Die verschärfte Regulierung des Datenschutzes in der EU wirft lange Schatten voraus, und diese reichen bis in die Schweiz: Die Datenschutzgrundverordnung (DSGVO) wird ab 25. Mai 2018 in allen EU Mitgliedstaaten direkt anwendbar. Die neue Regulierung gilt ab dann auch für Unternehmen ausserhalb der EU (bzw. in der Schweiz), die z.B. Waren oder Dienstleistungen Personen anbieten (z.B. CH-Onlineshop mit Angebot an Kunden aus EU), die sich in der EU (unabhängig von Herkunft / Nationalität) befinden oder das Verhalten von Personen beobachten (z.B. CH-Unternehmen mit Tracking auf Webseite, die für Nutzer aus der EU zugänglich ist), die sich in der EU befinden. Aufmerksamkeit erlangt die Regulierung nicht zuletzt durch drakonische Strafdrohungen: Verletzern drohen Bussen bis zu 4% ihres Jahresumsatzes oder EUR 20 Mio (wobei der höhere Betrag massgeblich ist).
Die DSGVO enthält verschärfte Pflichten für die verantwortlichen Datenbearbeiter wie auch für Dienstleister, die Personendaten für Dritte verarbeiten. Dazu gehören erhöhte Anforderungen an die Information der Betroffenen und die Einholung von deren Zustimmung. Die DSGVO verpflichtet die verantwortlichen Datenbearbeiter auch zu erhöhten Sicherheitsmassnahmen für Personendaten. Sie müssen sich über den Standort der von ihnen gehaltenen Personendaten im Klaren sein (auch bei Nutzung von Cloud Diensten) und im Falle der Unterbeauftragung ihre vorgängige Zustimmung geben (zum Beispiel muss der Kunde eines über SaaS angebotenen CRM die Zustimmung dazu geben, bei welchem Hoster seine Daten gespeichert sind).
Doch damit nicht genug: Die EU revidiert zur Zeit auch ihre Richtlinie über Cookies. Diese soll neue ebenfalls zu einer direkt in allen Mitgliedländern der EU anwendbaren Verordnung werden. Das EU Parlament hat im Oktober 2017 eine Fassung verabschiedet, die das Tracking von Internet Nutzern massiv erschweren und werbebasierte Geschäftsmodelle behindern würde. IAB Europa setzt sich zusammen mit anderen Wirtschaftsverbänden bei der EU Kommission und bei den Regierungen der EU Länder dafür ein, dass diese sogenannte ePrivacy Regulierung auf ein vernünftiges Mass reduziert wird. Zur Zeit ist das Resultat dieses Prozesses noch nicht absehbar, obwohl die neue Regulierung zeitgleich mit der DSGVO in Kraft treten soll.
Parallel dazu revidiert auch die Schweiz ihr Datenschutzrecht. Der Entwurf zu einem totalrevidierten Datenschutzgesetz (E-DSG) wurde am 15. September 2017 publiziert. Er bezweckt, die Gleichwertigkeit des Datenschutzes mit der Regulierung in der EU sicherzustellen, damit Personendaten weiterhin ungehindert zwischen der Schweiz und EU Ländern ausgetauscht werden können. Leider enthält das E-DSG zahlreiche Ungereimtheiten. So wurde etwa die Regelung des Profiling gegenüber den entsprechenden Bestimmungen in der DSGVO unnötig erschwert. IAB hat sich bereits in die Beratungen der vorberatenden Kommission des Nationalrates eingebracht, um dieser Verschärfung entgegenzuwirken. Sie hat auch andere Verbände für das Thema sensibilisiert und deren Unterstützung zugesichert erhalten.
Die IAB setzt sich für eine risikobasierte Regelung des Datenschutzes in der Schweiz ein. Die IAB Switzerland beobachtet den Prozess genau und informiert seine Mitglieder rechtzeitig.
Gleichzeitig will IAB Switzerland ihre Mitglieder in die Lage versetzen, rechtskonform zu handeln und auch ihre Kunden bei der Umsetzung der Vorgaben zu unterstützen. Interessierte Mitglieder sind eingeladen, sich an einem Workshop der Fokusgruppe Recht zu beteiligen:
DSGVO ante Portas: Was gilt? Wie sollte man sich vorbereiten?
Datum: Donnerstag 7. Dezember, 17.15 Uhr bis 18.30 Uhr
Wo: Stadt Zürich, wird bei Anmeldung bekannt gegeben
Referenten: Dr. Rolf Auf Der Maur, Dr. Thomas Steiner
Kommen Sie zum IAB Event speziell für IAB und IGEM Mitglieder sowie Mitglieder des SWA „Digital Committee“.
Gegen Voranmeldung unter contact@iab-switzerland.ch. Die Teilnehmerzahl ist 35 Personen beschränkt.
Weiterführende Links zur Info:
– IAB Europe (EU-DSGVO Infos/Tools): https://www.iabeurope.eu/?s=GDPR
– IAB UK (To Do’s basierend auf Infos des ICO): https://www.iabuk.net/policy/briefings/iab-uk-gdpr-checklist