vielleicht auch deshalb, weil viele Schweizer Firmen sowieso von der neuen EU-Datenschutzregelung betroffen sind. Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) betrifft nämlich Unternehmen aller Grössen und Branchen weltweit, wenn sie in der EU handeln, mit europäischen Unternehmen Personendaten austauschen oder die Daten von EU-Bürgern verarbeiten. Eine Wahl haben diese Unternehmen nicht: Die EU droht hohe Bussen in Millionenhöhe an.
Beide Rechte würden die Position der Betroffenen insbesondere gegenüber grossen global tätigen Datenbearbeitern stärken, heisst es in der Stellungnahme der schweizerischen Datenschutzbeauftragten ("Privatim"). Für die Datenschützer und auch weitere Organisationen ist nicht nachvollziehbar, warum den Schweizer Bürgern diese Rechte verwehrt werden sollen…“
Und das sind die wichtigsten Neuerungen:
- Persönliche Daten dürfen nur nach ausdrücklicher Einwilligung verarbeitet werden. Sie müssen auf Wunsch richtiggestellt oder gelöscht werden (Recht auf Vergessen).Zwar dauert es noch eine Weile, bis die neuen Bestimmungen in Kraft treten. Trotzdem überraschen die Ergebnisse einer weltweiten Umfrage, die vor vier Monaten veröffentlicht wurde: Mehr als 80 Prozent der Befragten gaben an, dass sie nur wenige bis keine Details der Verordnung kennen; weniger als 30 Prozent der Unternehmen fühlten sich bereits auf die Anforderungen vorbereitet; fast 70 Prozent sagten, dass sie den Anforderungen nicht gerecht werden oder nicht wissen, ob sie ihnen gerecht werden. Nur drei Prozent hatten bereits einen Plan, wie sie Konformität herstellen wollen; fast alle Unternehmen (97 Prozent) hatten keinen echten Plan für den Zeitpunkt des Inkrafttretens. Die Ergebnisse zeigten ausserdem, dass man sich in den befragten Unternehmen nicht über das Ausmass der nötigen Veränderungen sowie über die Schwere der Strafen im Klaren ist.
- Datenschutzverletzungen müssen innerhalb definierter Fristen an die Behörden und die Betroffenen gemeldet werden.
- Es gibt ein Recht auf Daten-Portabilität.
- Biometrische und genetische Daten gehören neu auch in die Kategorie der sensiblen persönlichen Daten.
- Alle betroffenen Unternehmen müssen zum Schutz persönlicher Daten angemessene technische und organisatorische Massnahmen treffen, und diese ständig aktualisieren.
- Es besteht eine Pflicht zur “Datenschutz-Folgenabschätzung“. Eine solche Abschätzung muss durchgeführt werden, wenn die Datenverarbeitung hohe Risiken für die Privatsphäre haben könnte.
No comments:
Post a Comment