1. Politik Aktuell

EU-Datenschutzgrundverordnung und ihre Auswirkungen auf die Schweiz

Welche Rechte hat der einzelne Bürger über seine persönlichen Daten? Wie sollen personenbezogene Daten von Unternehmen und öffentlichen Stellen verarbeitet werden? Seit dem 25. Mai 2018 regelt solche Fragen die Datenschutzgrundverordnung der Europäischen Union (DSGVO). Diese betrifft nicht nur die EU, sie hat auch auf Schweizer Bürger/innen und Unternehemen einen grossen Einfluss.

Historisch gesehen sollten Datenschutzgesetzte vor einem zu umfassenden Überwachungsstaat schützen. Bei der DSGVO geht es aber nicht nur um das Verhältnis zwischen Bürger und Staat. Auch das Verhältnis zwischen Konsument und Unternehmen wird miteingeschlossen. Vor allem dies hat zu dem grossen öffentlichen Interesse an der EU-Verordnung gesorgt. Sie ist ein erster Versuch, mit regionalen Datenschutzregeln die global tätigen Online-Firmen wie Google und Facebook zu einem anderen Verhalten zu bewegen.

Datenschutzgrundverordnung

Mit der neuen Verordnung werden Reglemente aus dem Jahre 1995 erneuert. Damit sollen die rechtliche Grundlagen EU-weit vereinheitlicht werden. Zudem wurde nach mehr als 20 Jahren auch eine Anpassung an die neuen Bedingungen des digitalen Zeitalters nötig.

Die Rechtssicherheit soll mit der Verordnung sowohl für Unternehmen wie auch für Bürger verbessert werden. Weiter soll das Vertrauen der Bürger in den digitalen Markt innerhalb der EU gestärkt werden.

Konkret wird die Kontrolle der Bürger über die Personendaten faktisch ausgeweitet. Zwar steht schon in der EU-Grundrechtscharta, dass persönliche Daten nur nach Zustimmung der Betroffenen verwendet werden dürfen, konkret wird das aber erst mit dieser Verordnung umgesetzt. Unternehmen werden stärker zur Verantwortung gezogen und die Meldepflicht gegenüber den Kunden und den Behörden wird erweitert. Allgemein wird auch die Rolle der Datenschutzbehörden ausgebaut.

Anwendbarkeit

Da es sich um eine EU-Verordnung handelt, sind die Änderungen auf alle Akteure, die auf dem Gebiet der Europäischen Union tätig sind, unmittelbar anwendbar. Eine weitere Umsetzung in den einzelnen EU-Mitgliedstaaten ist also nicht nötig (siehe „Einfach erklärt“).

Sachlicher Anwendungsbereich

Die Verordnung betrifft Daten, die folgende Kriterien erfüllen. Es muss sich um personenbezogene Daten handeln. Also Daten, die einer bestimmten Person zugeordnet sind oder zugeordnet werden können. Dies können beispielweise Namen, Telefonnummern, Ausweisnummern oder E-Mailadressen sein, um nur einige zu nennen.

Zudem müssen die Daten entweder ganz oder teilweise automatisiert verarbeitet werden, oder in einem Datensystem gespeichert sein. Solange die Daten in der EU verarbeitet werden, macht es auch keinen Unterschied, ob es sich um Daten einer EU-Bürgerin, einer in der EU wohnhaften Person oder irgendeiner anderen Person handelt.

Räumlicher Anwendungsbereich

Entscheidend ist auch, wo genaue die Regeln zur Anwendung kommen. Diese ist nämlich nicht auf das Gebiet der EU beschränkt. Es gibt zwei Kriterien die beachtet werden müssen.

Sofern entweder die verantwortliche Unternehmung oder die Unternehmung, welche den Auftrag bearbeitet, einen Sitz in der EU hat, ist die Verordnung anwendbar (Kriterium der Niederlassung).

Wenn also ein Schweizer Unternehmen einem EU-Unternehmen den Auftrag gibt, gewisse Daten zu verarbeiten, oder umgekehrt, wird die DSGVO angewendet. Denn in beiden Fällen ist entweder das verantwortliche oder das ausführende Unternehmen in der EU.

Beim zweiten Kriterium ist nicht der Ort der Verarbeitung oder des Verantwortlichen Unternehmens relevant. Hier geht es darum, wo sich die Personen aufhalten, über welche personenbezogene Daten verarbeitet werden (Kriterium des Zielmarktes).

Wenn die Bearbeitung Waren oder Dienstleitungen betrifft, welche für Kunden in der EU bestimmt sind, so ist die DSGVO anwendbar.

Wenn beispielsweise ein in der Schweiz ansässiges Unternehmen Uhren über einen Online-Shop an Personen mit einem Wohnsitz in der EU verkauft, dann ist die DSGVO anwendbar. Dies, weil das Schweizer Unternehmen seine Waren Personen in der EU anbietet.

