Wenig beachtet von Presse und Verbänden ist die EU-Datenschutzverordnung 2016/679 am 25.05.2016 in Kraft getreten. Sie ist für Unternehmen ab 25.05.2018 unmittelbar anzuwenden. Die Verordnung betrifft auch kleine und mittelständische Unternehmen mit Sitz in der EU. Ausserdem betrifft sie explizit auch Unternehmen mit Sitz ausserhalb der EU und Dienstleistungen für Kunden in der EU. Damit dürfte auch ein Grossteil der schweizer Vermögensverwalter und Banken von der Verordnung direkt betroffen sein.

Unternehmen haben noch ca. 700 Tage Zeit um ihre Prozesse der Datenverarbeitung den neuen Regeln anzupassen. Angesichts der Fülle neuer Anforderungen ist die Anpassungsfrist gering bemessen. Daher raten wir Ihnen, sich möglichst frühzeitig mit der Thematik zu beschäftigen und Ihren Umstellungsbedarf möglichst bald feststellen zu lassen.

Den Text der Verordnung finden Sie unter:
http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE

Im Gegensatz zu früher besteht bei Verstössen gegen den Datenschutz nicht nur eine Meldepflicht sondern es sind auch empfindliche Strafen bis 20 Mio Euro festgelegt. Die neuen Regelungen sehen umfassende Informations-, Einwilligungs- und Auskunftspflichten gegenüber den Kunden vor. Ausserdem sind umfangreiche Regelungen zur Sicherheit in der Datenverarbeitung im eigenen Unternehmen sowie bei Zulieferern und Dienstleistern für das Unternehmen einzuhalten und zu überwachen. Organisatorisch sind ein Datenschutzbeauftragter mit entsprechenden Qualifikationen zu benennen, eine Governance zu erstellen und die Risiken sind zu erfassen.

Der Verweis der Verordnung auf den Stand der Technik und gängige Zertifizierungsverfahren präzisiert den bisher eher grosszügigen Auslegungsspielraum in der IT. Damit kommt auch der international anerkannten Norm ISO 2700x „Informations-sicherheit“ eine noch stärke Bedeutung zu.

Die Verordnung 2016/679 gilt als Grundverordnung, d.h. branchenspezifische Regelungen der EU (z.B. MIFID I/II) sind zusätzlich zu beachten. Aufgrund der internationalen Bedeutung der EU Verordnungen, der Anlehnung der EU-Verordnungen an die internationale Normung und der starken Vernetzung von schweizer Unternehmen mit der EU ist davon auszugehen, dass auch der schweizer Gesetzgeber früher oder später ähnliche Regelungen einführen wird.