Was Schweizer Internet-User über den neuen EU-Datenschutz wissen müssen

May 02 20:40 2018 Print This Article

Ab dem 25. Mai gilt ein verschärftes Datenschutzrecht in der Europäischen Union, das auch hierzulande beträchtliche Auswirkungen haben kann. Der Schweizer Rechtsanwalt Martin Steiger nimmt Stellung.

Das sagt der Rechtsanwalt zu den wichtigsten Fragen rund um die neue DSGVO
Herr Steiger, Sie haben sich in der Vergangenheit kritisch zum neuen Datenschutzrecht der Europäischen Union geäussert und von einer ausufernden Bürokratie geschrieben. Was läuft aus Ihrer Sicht falsch?
Martin Steiger: Die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist in weiten Teilen der Versuch, das bestehende Datenschutzrecht mit zahlreichen Anreizen durchzusetzen. Bislang ist das Datenschutzrecht ein Papiertiger, obwohl in Europa die Privatsphäre als Menschenrecht verankert ist. Allerdings merkt man der DSGVO an, dass sie das Werk von 28 beteiligten Mitgliedstaaten und zahlreichen weiteren Beteiligten – auch vielen Lobbyisten der Wirtschaft – mit unterschiedlichen Interessen ist. Die DSGVO ist deshalb teilweise weitschweifig und widersprüchlich. Die Gefahr besteht, dass der Datenschutz vor lauter Bürokratie gar nicht verbessert wird.

Es wird sich zeigen, wie Aufsichtsbehörden und Gerichte mit der DSGVO umgehen werden. Gleichzeitig hat die DSGVO aber bereits dazu geführt, dass der Datenschutz deutlich an Bedeutung gewonnen hat, was mich – gerade auch als Mitglied der Digitalen Gesellschaft – freut.

Aus Gründen der Transparenz ist zu erwähnen, dass Sie beruflich und finanziell von der Verschärfung des EU-Datenschutzrechts profitieren. Sie bieten mit einem Geschäftspartner eine kostenpflichtige Dienstleistung an, die angeblich schon bald sehr viele Schweizer Firmen und auch Privatpersonen brauchen werden: einen so genannten «Datenschutz-Vertreter» in der EU. Stimmt das so?
Ja, das stimmt. Die DSGVO ist unter bestimmten Bedingungen auch in Drittstaaten wie der Schweiz anwendbar, zum Beispiel bei beabsichtigten Angeboten an Personen in der EU. In diesem Fall ist fast immer ein Datenschutz-Vertreter in der EU notwendig. Der Vertreter ist eine Anlaufstelle für Aufsichtsbehörden und betroffene Personen rund um den EU-Datenschutz. Ob man Personendaten als einzelne Person oder als Unternehmen bearbeitet, spielt dafür keine Rolle.

Mein Freund Andreas Von Gunten und ich stellten fest, dass wir als Unternehmer einen solchen Datenschutz-Vertreter in der EU benötigen, wurden aber nicht fündig. Wir gründeten deshalb unsere eigene Datenschutz-Vertretung in der EU und stellen diese anderen zur Verfügung. Wir ermöglichen anderen Unternehmern und sonstigen Datenbearbeitern mit unserem «Datenschutzpartner»-Angebot, zu fairen Bedingungen den benötigten Datenschutz-Vertreter zu benennen.

In beruflicher Hinsicht als Anwalt für Recht im digitalen Raum möchte ich einen deutschen Anwaltskollegen zitieren: «Die DSGVO ist gesundheitsgefährlich». Gemeint ist, dass es ungesund sein kann, sich während Wochen fast Tag und Nacht mit Datenschutzrecht zu befassen. Jene, die erst jetzt kurz vor Ablauf der zweijährigen Übergangsfrist die DSGVO entdecken, stellen fest, dass alle Fachpersonen, die halbwegs etwas von Datenschutzrecht verstehen, ausgelastet sind.

Ab dem 25. Mai können EU-Bürger gemäss DSGVO von Schweizer Webseiten-Betreibern Auskunft über die «verarbeiteten» Daten verlangen. Wie muss man sich solche Datenschutz-Anfragen konkret vorstellen?
Die DSGVO ist für Schweizer Websites unter anderem anwendbar, wenn sie das Verhalten von Personen in der EU so beobachten, dass ein Profil erstellt werden kann. Gemeint ist beispielsweise, dass versucht wird, die persönlichen Verhaltensweisen oder Vorlieben zu analysieren oder vorherzusagen.

Betroffene Personen haben – übrigens auch gemäss dem Schweizer Datenschutzrecht – ein Recht auf Auskunft. Der Aufwand für die Beantwortung von Auskunftsbegehren hängt davon ab, in welchem Umfang man überhaupt Personendaten bearbeitet. Wenn man beispielsweise Google Analytics einsetzt, gerade auch mit anonymisierten beziehungsweise markierten IP-Adressen, wird es häufig gar keine Personendaten geben, die man einer anfragenden Person zuordnen und damit Auskunft erteilen kann. In einem solchen Fall bleibt es bei allgemeinen Informationen gemäss Datenschutzerklärung.