Rechte der betroffenen Personen

Die Rechte der Einzelpersonen werden, wie bereits erwähnt, massiv ausgebaut. Sie können nun vom Unternehmen, welches Ihre Daten verarbeitet, folgende Rechte in Anspruch nehmen:

Sie haben umfangreiche Auskunfts- und Informationsrechte. Bereits wenn Daten erhoben werden, müssen Sie darüber informiert werden wer, wofür, welche Daten sammeln will (Recht auf Information). Weiter muss Ihnen Auskunft gegeben werden, wenn Sie wissen wollen ob Daten erhoben werden oder nicht (Auskunftsrecht). Dies beinhaltet auch das Recht auf weitere Informationen zu den Daten und das Recht auf eine Kopie. Einige grosse Unternehmen setzten dies schon relativ pragmatisch um und erlauben einen automatischen Bezug der gesammelten Daten. Wenn Ihre Daten berichtigt, gelöscht oder die Datennutzung eingeschränkt wird, muss Ihnen dies mitgeteilt werden (Mitteilungsrecht). Ein letztes Informationsrecht ist zudem, dass Recht auf Benachrichtigung über Datenschutzverletzungen. Folglich muss Ihnen mitgeteilt werden, wenn es z.B. eine Sicherheitslücke gab und Ihre Daten anderweitig verwendet wurden.

Auch die Mitbestimmungsrechte sind deutlich umfassender als zuvor. Zur Datenerhebung müssen Konsumenten/Benutzer o.ä. ihre explizite Zustimmung geben und können diese auch zurückziehen. Weiter können Sie verlangen, dass Ihre Daten so schnell wie möglich berichtigt oder ergänzt werden (Recht auf Berichtigung). Auch die komplette Löschung der Daten können Sie verlangen (Recht auf Löschung). Letzteres ist auch unter dem «Recht auf Vergessenwerden» bekannt. Allerdings steht dieses teilweise im Konflikt mit der Pressefreiheit und ist dadurch beschränkt. Ebenfalls nur in bestimmten Fällen können Sie verlangen, dass Ihre Daten nur eingeschränkt bearbeitet werden. Dieses Recht auf Einschränkung der Bearbeitung ist also nicht umfassend sondern selbst beschränkt.

Personalisierte Daten sind ein Gut geworden, dass auch für Sie als Kunde selbst wertvoll und nützlich sein kann. Deshalb können Sie verlangen, dass Ihre Daten in strukturierten und maschinenlesbarer Form an beispielsweise einen anderen Anbieter übermittelt werden (Recht auf Datenübertragbarkeit). Weiter wurde früher oft die Nutzung einer Online-Dienstleistung an die Zustimmung zu umfangreicher Datenerhebung gekoppelt. Durch das Koppelungs-Verbot dürfen nur Datenerhebungen, die für die Erbringung einer Leistung unabdingbar sind, in einer solchen Art und Weise praktisch aufgezwungen werden.

Ausserdem versucht die Verordnung den Einfluss gesammelter Daten auf essentielle Entscheidungen zu reduzieren. Eine Entscheidung, die auf Sie rechtliche Wirkung entfaltet, darf demnach nicht ausschliesslich auf der automatisierten Bearbeitung Ihrer Daten beruhen (Recht auf Verzicht auf eine automatisierte Entscheidung im Einzelfall). Solch eine Entscheidung könnte beispielsweise der Zugang oder die Verweigerung des Zugangs zu einer Universität sein. Dieser muss zumindest auch zu Teilen von einem Mitarbeiter bearbeitet worden sein.

Pflichten der betroffenen Unternehmen

Während wir als Bürger und Konsumenten gewisse Rechte haben, haben Unternehmen, die personalisierte Daten bearbeiten, Pflichten.

Eine grundlegende Pflicht ist die Rechenschaftspflicht des verantwortlichen Unternehmens. Demzufolge müssen die verantwortlichen Unternehmen die Einhaltung der DSGVO Grundsätze aktiv nachweisen können.

Darauf basiert auch die Beweislastumkehr. Diese hat eine grosse Bedeutung für die obengenannten Rechte. Denn für Sie als Konsument ist es nahezu unmöglich zu beweisen, dass Ihre Daten beispielsweise nicht gelöscht wurden. Daher liegt die Verantwortung dies zu beweisen nicht beim Konsumenten, sondern beim Unternehmen.

Es ist weiter eine Pflicht der Unternehmen, die Sicherheit der Bearbeitungsvorgänge zu gewährleisten. Nur mit angemessenen technischen und organisatorischen Sicherheitsmassnahmen kann verhindert werden, dass es überhaupt zu Datenschutzverletzungen kommt, über die man die Kunden informieren müsste.

Sollte es doch zu einer Verletzung des Schutzes von Personendaten gekommen sein, so müssen nicht nur die Kunden informiert werden. Auch die nationalen Aufsichtsbehörden sind darüber zu informieren. Dies regelt die Pflicht Verletzungen an Aufsichtsbehörden zu melden.

Unternehmen müssen aber nicht nur Pflichten erfüllen. Sie können es auch als Vorteil sehen, dass nun in der ganzen EU und bald auch im europäischen Wirtschaftsraum (EU+ Lichtenstein, Norwergen, Island) einheitliche Regeln herrschen. Zwar können vereinzelt noch kleine Unterschiede bestehen. Allgemein wurde aber der administrative Aufwand für Unternehmen durch die Standardisierung massiv reduziert. Insbesondere für diejenigen, welche in verschiedenen Ländern aktiv sind.

