FAQs

Was ist die Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung, abgekürzt DSGVO, wird das neue Datenschutzrecht in der Europäischen Union (EU) vereinheitlichen und verschärfen. Die DSGVO gilt auch für viele Unternehmen und Organisationen in der Schweiz.

In der EU wird die DSGVO als Verordnung (EU) 2016/679 bezeichnet.

Was geschieht, wenn man die DSGVO nicht einhält?

Wer das neue EU-Datenschutzrecht verletzt, kann mit Geldbussen von bis zu 20 Millionen Euro oder von bis zu 4 Prozent des weltweiten Umsatzes bestraft werden. Es handelt sich dabei um die Höchststrafen, insbesondere auch mit Blick auf amerikanische Unternehmen wie Facebook.

Schweizer Unternehmen müssen die DSGVO aber auch beachten und damit rechnen, bestraft zu werden. Unabhängig von einer allfälligen Bestrafung können bereits die Kosten, die ein Verfahren aufgrund einer mutmaßlichen Verletzung der DSGVO verursacht, schmerzhaft sein.

Außerdem sehen viele Verträge vor, dass das anwendbare Recht eingehalten werden muss. Wer die DSGVO als anwendbares Recht nicht einhält, verletzt solche Verträge.

Wann tritt die DSGVO in Kraft?

Die DSGVO trat am 25. Mai 2016 in Kraft und gilt ab dem 25. Mai 2018 nach einer Übergangsfrist von zwei Jahren.

Wieso gilt das neue EU-Datenschutzrecht auch für viele Unternehmen in der Schweiz?

Mit der DSGVO führt die EU im Datenschutzrecht das Marktortprinzip ein:

Die DSGVO gilt für die Verarbeitung von Personendaten aller Menschen, die sich in der EU befinden. Die DSGVO gilt auch, wenn solche Daten in der Schweiz und in anderen Ländern außerhalb der EU – in sogenannten Drittländern – verarbeitet werden.

Unter welchen Voraussetzungen gilt das Marktortprinzip für Unternehmen in der Schweiz?

Unternehmen in der Schweiz, deren Angebot sich an Personen in der EU richten, müssen die DSGVO einhalten. Auch kostenlose Angebote wie beispielsweise E-Books und Newsletter für Personen in der EU sind davon ausdrücklich betroffen.

Außerdem gilt die DSGVO für Unternehmen in der Schweiz, die das Verhalten von Personen in der EU beobachten, zum Beispiel durch die Analyse der Aktivitäten von Besucherinnen und Besuchern in einer App oder auf einer Website (Profiling und Tracking).

Gibt es Ausnahmen?

Schweizer Unternehmen, welche die DSGVO einhalten müssen, benötigen unter den folgenden drei Voraussetzungen ausnahmsweise keinen Datenschutz-Vertreter in der EU:

  1. Die Datenverarbeitung erfolgt nur gelegentlich, und
  2. es findet keine umfangreiche Verarbeitung von besonders schützenswerten Daten statt, und
  3. die Datenverarbeitung unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Die Ausnahme gilt nur, wenn alle drei Voraussetzungen erfüllt sind. Wir raten davon ab, sich auf diese Ausnahme zu berufen.