Aus eigenem Interesse, aber auch, weil viele unserer Kunden nicht nur im Schweizer Inland tätig sind, habe ich mich die letzten Wochen und Monate mit der europäischen Datenschutzgrundverordnung (DSGVO) beschäftigt. Was heisst das für Selbstständige? Was heisst es für Schweizer Firmen ganz im Allgemeinen? Und häufig war ich nach Gesprächen mit anderen Gründern, KMUs und Start-ups etwas irritiert.

Das ist eine europäische Angelegenheit und mein Unternehmen ist eh nur ein kleiner Fisch. Und im schlimmsten Fall habe ich eine Rechtsschutz-Versicherung.

Was ist denn nun dran? Sehen wir Gespenster oder wiegen sich viele in falscher Sicherheit?

Dem sind wir auf den Grund gegangen und versuchen hier etwas zur Klärung beizutragen. Allerdings, weder ich noch meine Mitarbeitenden sind Juristen oder Datenschutzbeauftragte. Für eine verbindliche, fallspezifische Auskunft ist daher immer ein Anwalt zu konsultieren.

Das ist (k)eine europäische Angelegenheit

Es leuchtet ein, dass man als Gründer oder auch in einem KMU nicht immer die Zeit hat sich mit jedem neuen Trendthema zu befassen. Und nicht jeder mag es sich in neue Themen „reinzuknien“.  

Allerdings war es noch zu keiner Zeit seit Menschen Gedenken so einfach sich neues Wissen günstig – und vor allem über den Kanal anzueignen, der einem am meisten anspricht. Video-Tutorials, Whitepaper, Suchmaschinen, Webinare, Events,… Wissen überall. 

Wer sich also wenigstens durch ein paar Abstracts zum Thema DSGVO durchgeklickt hat oder einem der gratis FB-Live gefolgt ist, hat immer wieder das gleich gehört: Die Datenschutzgrundverordnung ist ein Gesetz mit global reach. Was heisst das?  Da sich die digitale Welt nicht an Ländergrenzen orientiert, richtet sich auch die Verordnung zum Datenschutz nicht mehr nach Ländergrenzen. Man untersteht folglich auch der DSGVO, wenn man sich als Unternehmen zwar in der Schweiz aufhält, aber datenschutztechnisch europäische Bürger und deren Daten tangiert. 

Als Schweizer Gründer, KMU oder Start-up untersteht man folglich ebenfalls der Datenschutzgrundverordnung:

•  wenn man Dienstleistungen oder Warne in der EU anbietet 
• oder Daten von EU-Bürgen im Auftrag von Dritten oder für sich selbst bearbeitet

Und wer sich jetzt entspannt zurücklehnt, weil er beide Punkte mit „Nein“ beantworten konnte, den muss ich leider etwas enttäuschen. Aufgrund der bilateralen Verträge ist die Schweiz gezwungen ihren Datenschutzstandard auf ein vergleichbares Niveau zu heben. Die Datenschutzrevision müsste bis zum 1. August 2018 vollzogen sein. Das das neue BDG bis zu diesem Zeitpunkt nicht fertig sein wird, zeichnet sich bereits länger ab. Bis Anfang 2019 ist aber damit zu rechnen, dass ähnliche Standards auch für den Schweizer Datenschutz gelten werden. Ob man sich nun also für den 25. Mai rüstet oder für Ende 2018: Das neue Datenschutzgesetz wird für Schweizer Unternehmer so oder so inkrafttreten. 

Auch kleine Unternehmen betreiben heute Online-Marketing

Gemessen an Macht und Möglichkeiten der multinationalen Konzerne sind Gründer, KMUs oder auch Start-ups meist kleine Fische. Aber auch wir betreiben heute alle Online-Marketing. Wir haben Tracking-Codes auf unseren Webseiten installiert, wir betreiben Facebook-Anzeigenwerbungen und wir versenden Newsletter. Und diese Aufzählung möglicher DSGVO-Fallstricke ist noch nicht mal abschliessend. Es gibt also auch für „kleine Fische“ wie uns einiges an Hausaufgaben zu machen.

• Eigene Prozesse verstehen und wo nötig entsprechend der Verordnung anpassen
• Data Processor Agreements einfordern/prüfen und abschliessen mit allen Drittanbietern, die in unserem Namen Daten sammeln oder bearbeiten (das fängt bei Google Analytics und Mailchimp an und hört bei unseren Agentur-Partnern auf)

Und, wer – wie wir – Online Marketing zusätzlich auch noch für Kunden macht, wird  schnell selbst zum Daten-Prozessor (data processor) und muss den eigenen Kunden selbst diese Agreements zur Unterschrift übermitteln. 

Die trügerische Sicherheit

Als Unternehmen eine Rechtsschutzversicherung zu haben, ist sehr viel wert. Im Fall von Bussen und Strafzahlungen greift aber keine der Versicherungen, die wir ausfindig machen konnten. 

Sich also darauf zu verlassen, dass bei einem Versäumnis im Fall der Fälle dann die Rechtsschutzversicherung einspringt, scheint eine trügerische  Sicherheit zu sein. 

Informieren und Grundlagen sauber aufsetzen

Was also tun wir bei ansprechend nun mit diesen Erkenntnissen? 

Wir informieren uns weiter – so zum Beispiel im Webinar mit der Fachanwältin Clara-Ann Gordon am 17. April -, um zu verstehen bis wohin wir als KMU gehen müssen,  um auf der sicheren Seite zu sein. 

Überdies überdenken wir unsere Prozesse (welche Daten müssen wir wirklich sammeln und wozu?), legen eine saubere Dokumentation an und bringen Ordnung in unsere Drittanbieter- und Kundenwelt. 

Ja, ziemlich viel Bürokratie…aber am Ende sind es auch wir,  die uns darüber aufregen, wenn unsere Daten von Grosskonzern mit einem Wimpernschlag in die ganze Welt verkauft werden – oder einfach verloren gehen.