Gemäss DSGVO besteht nicht allein ein Recht auf Auskunft, sondern auch ein Recht auf Datenübertragbarkeit: Betroffene Personen haben grundsätzlich das Recht, ihre Personendaten in einem gängigen, maschinenlesbaren und strukturierten Format zu erhalten. Inzwischen haben das viele Entwickler erkannt und erweitern ihre Software. Für Word Press beispielsweise sind entsprechende Exportfunktionen vorgesehen.

Droht uns eine Flut von DSGVO-Anfragen?
Aus heutiger Sicht weiss niemand, wie viele Auskunftsbegehren zu erwarten sind. Ich vermute, dass vor allem bekannte und exponierte Unternehmen mit vielen Auskunftsbegehren rechnen müssen. Ein solches Unternehmen kann auch ein KMU sein. WhatsApp beispielsweise war vor der Übernahme durch Facebook ein KMU, bearbeitete aber dennoch die Personendaten von hunderten von Millionen Menschen in aller Welt.

«In der Praxis kann das Datenschutzrecht nicht vollständig eingehalten werden. Wesentlich ist daher, dass ein Unternehmen sich der Datenschutzregeln bewusst ist und in vernünftigem Rahmen versucht, sich daran zu halten.»
Zitat aus einem kostenlos verfügbaren Datenschutz-Ratgeber und Online-Tool für Schweizer Firmen quelle: dsat.ch

Von der DSGVO sind nicht nur Firmen betroffen, sondern auch Selbstständige und private Webseiten-Betreiber. Und zwar immer dann, wenn sich Besucher registrieren müssen, um kostenlose Angebote zu beziehen, richtig?
Das Datenschutzrecht schützt Sie und mich, wenn unsere Personendaten bearbeitet werden. Es spielt keine entscheidende Rolle, ob jemand unsere Personendaten als Einzelperson oder als Unternehmen bearbeitet. Wenn sich eine Einzelunternehmerin mit ihrer Website an Personen in der EU richtet und diesen zum Beispiel Freebies wie Newsletter oder Whitepaper anbietet, dann ist die DSGVO in dieser Hinsicht anwendbar.

Wie ist das, wenn EU-Bürger meine private Website ansurfen und ich die Besuche zu statistischen Zwecken auswerte? Falle ich dann auch schon unter die DSGVO?
Die Staatsbürgerschaft spielt keine Rolle, sondern es geht um alle Personen in der EU – und, nicht zu vergessen, im Europäischen Wirtschaftsraum (EWR) einschliesslich Fürstentum Liechtenstein. Die Abrufbarkeit einer Website allein genügt nicht für die Anwendbarkeit der DSGVO. Allerdings zählen viele private Schweizer Websites gerne auf ein Publikum aus der EU, in der Deutschschweiz zum Beispiel aus Deutschland und Österreich. Wer auf Nummer sicher gehen möchte, setzt die DSGVO um oder verzichtet auf Tracking.

Stichwort WordPress: Worauf müssen sich Blogger gefasst machen?
Blogger sind auch nur Bearbeiter von Personendaten. Sie erfassen Besucherinnen und Besucher beispielsweise in Server-Logdateien, können online kontaktiert werden, nutzen Spamfilter, ermöglichen das Veröffentlichen von Kommentaren, versenden Newsletter und setzen Tracking ein. Blogger benötigen deshalb immer eine Datenschutzerklärung und müssen teilweise auch Einwilligungen einholen.

Bei Einwilligungen ist zu beachten, dass die Anforderungen an die Gültigkeit hoch sind und eine erteilte Einwilligung jederzeit widerrufen werden kann. Es ist deshalb bei einem Kontaktformular häufig weder notwendig noch sinnvoll, eine Einwilligung vorzusehen. Es ist ein populärer Irrtum, dass die DSGVO immer eine Einwilligung verlangt. Man kann die Bearbeitung von Personendaten beispielsweise mit der Vertragserfüllung oder mit den eigenen überwiegenden berechtigten Interessen – dazu zählen Direktwerbung und Informationssicherheit – rechtfertigen. Bei Word Press sind verschiedene Anpassungen zur Umsetzung der DSGVO vorgesehen. (Word Press informiert in diesem Blogbeitrag, Anmerkung der Redaktion).

Dürfen private Webseiten-Betreiber überhaupt noch einen Facebook-Like-Button platzieren?
Ja, aber ist es notwendig? Das Teilen ist inzwischen eine Smartphone-Standardfunktion und die meisten Websites haben keine Anzahl Likes, die man anzeigen müsste … Aus heutiger Sicht muss man über Social Media-Plugins mindestens in der Datenschutzerklärung informieren.