Anwendbarkeit in der Schweiz

Schweizer Einzelpersonen

Praktisch wenden viele grosse Unternehmen wie Facebook oder Whatsapp die EU-Regeln direkt auch in der Schweiz an. In diesen Fällen profitieren die Bürger direkt von den neuen Rechten.

Aber auch wenn ein EU Unternehmen für die Datenerhebung verantwortlich ist, oder diese in der EU bearbeitet werden, ist die Verordnung anwendbar. Dann können auch Schweizer Bürger/innen von der EU-Verordnung profitieren.

Schweizer Unternehmen

Ob ein Schweizer Unternehmen von der DSGVO betroffen ist, hängt von den oben aufgeführten Kriterien der Niederlassung und des Zielmarktes ab.

Das Kriterium der Niederlassung ist wie gesagt, wenn eine europäische Zweigstelle oder Tochtergesellschaft eines Schweizer Unternehmens die Daten erhebt. Zudem ist die Verordnung auch anwendbar, wenn ein Schweizer Dienstleister die Daten für einen Unternehmen verarbeitet, das in der EU ansässig ist.

Ein Schweizer Unternehmen muss sich auch an die DSGVO halten, wenn es die Ware oder Dienstleistung an Kunden in der EU richtet. Dabei geht es um das Kriterium des Zielmarktes. Dies ist gerade bei IT-Dienstleistungen nicht immer einfach zu definieren. Bei der Ermittlung können aber nebst Angebotssprache oder -währung auch Faktoren wie die Angabe einer Telefonnummer mit internationaler Vorwahl oder die Wegbeschreibung aus einem Mitgliedstaat zum Schweizer Unternehmen eine Rolle spielen.

Je nach Verhalten der Unternehmen und Privatpersonen wirkt die EU-Verordnung also auch in der Schweiz.

Anpassung an EU-Gesetzgebung

Darüber hinaus wird das Schweizer Datenschutzgesetz nun an die europäische Verordnung angepasst. Damit wird sichergestellt, dass die Schweiz von der EU weiterhin als Drittstaat mit einem “angemessenen Datenschutzniveau” anerkennt wird. Die grenzüberschreitende Datenübermittlung bleibt so weiterhin möglich. Insbesondere für die Schweizer Wirtschaft ist dies von grosser Bedeutung. Eine umfangreichere Überarbeitung des Datenschutzgesetzes wird vom Schweizer Parlament dann in einem zweiten Schritt vorgenommen. Durch diese Auftrennung der Reform wird sichergestellt, dass das Schweizer Recht möglichst schnell an die EU angeglichen wird. Sobald dies der Fall ist, können Schweizer Konsumenten auch beim Kontakt mit Schweizer Unternehmen von obengenannten oder ähnlichen Rechten profitieren.

Sanktionen

Obwohl die Verordnung die Regeln europaweit Standardisiert, bleibt die Durchsetzung Sache der nationalen Datenschutzbehörden. Diese behandeln Beschwerden und erteilen bei Fehlverhalten Sanktionen.

Als Sanktionsmittel werden Geldbussen eingesetzt. Diese sollen wirksam, verhältnismässig und abschreckend sein. Je nach Vergehen können die Behörden bis zu 20 Millionen Euro oder 4% des globalen Jahresumsatzes als Strafzahlung verhängen. Bei einem grossen sozialen Netzwerk können 4% des Umsatzes eine Strafe von deutlich über einer Milliarde Euro bedeuten. Allerdings benötigen die EU-Behörden für die Durchsetzung von Bussen in der Schweiz die Bewilligung aus Bern.

Schliesslich ist klar, dass die DSGVO grosse Änderungen mit sich bringt. Diese haben auf Schweizer Bürger und Unternehmen sowohl direkt wie auch indirekt einen grossen Einfluss.

Literaturverzeichnis

Amtsblatt der Europäischen Union (2016). Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (Datenschutzgrundverordnung). Gefunden am 13. September unter Link

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB (Juli 2018) Die EU-Datenschutzgrundverordnung und ihre Auswirkungen auf die Schweiz. Gefunden am 13. September unter Link

Handelszeitung (25. April 2018) Nur wenige Unternehmen haben ihre Hausaufgaben gemacht. Gefunden am 18. September unter Link

Netzwoche (12. September 2018) Die ersten 100 Tage. Gefunden am 18. September unter Link

Neue Zürcher Zeitung (17. Mai 2018) Was Sie über die Zeitenwende im EU-Datenschutz wissen müssen. Gefunden am 18. September unter Link

DSGVO.pdf – PDF

Neuste Artikel

Bleiben Sie informiert

Neuste Diskussionen

Willkommen bei Vimentis
Werden auch Sie Mitglied der grössten Schweizer Politik Community mit mehr als 200'000 Mitgliedern
Tretten Sie Vimentis bei

Mit der Registierung stimmst du unseren Blogrichtlinien zu