Die DSGVO gilt grund­sätz­lich für Bürger:innen der EU und des EWR. Wenn auf Sie eines oder mehrere der nachfol­genden Krite­rien zutrifft:

□ Sie haben Kund:innen in der EU bzw. im EWR
□ Sie haben eine Nieder­las­sung in der Europäi­schen Union
□ Sie lassen Daten in der EU verar­beiten (Auftrags­ver­ar­beiter)
□ Sie verar­beiten perso­nen­be­zo­gene Daten im Auftrag eines Unter­neh­mens aus der EU, dem EWR
□ Die Geschäfte sind nicht „gering­fügig“

Es greift das Markt­ort­prinzip, d.h., Sie unter­liegen für Ihre Geschäfte mit EU- / EWR-Bürger:innen der DSGVO

□ Auch Sie wollen wissen, was mit Ihren Daten passiert
□ „Tue einem anderen nichts, was du nicht auch erleben willst“
□ Auch Ihre Kund:innen haben das Recht zu wissen, was mit ihren Daten passiert
□ Der Schutz der Daten liegt in Ihrer Verant­wor­tung als Unternehmer:in
□ Kund:innen haben Rechte als natür­liche Person

• Auskunft
• Richtig­stel­lung
• Löschung
• …

Daten­schutz geht uns alle an!

Die DSGVO schreibt vor, dass Nicht-EU-Firmen, die der DSGVO unter­liegen, eine:n Vertreter:in in der EU benötigen
□ Diese:r Vertreter:in ist Ansprechpartner:in der EU-Behörden
□ Sie können einen Vertreter in jedem belie­bigen EU-Land engagieren
□ Suchen Sie sich eine:n Vertreter:in, die sich mit der DSGVO auskennt
□ Die Rechte / Aufgaben einer Vertre­terin / eines Vertre­ters sind analog zur/zum Daten­schutz­be­auf­tragten zu sehen

• Nicht weisungs­ge­bunden
• Vertritt vor den EU-Behörden

Die DSGVO muss in diesem Punkt noch durch Entschei­dungen präzi­siert werden

Die DSGVO betrifft  die struk­tu­rierte Verar­bei­tung von Daten
Beispiele für Verar­bei­tungs­vor­gänge sind

• Schreiben einer Karteikarte
• Eintrag einer Adresse ins Adress­buch am Handy
• Der Besuch von Facebook
• Die Benut­zung von WhatsApp
• Zugriffs­sta­tistik einer Internet-Seite
• Zahlung einer Rechnung
• Fernwar­tung eines Computers
• Ein Telefonat

Die Ausnahme sind die Unter­lagen im sprich­wört­li­chen Schuhkarton

Die DSGVO gilt für perso­nen­be­zo­gene Daten
□ Die Daten von Vertreter:innen von Firmen
□ Die Daten von Einzelunternehmer:innen, deren Firma „nur“ den Namen der Person trägt
□ Also immer dann, wenn die Daten einer natür­li­chen Person betroffen sind

• Name, Adresse, E‑Mail-Adresse
• Geburts­datum
• Vorlieben

Diese Frage ist komplex und nicht ganz einfach zu beant­worten. Sobald perso­nen­be­zo­gene Daten invol­viert sind, gilt die DSGVO

□ Es gibt eine Liste mit Nicht-EU-Ländern die ein angemes­senes Daten­schutz­ni­veau erfüllen
□ Derzeit sind 12 Länder auf dieser Liste, eines davon ist die Schweiz
□ Für Länder, die nicht auf dieser Liste stehen, gelten beson­dere Vorschriften für die Vertragsgestaltung

• Standard­ver­trags­klau­seln
• Bindende Unter­neh­mens­re­geln zum Datenschutz
• Und noch andere

Daten­schutz muss bestimmte Voraus­set­zungen erfüllen, um als adäquat zu gelten

Rechts­grund­lagen für die Datenverarbeitung:

• Ausdrück­liche und unmiss­ver­ständ­liche Einwilligung
• Vertrags­er­fül­lung
• Recht­liche Verpflichtung
• Lebens­wich­tige Interessen
• Wahrneh­mung einer Aufgabe im öffent­li­chen Interesse
• Berech­tigte Inter­essen des Verant­wort­li­chen oder eines Dritten

Eine Einwil­li­gung benötigen Sie z.B. für Foto- und Filmauf­nahmen, die elektro­ni­sche Zusen­dungen (Newsletter, Werbung), Verwen­dung von sensi­blen Daten, Daten von Kindern

Überprüfen Sie immer zuerst, ob eine andere Rechts­grund­lage zutrifft

Sie dürfen Daten nur nach bestimmten Grund­sätzen verarbeiten.
□ Ein Grund­satz ist die Zweck­bin­dung, d.h., Sie dürfen Daten nur zu dem Zweck verar­beiten, für den Sie sie erhalten haben.
□ Für weitere Zwecke benötigen Sie eine eigene Rechtsgrundlage.
Weitere Grund­sätze sind:

