Die DSGVO gilt grundsätzlich für Bürger:innen der EU und des EWR. Wenn auf Sie eines oder mehrere der nachfolgenden Kriterien zutrifft:

□ Sie haben Kund:innen in der EU bzw. im EWR
□ Sie haben eine Niederlassung in der Europäischen Union
□ Sie lassen Daten in der EU verarbeiten (Auftragsverarbeiter)
□ Sie verarbeiten personenbezogene Daten im Auftrag eines Unternehmens aus der EU, dem EWR
□ Die Geschäfte sind nicht „geringfügig“

Es greift das Marktortprinzip, d.h., Sie unterliegen für Ihre Geschäfte mit EU- / EWR-Bürger:innen der DSGVO

□ Auch Sie wollen wissen, was mit Ihren Daten passiert
□ „Tue einem anderen nichts, was du nicht auch erleben willst“
□ Auch Ihre Kund:innen haben das Recht zu wissen, was mit ihren Daten passiert
□ Der Schutz der Daten liegt in Ihrer Verantwortung als Unternehmer:in
□ Kund:innen haben Rechte als natürliche Person

• Auskunft
• Richtigstellung
• Löschung
• …

Datenschutz geht uns alle an!

Die DSGVO schreibt vor, dass Nicht-EU-Firmen, die der DSGVO unterliegen, eine:n Vertreter:in in der EU benötigen
□ Diese:r Vertreter:in ist Ansprechpartner:in der EU-Behörden
□ Sie können einen Vertreter in jedem beliebigen EU-Land engagieren
□ Suchen Sie sich eine:n Vertreter:in, die sich mit der DSGVO auskennt
□ Die Rechte / Aufgaben einer Vertreterin / eines Vertreters sind analog zur/zum Datenschutzbeauftragten zu sehen

• Nicht weisungsgebunden
• Vertritt vor den EU-Behörden

Die DSGVO muss in diesem Punkt noch durch Entscheidungen präzisiert werden

Die DSGVO betrifft  die strukturierte Verarbeitung von Daten
Beispiele für Verarbeitungsvorgänge sind

• Schreiben einer Karteikarte
• Eintrag einer Adresse ins Adressbuch am Handy
• Der Besuch von Facebook
• Die Benutzung von WhatsApp
• Zugriffsstatistik einer Internet-Seite
• Zahlung einer Rechnung
• Fernwartung eines Computers
• Ein Telefonat

Die Ausnahme sind die Unterlagen im sprichwörtlichen Schuhkarton

Die DSGVO gilt für personenbezogene Daten
□ Die Daten von Vertreter:innen von Firmen
□ Die Daten von Einzelunternehmer:innen, deren Firma „nur“ den Namen der Person trägt
□ Also immer dann, wenn die Daten einer natürlichen Person betroffen sind

• Name, Adresse, E-Mail-Adresse
• Geburtsdatum
• Vorlieben

Diese Frage ist komplex und nicht ganz einfach zu beantworten. Sobald personenbezogene Daten involviert sind, gilt die DSGVO

□ Es gibt eine Liste mit Nicht-EU-Ländern die ein angemessenes Datenschutzniveau erfüllen
□ Derzeit sind 12 Länder auf dieser Liste, eines davon ist die Schweiz
□ Für Länder, die nicht auf dieser Liste stehen, gelten besondere Vorschriften für die Vertragsgestaltung

• Standardvertragsklauseln
• Bindende Unternehmensregeln zum Datenschutz
• Und noch andere

Datenschutz muss bestimmte Voraussetzungen erfüllen, um als adäquat zu gelten

Rechtsgrundlagen für die Datenverarbeitung:

• Ausdrückliche und unmissverständliche Einwilligung
• Vertragserfüllung
• Rechtliche Verpflichtung
• Lebenswichtige Interessen
• Wahrnehmung einer Aufgabe im öffentlichen Interesse
• Berechtigte Interessen des Verantwortlichen oder eines Dritten

Eine Einwilligung benötigen Sie z.B. für Foto- und Filmaufnahmen, die elektronische Zusendungen (Newsletter, Werbung), Verwendung von sensiblen Daten, Daten von Kindern

Überprüfen Sie immer zuerst, ob eine andere Rechtsgrundlage zutrifft

Sie dürfen Daten nur nach bestimmten Grundsätzen verarbeiten.
□ Ein Grundsatz ist die Zweckbindung, d.h., Sie dürfen Daten nur zu dem Zweck verarbeiten, für den Sie sie erhalten haben.
□ Für weitere Zwecke benötigen Sie eine eigene Rechtsgrundlage.
Weitere Grundsätze sind:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben sowie Transparenz
• Datenminimierung
• Richtigkeit
• Integrität und Vertraulichkeit
• Speicherbegrenzung

