Was bedeutet die DSGVO für KMU?
Ab Ende Mai gilt erstmals in der Europäischen Union ein einheitliches Datenschutzrecht. Ziel dieser Reform ist es, EU-weit einheitliche and das digitale Zeitalter angepasste Regeln zu schaffen. EU-Bürger sollen mehr Kontrolle über ihre Persondenaten haben und Unternehmen stärker zur Verantwortung gezogen werden. Die neue Verordnung (DSGVO) wird auch auf die Schweiz direkte Auswirkungen haben. Das musst du jetzt darüber wissen.
Was ist DSVGO/GDPR?
Die DSGVO ist die neue Datenschutz-Grundverordnung der Europäischen Union, die ab dem 25. Mai 2018 anzuwenden ist. Sie regelt die Verarbeitung personenbezogener Daten aller EU Bürgern und den dort wohnhaften Privatpersonen. Individuen sollen besser geschützt werden und die Hoheit über persönliche Daten wiedererlangen.
Auch das schweizerische Datenschutzgesetz wird zurzeit überarbeitet. Ziel der Revision ist die Anpassung an die DSVGO. Über kurz oder lang werden sich daher alle Schweizer Unternehmen an vergleichbare Regeln halten müssen.
Regelungen durch die DSGVO / GDPR
Die DSVGO heisst auf Englisch GDPR (General Data Protection Regulation). Mit dieser Verordnung wird der Datenschutz in der EU erweitert und vereinheitlicht. Betroffen davon sind nicht nur Unternehmen mit Sitz in der EU, sondern auch Schweizer Unternehmen, die mit EU Bürgern Geschäfte machen. Der Geltungsbereich der DSGVO reicht also weit über europäische Grenzen hinaus. Unternehmen, die die Umsetzung nicht vornehmen, riskieren hohe Bussen. Im Folgenden werden einige der Besonderheiten der DSGVO näher vorgestellt.
Erweiterte Informationspflicht bei der Erhebung von Personendaten
Das verantwortliche Unternehmen muss die betroffenen Personen in präziser, transparenter, verständlicher und leicht zugänglicher Form über die Bearbeitung und ihre Rechte informieren. Neben den Kontaktdaten des Datenverarbeiters und dem Verwendungszweck müssen betroffenen Personen auch ausführlich darüber informiert werden, wenn Daten zur Datenverarbeitung weitergegeben werden.
Erweiterte Dokumentations- und Nachweispflicht
Verantwortliche Unternehmen müssen aktiv nachweisen können, dass die Bestimmungen der DSGVO eingehalten werden. In der Regel empfiehlt es sich insbesondere, ein Verzeichnis der Datenverarbeitungsvorgänge des Unternehmens zu erstellen. Dieses verschafft einen Überblick über die datenschutzrelevanten Vorgänge im Unternehmen.
Das “Recht auf Vergessenwerden” und die Löschungspflicht der DSGVO
Das Recht auf Vergessenwerden stellt sicher, dass digitale Informationen mit einem Personenbezug nicht dauerhaft zur Verfügung stehen. Bürger haben ab sofort das umfassende Recht auf eine Löschung ihrer Daten. Ähnliche Rechte gab es zwar bereits vorher, doch waren sie unvollständig und kaum durchsetzbar. Mit der DSVGO verfügen Privatpersonen von nun an über eine klare Rechtsgrundlage.
Wer aus den Datenbeständen von Unternehmen und Behörden sowie aus den Suchergebnissen von Suchmaschinen gelöscht werden möchte, hat dieses Recht, wenn dem kein behördliches oder anderweitig gelagertes juristisches Interesse entgegensteht. Letzteres könnte bestehen, wenn eine Behörde mit dem Fall der Person befasst ist oder ein Unternehmen die Daten wegen der Erfüllung eines Vertrages oder Rechtsstreitigkeiten darüber noch speichern muss. Löschungsansprüche können per Antrag gegenüber der Stelle geltend gemacht werden, welche die Daten speichert. Ebenso können sie an Google und andere Suchmaschinenbetreiber gerichtet werden.
Über die Löschung oder ihre Ablehnung ist die betroffene Person in Monatsfrist zu informieren. Wenn die Löschung erfolgt, müssen auch Empfänger solcher Daten – vorrangig verlinkte Seiten – über die Löschung informiert werden. Das kann im Einzelfall schwierig sind, dennoch müssen sich die Verantwortlichen der Stelle, an die der Löschantrag gerichtet wurde, nachhaltig darum bemühen.
