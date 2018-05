Letztmals hat die Waadtländer Firma Reuge SA die Rechtshinweise für ihren Onlineladen im Jahr 2011 aktualisiert. Jetzt ist der traditionsreiche Hersteller von mechanischen Musikdosen daran, den gesamten Webauftritt neu zu gestalten. Die Zeit drängt. Bis zum 25. Mai 2018 muss die überarbeitete Onlinepräsenz aufgeschaltet sein. Grund: Zu diesem Zeitpunkt tritt die neue EU-Verordnung für den Datenschutz in Kraft.

Die Regulierung betrifft nicht nur Unternehmen, die ihren Hauptsitz oder eine Zweigstelle in der Europäischen Union haben. Auch Firmen ausserhalb der EU, die in irgendeiner Form Daten von Kunden aus den Mitgliedsländern sammeln, haben sich an die Vorgaben zu halten. Damit müssen auch Schweizer Firmen die Verordnung umsetzen. Das kann so weit gehen, dass einfache Gewerbebetriebe wie Bäcker oder Blumenverkäufer in den Anwendungsbereich der neuen Verordnung gelangen. Etwa dann, wenn sie ihre Newsletter über einen Anbieter aus der EU verschicken. Das wiederum merken derzeit die Konsumenten in der Schweiz. Anbieter machen in E-Mails oder nach aufdatierten Apps auf dem Smartphone darauf aufmerksam, dass neue Datenschutzbestimmungen gelten.

Economiesuisse kritisiert Mehrbelastung

Mittelständische Firmen wie Reuge mit ihren 70 Mitarbeitern trifft es besonders hart. «Leider erzeugt jede neue Regelung zusätzliche Kosten. In einem kleinen und mittleren Unternehmen fallen diese proportional höher aus als in einer Grossfirma», sagt Reuge-Chef Kurt Kupper. Umfragen bei Firmen aus der EU zeigen: Die Manager sind bereit, im Schnitt umgerechnet 1,5 Millionen Franken auszugeben, um die Vorgaben der neuen Verordnung zu erfüllen.

Auch Economiesuisse kritisiert die Mehrbelastung für die Mitglieder und akzeptiert die neue Situation nur widerwillig. Der verlangte Datenschutz sei aber «letztlich unabwendbar», heisst es beim Dachverband der Schweizer Wirtschaft.

Hilfe von der Handelskammer

Aufgrund der hohen Anzahl an Kunden aus dem europäischen Ausland ist Reuge derzeit daran, ihre neue Website mit dem Regelwerk aus der EU zu vereinbaren. Einerseits hat Reuge dem Webentwickler ins Pflichtenheft geschrieben, dass der neue Internetauftritt konform mit der Verordnung sein muss. Andererseits hat das Unternehmen dafür gesorgt, dass auch intern das nötige Fachwissen vorhanden ist. «Unser Finanzdirektor kümmert sich gemeinsam mit externen Spezialisten sowie mit der Waadtländischen Industrie- und Handelskammer darum», sagt Firmenchef Kupper. Konkret müssen die Unternehmen im Detail aufzeigen, wie sie die Daten von Kunden aus der EU sammeln und auswerten.

Die Anmeldung für einen Newsletter muss klar ersichtlich sein und vom Konsumenten bewusst verlangt werden.

In der Datenschutzerklärung müssen Angaben zu den verwendeten Hilfsprogrammen enthalten sein: Welche Software kommt bei Websites zum Einsatz, und an welche Standorte werden die Daten übermittelt? Falls die Internetadressen der Besucher registriert oder automatisch Benutzerprofile angelegt werden, müssen die Anwender dafür explizit ihr Einverständnis geben.

Die Anmeldung für einen Newsletter muss klar ersichtlich sein und vom Konsumenten bewusst verlangt werden. Schliesslich sind die Firmen in der Schweiz verpflichtet, Diebstahl oder Verlust von Daten innerhalb von 72 Stunden dem Eidgenössischen Datenschutzbeauftragten zu melden. Betriebe, die gegen die Verordnung verstossen, können die vorgesehenen Sanktionen teuer zu stehen kommen. Als Höchststrafe ist eine Busse von umgerechnet 24 Millionen Franken vorgesehen. Rechtsexperten gehen jedoch davon aus, dass die Aufsichtsbehörden in einer ersten Phase lediglich abschreckende Massnahmen verfügen, um die Unternehmen für die neue Verordnung zu sensibilisieren. Gemeint sind Mahnungen oder Verwarnungen.

Facebook & Co. im Fokus

Patrick Püntener, Chef des IT-Dienstleisters Cycl in Wallisellen, macht auf einen weiteren Punkt aufmerksam: Fehlbare Schweizer Unternehmen seien weniger von hohen Geldstrafen bedroht als vielmehr durch einen unter Umständen schmerzhaften Einnahmenrückgang wegen gekündigter Geschäftsbeziehungen.

Eine Mehrheit der hiesigen Unternehmen verkennt den Ernst der Lage. Nur 40 Prozent der Schweizer Führungskräfte sind für die neue EU-Gesetzgebung gewappnet, wie eine aktuelle Umfrage der Beratungsfirma EY zeigt. Verglichen mit dem europäischen Durchschnittswert von 60 Prozent sei dieser Anteil «erstaunlich gering».

Die neue Verordnung ist entstanden, um die grossen Anbieter wie Facebook, Google, Amazon & Co. zu einem strengeren Datenschutz zu zwingen. Kritiker bemängeln, dass Geldstrafen bei Verstössen gerade den grossen Internetunternehmen kaum wehtun.

Schweiz nähert sich EU-Regeln an

Allerdings erhalten die Anwender mehr Macht über ihre eigenen Daten. Die Rechte der Nutzer gehen weit. So können Angestellte verlangen, dass Arbeitgeber aus der EU innerhalb von 30 Tagen kostenlos alle über sie gespeicherten Daten herausrücken. Dazu gehören E-Mails, Lohnabrechnungen, Personalakten und Absenzenlisten. Umgekehrt können Schweizer von den Datenschutzbeauftragten bei den europäischen Firmen Auskunft über ihre Datenlage verlangen.

Die Schweiz ist daran, ihr eigenes Datenschutzgesetz zu überarbeiten. Der Bundesrat hat im vergangenen Herbst die entsprechende Botschaft verabschiedet. Jetzt ist das nationale Parlament am Zug. Mit der Revision nähert sich die Schweiz den EU-Regeln für den Datenschutz an, geht aber weniger weit. Dadurch ist sichergestellt, dass die Europäische Kommission den Datenschutz in der Schweiz als genügend anerkennt. Gewisse Vorgaben aus Brüssel hat der Bundesrat angepasst, etwa tiefere Bussen bei Verstössen.

(Tages-Anzeiger)