• Recht­mä­ßig­keit, Verar­bei­tung nach Treu und Glauben sowie Transparenz
• Daten­mi­ni­mie­rung
• Richtig­keit
• Integrität und Vertraulichkeit
• Speicher­be­gren­zung

Die Grund­sätze der Daten­ver­ar­bei­tung sind bindend

Der DSGVO unter­liegen nur perso­nen­be­zo­gene Daten. Das sind alle Infor­ma­tionen über eine natür­liche Person („betrof­fene Person“) – Daten wie Name, Adresse, E‑Mail-Adresse, Telefon­nummer, Geburts­datum, Geburtsort, Bankdaten, Sozial­ver­si­che­rungs­nummer, Steuernummer
Beson­dere Katego­rien perso­nen­be­zo­gener Daten (sensible Daten) unter­liegen noch stren­gerem Daten­schutz. Ihre Verar­bei­tung ist  verboten, ausser es liegt eine Zustim­mung der Betrof­fenen vor. Sensible Daten sind Daten über die rassi­sche oder ethni­sche Herkunft, politi­sche, religiöse oder weltan­schau­liche Ansichten, geneti­sche Daten, biome­tri­sche Daten zur eindeu­tigen Identi­fi­zie­rung, Gesund­heits­daten, Daten zur sexuellen Orien­tie­rung und Daten von Kindern.

□ Handy Fernlö­schung und Code beim Handy
□ Apps nur aus Plays­tore oder AppStore
□ Passwort beim Notebook
□ Viren­scanner mit aktuellen Virensignaturen
□ Datensicherung
□ Privacy Screen verhin­dert das Mitlesen
□ Keine vertrau­li­chen Daten im öffent­li­chen Wlan
□ Altpa­pier in den Schredder

Daten lassen sich schon mit einfa­chen Massnahmen schützen

Die EU hat Daten­schutz­re­geln seit 1995. DAs gilt auch für die Länder der EU, aber auch die Schweiz.
NEU ist allerdings:
□ Was nicht ausdrück­lich erlaubt ist, gilt als verboten
□ Die Strafen sind höher als vor der DSGVO; 2 Mio oder 2% des weltweiten Umsatzes z.B. bei fehlender Dokumen­ta­tion; 4 Mio oder 4% des weltweiten Umsatzes z.B. bei fehlender Information
□ Die Firmen haben mehr Verant­wor­tung / müssen mehr dokumentieren
□ Personen haben mehr Rechte

Daten­schutz gibt es schon viel länger als die Datenschutz-Grundverordnung

□ Es gilt der Grund­satz der Angemessenheit
□ Daten­schutz-Massnahmen sind angepasst zu setzen

• Der Sensi­bi­lität der Daten
• Der Firmen­grösse

□ Strafen müssen angepasst sein

• Der Schwere des Verstosses
• Der Firmen­grösse

□ Strafen dürfen nicht kumuliert werden
□ Es können auch Verwar­nungen ausge­spro­chen werden

Konse­quenzen aus Verstössen sollen treffen, aber nicht das Unter­nehmen in den Ruin treiben

□ Eine Zustim­mung ist nicht notwendig
□ Eine mögliche Rechts­grund­lage ist „berech­tigtes Interesse“

• Der Besucher:innen
• Der Bewohner:innen
• Der Vermieter:innen
• Der Postzu­stel­lung

□ Kann im Mietver­trag geregelt sein -> Rechts­grund­lage „Vertrags­er­fül­lung“

Aber: auf Verlangen ist der Name zu entfernen

□ Es gibt das Mittel der Verwarnung
□ Strafen werden angepasst ausgesprochen
□ Angepasst auf die Sensi­bi­lität der zu schüt­zenden Daten
□ Die Schwere des Verstosses
□ Die Grösse der Firma
□ Ein Vorfall darf nur einmal als Gesamt­heit gestraft werden, mehrere Teilstrafen (Kumulie­rung von Strafen) sind nicht legitim

Angemes­sen­heit ist ein wichtiger Begriff

□ Es ist eine Zustim­mung zur Verwen­dung der Fotos einzuholen
□ Die Zustim­mung ist zweckgebunden
□ Für jeden Kanal eine eigene Zustim­mung notwendig (Kopplungs­verbot)
□ Die Zustim­mung muss freiwillig sein
□ Die Zustim­mung muss trans­pa­rent sein
□ Die Zustim­mung muss leicht verständ­lich sein (in einfa­chen Worten)
□ Die Teilnahme an einer Veran­stal­tung darf nicht als Zustim­mung gewertet werden (gilt auch für andere Zustimmungserklärungen)

Erstellen, verwenden und veröf­fent­li­chen von Fotos bedarf der Zustim­mung der abgebil­deten Person(en)

□ Auskunft
□ Berichtigung
□ Löschung
□ Einschrän­kung der Verarbeitung
□ Wider­spruchs­recht gegen die Verarbeitung
□ Datenübertragbarkeit
□ Widerruf der Einwilligung
□ Beschwer­de­recht bei einer Aufsichtsbehörde

Broschüre zu den Betrof­fe­nen­rechten bestellbar unter
https://gutkas-digital.eu/bestellung-ch