Auskunftsrecht: Das Recht auf eine Kopie gespeicherter Daten
Gemäss diesem Datenschutzgesetz hat jede Person das Recht zu erfahren, welche Daten über sie gespeichert sind, und diese – wenn nötig – löschen oder korrigieren zu lassen. So kann jede Person von einer Organisation (Unternehmen, Behörde, Verein etc.) eine Auskunft dazu zu verlangen, ob eigene Daten gespeichert werden und welcher Art diese Daten sind. Geschützte Privatpersonen haben das Recht, von den gespeicherten Daten eine kostenlose Kopie zu erhalten. Weitere Kopien können kostenpflichtig abgegeben werden, wobei die Kosten dem Verwaltungsaufwand entsprechen sollen.
Das Recht auf Datenübertragbarkeit
Dieses neue Gesetz soll dem Einzelnen einen Anspruch bieten, seine Daten von einem Serviceanbieter auf den anderen zu übertragen. In der Theorie soll der Nutzer seine Profildaten bei einem Dienst exportieren und bei einem vergleichbaren Dienst mit wenigen Klicks importieren können. Experten sind sich jedoch einig, dass dieses Vorgehen sich in der Praxis jedoch schwieriger gestalten wird, als vom Gesetzgeber vorgesehen, denn dafür werden standardisierte Datensätze und Schnittstellen (APIs) vorausgesetzt, die im Moment noch nicht bestehen.
Was müssen Paymash Kunden konkret ändern?
Paymash Kunden sollten EU-konforme Datenschutzbestimmungen zu erstellen, wenn sie mit der EU Geschäfte machen oder aus anderen Gründen Daten von EU-Bürgern speichern und verarbeiten. Womöglich lohnt es sich zudem ein Verzeichnis der Datenverarbeitungsvorgänge anzulegen. Die Webseiten sollten DSGVO-konform aufgebaut sein. Neben der in Deutschland und anderen EU-Staaten geltenden Impressumspflicht, sollte auf der Webseite auch ein Dokument zum Datenschutz erstellt werden.
Des Weiteren sollten Paymash Kunden Daten von EU-Bürgern auf deren Anfrage umstandslos löschen, wenn dies eingefordert wird. Dabei müssen geltende gesetzliche Aufbewahrungspflichten selbstverständlich beachtet und respektiert werden.
Wie handelt Paymash bezüglich der DSGVO?
Paymash unternimmt alle nötigen Anstrengungen und Schritte, um am 25. Mai 2018 DSGVO-konform aufgestellt zu sein. Neben der rechtskonformen Anpassungen unserer Datenschutzbestimmungen stehen auch Verbesserungen auf Produktebene an. So werden beispielsweise die Export und Import Funktion erweitert, ein Double-opt-in beim Anmeldevorgang eingeführt und die Möglichkeit zur unwiderruflichen Löschung des Paymash Kontos erstellt.
Paymash fungiert als Prozessor für personenbezogene Daten, die Paymash Nutzer wiederum von ihren Kunden erhalten. Aus diesem Grund werden wir Paymash Kunden bei der DSGVO-konformen Datenverarbeitung unterstützen. Wir schützen mit unserer Technologie angemessen die Daten unserer Kunden und unterstützen sie bei der Überprüfung, Anpassung oder Löschung von personenbezogenen Daten.
Paymash-Systeme werden oft grenzüberschreitend eingesetzt. Zu den Kernbereichen von Paymash gehören Sicherheitslösungen. Wir schaffen ausreichende technische und juristische Sicherheit, die durch unsere Back-ups, die sichere Datenübertragung und den umfangreichen Support flankiert werden.
Checkliste DSGVO / GDPR für KMU
- Informationspflicht: Aktualisierung sämtlicher Rechtstexte wie Einwilligungstexte, Datenschutzinformationen und gg. die AGBs.
- Überprüfen der Hinweispflicht auf das Widerrufsrecht
- Anpassung der Webseite mit Checkboxen und Double-opt-in Verfahren.
- Recht auf Vergessenwerden: Auf Löschung von Daten vorbereiten
- Recht auf Datenübertragung: Prüfen ob die genutzten Systeme den Datenexport in üblichen Formaten oder per Schnittstelle ermöglicht.
- Umgang mit Drittanbieter-Services: Anpassung der Auftragsdatenverarbeitungsverträgen