«Unklar ist noch, ob es zu Abmahnwellen kommt, wie wir sie im Urheberrecht kennen.»
Wie läuft das juristisch, wenn ich mich nicht an die DSGVO halte und von einem EU-Bürger verklagt werde?
Betroffene Personen in der EU können grundsätzlich an ihrem Wohnsitz klagen, denn dafür genügt die Abrufbarkeit einer schweizerischen Website in einem Mitgliedstaat der EU. Das gilt übrigens heute schon. Unklar ist noch, ob es zu Abmahnwellen kommt, wie wir sie im Urheberrecht kennen. Die DSGVO erwähnt ausdrücklich einen Anspruch auf Schadenersatz bei Datenschutzverletzungen. Ich gehe davon aus, dass spezialisierte Unternehmen versuchen werden, kostenpflichtige Abmahnungen bei Datenschutzverletzungen zu etablieren.

In der Schweiz wird das Datenschutzrecht derzeit revidiert und soll auch verschärft werden. Welche Fehler sollten wir nicht machen, bzw. was können wir besser machen als die EU?
Die EU setzt mit der DSGVO den neuen weltweiten Standard für Datenschutz. Viele Unternehmen in der Schweiz müssen die DSGVO umsetzen, auch aufgrund der wirtschaftlichen Verknüpfung mit der EU. Wir sollten den Datenschutz genauso ernst nehmen, denn ansonsten riskieren wir nicht nur, dass die EU unser Datenschutzrecht nicht mehr als angemessen beurteilt, sondern wir Einwohnerinnen und Einwohner der Schweiz unterliegen in Europa einem Datenschutz zweiter Klasse.

Das bedeutet nicht, dass wir die DSGVO übernehmen sollten, was ja auch nicht geplant ist, aber wir sollten in einem schweizerischen Rahmen die Durchsetzbarkeit des Datenschutzrechts gewährleisten. Dazu muss man insbesondere den betroffenen Personen ermöglichen, sich dort, wo der Datenschutz tatsächlich verletzt wird, wirksam zu wehren. Heute lohnen sich die entsprechenden rechtlichen Schritte nur für Personen in der Schweiz, die über viel Ausdauer, erhebliche finanzielle Mittel und über eine gute Anwältin oder einen guten Anwalt verfügen.

Die Fragen wurden per E-Mail beantwortet.

Das Wichtigste in Kürze
Die Europäische Union (EU) verstärkt den Datenschutz.
Ab dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung, kurz DSGVO. Seit fast zwei Jahren läuft die Übergangsfrist.
Auf Englisch wird die DSGVO als GDPR bezeichnet. Das Kürzel steht für General Data Protection Regulation.
Mit dem neuen EU-Datenschutzrecht soll die Privatsphäre von über einer halben Milliarde Menschen besser geschützt werden.
Die Staatsbürgerschaft spielt keine Rolle, wie der Rechtsanwalt Martin Steiger erklärt, sondern es geht um alle Personen in der EU – und im Europäischen Wirtschaftsraum (EWR), einschliesslich Fürstentum Liechtenstein.
Das DSGVO zwingt praktisch alle zum Handeln, die im Internet mit natürlichen oder juristischen Personen aus der EU in Kontakt kommen. Also auch sehr viele Schweizer Firmen, Organisationen und Private.
Die DSGVO sieht Transparenz und eine Beweislastumkehr vor: Wer personenbezogene Daten übers Internet sammelt, muss Betroffene informieren und bei Anfragen dokumentieren können, dass der Datenschutz gewährleistet ist.
Wer keine Niederlassung in der EU hat, muss einen in der EU ansässigen Datenschutzvertreter bestimmen, an den sich Betroffene mit Anfragen wenden können.
Wer sich nicht an die DSGVO hält, kann von den Aufsichtsbehörden bestraft werden. Bei schweren Verstössen drohen Geldbussen in existenzbedrohender Höhe: bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes.
Zivilrechtlich drohen Abmahnungen und Betroffene können auf Schadenersatz klagen.
Ob die DSGVO eine Klageflut auslöst, ist nicht absehbar. Es ist mit langwierigen Rechtsstreitigkeiten zu rechnen.
Vom verschärften Datenschutzrecht profitiert auch die Schweizer Bevölkerung, weil grosse US-Konzerne wie Google, Facebook oder Apple ihre für Europa geltenden Richtlinien überarbeiten und verständlicher formulieren müssen.
Für datenhungrige Internet-Dienste ist ein neues Mindestalter vorgeschrieben: Unter 16-Jährige benötigen zum Teil die Zustimmung der Eltern. Bekanntes Beispiel ist WhatsApp, das bereits Änderungen angekündigt hat.

The original article was posted here: https://www.watson.ch/digital/schweiz/687027587-was-du-lieber-schweizer-internet-user-ueber-den-neuen-eu-datenschutz-wissen-musst

  Article "tagged" as:
  Categories:
view more articles

About Article Author

GDPR Associates
GDPR Associates

View More Articles
write a comment

0 Comments

No Comments Yet!

You can be the one to start a conversation.

Add a Comment