Die Grundsätze der Datenverarbeitung sind bindend

Der DSGVO unterliegen nur personenbezogene Daten. Das sind alle Informationen über eine natürliche Person („betroffene Person“) – Daten wie Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Geburtsort, Bankdaten, Sozialversicherungsnummer, Steuernummer
Besondere Kategorien personenbezogener Daten (sensible Daten) unterliegen noch strengerem Datenschutz. Ihre Verarbeitung ist  verboten, ausser es liegt eine Zustimmung der Betroffenen vor. Sensible Daten sind Daten über die rassische oder ethnische Herkunft, politische, religiöse oder weltanschauliche Ansichten, genetische Daten, biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten, Daten zur sexuellen Orientierung und Daten von Kindern.

□ Handy Fernlöschung und Code beim Handy
□ Apps nur aus Playstore oder AppStore
□ Passwort beim Notebook
□ Virenscanner mit aktuellen Virensignaturen
□ Datensicherung
□ Privacy Screen verhindert das Mitlesen
□ Keine vertraulichen Daten im öffentlichen Wlan
□ Altpapier in den Schredder

Daten lassen sich schon mit einfachen Massnahmen schützen

Die EU hat Datenschutzregeln seit 1995. DAs gilt auch für die Länder der EU, aber auch die Schweiz.
NEU ist allerdings:
□ Was nicht ausdrücklich erlaubt ist, gilt als verboten
□ Die Strafen sind höher als vor der DSGVO; 2 Mio oder 2% des weltweiten Umsatzes z.B. bei fehlender Dokumentation; 4 Mio oder 4% des weltweiten Umsatzes z.B. bei fehlender Information
□ Die Firmen haben mehr Verantwortung / müssen mehr dokumentieren
□ Personen haben mehr Rechte

Datenschutz gibt es schon viel länger als die Datenschutz-Grundverordnung

□ Es gilt der Grundsatz der Angemessenheit
□ Datenschutz-Massnahmen sind angepasst zu setzen

• Der Sensibilität der Daten
• Der Firmengrösse

□ Strafen müssen angepasst sein

• Der Schwere des Verstosses
• Der Firmengrösse

□ Strafen dürfen nicht kumuliert werden
□ Es können auch Verwarnungen ausgesprochen werden

Konsequenzen aus Verstössen sollen treffen, aber nicht das Unternehmen in den Ruin treiben

□ Eine Zustimmung ist nicht notwendig
□ Eine mögliche Rechtsgrundlage ist „berechtigtes Interesse“

• Der Besucher:innen
• Der Bewohner:innen
• Der Vermieter:innen
• Der Postzustellung

□ Kann im Mietvertrag geregelt sein -> Rechtsgrundlage „Vertragserfüllung“

Aber: auf Verlangen ist der Name zu entfernen

□ Es gibt das Mittel der Verwarnung
□ Strafen werden angepasst ausgesprochen
□ Angepasst auf die Sensibilität der zu schützenden Daten
□ Die Schwere des Verstosses
□ Die Grösse der Firma
□ Ein Vorfall darf nur einmal als Gesamtheit gestraft werden, mehrere Teilstrafen (Kumulierung von Strafen) sind nicht legitim

Angemessenheit ist ein wichtiger Begriff

□ Es ist eine Zustimmung zur Verwendung der Fotos einzuholen
□ Die Zustimmung ist zweckgebunden
□ Für jeden Kanal eine eigene Zustimmung notwendig (Kopplungsverbot)
□ Die Zustimmung muss freiwillig sein
□ Die Zustimmung muss transparent sein
□ Die Zustimmung muss leicht verständlich sein (in einfachen Worten)
□ Die Teilnahme an einer Veranstaltung darf nicht als Zustimmung gewertet werden (gilt auch für andere Zustimmungserklärungen)

Erstellen, verwenden und veröffentlichen von Fotos bedarf der Zustimmung der abgebildeten Person(en)

□ Auskunft
□ Berichtigung
□ Löschung
□ Einschränkung der Verarbeitung
□ Widerspruchsrecht gegen die Verarbeitung
□ Datenübertragbarkeit
□ Widerruf der Einwilligung
□ Beschwerderecht bei einer Aufsichtsbehörde

Broschüre zu den Betroffenenrechten bestellbar unter
https://gutkas-digital.eu/bestellung-ch