Ihre Kontakte
Michael Reinle
Lukas Bühlmann
Die EU-Datenschutzgrundverordnung (DSGVO) ist seit dem 20. Juli 2018 in EWR-Staaten unmittelbar anwendbar. Ausgehend davon unterzog Liechtenstein, als einer der EWR-Staaten, sein Datenschutzrecht einer Totalrevision, welche am 1. Januar 2019 in Kraft getreten ist. Dabei wurde neben der Abwendung vom schweizerischen Datenschutzgesetz als Rezeptionsvorlage auch der Gestaltungsspielraum, welcher die DSGVO den nationalen Gesetzgebern zugesteht, genutzt (sog. Öffnungsklauseln). Die Anwendbarkeit der DSGVO und die Gesetzesänderungen in Liechtenstein sind insbesondere für Schweizer Onlineshops von grosser Bedeutung, weil sie ihr Angebot regelmässig auch auf das Kunden in Liechtenstein ausrichten. Ihre Datenverarbeitungen müssen deshalb auch diesen rechtlichen Vorgaben gerecht werden.
Übernahme der DSGVO als Auslöser für die Totalrevision des liechtensteinischen Datenschutzgesetzes
Am 6. Juli 2018 beschloss der Gemeinsame EWR-Ausschuss die Übernahme der EU-Datenschutzgrundverordnung (DSGVO) in das EWR-Abkommen (vgl. MLL-News vom 1. September 2018). Dadurch ist die DSGVO seit dem 20. Juli 2018 auch in den EWR-Staaten (Island, Liechtenstein und Norwegen) unmittelbar anwendbar. Die Übernahme der DSGVO in das EWR-Abkommen veranlasste das Fürstentum Liechtenstein dazu, sein bestehendes Datenschutzgesetz einer Totalrevision zu unterziehen.
Deutsches Bundesdatenschutzgesetz als Vorbild
Bislang orientierte sich das liechtensteinische Datenschutzgesetz (FL-DSG) am Schweizer Bundesgesetz. Als Vorbild für das totalrevidierte und am 1. Januar 2019 in Kraft getretene FL-DSG diente nun aber das deutsche Bundesdatenschutzgesetz (BDSG). Die Abkehr vom Schweizer DSG wird im Bericht und Antrag sowie der Stellungnahme der Regierung an den Landtag wie folgt begründet:
«Es ist ständige liechtensteinische Praxis, „bewährtes“ ausländisches Recht zu rezipieren. Wie bereits im Bericht und Antrag ausgeführt, wird das deutsche Bundesdatenschutzgesetz als Rezeptionsvorlage herangezogen, da Deutschland europaweit eine Vorreiterrolle im Datenschutz einnimmt.«
Vor diesem Hintergrund folgt das revidierte FL-DSG sowohl im Aufbau als auch inhaltlich grundsätzlich dem BDSG.
Liechtenstein nutzt den Gestaltungsspielraum
Neben der Orientierung am BDSG machte das Fürstentum Liechtenstein auch von den in der DSGVO vorgesehenen «Öffnungsklauseln» Gebrauch. Durch diese Öffnungsklauseln werden EU- und EWR-Mitgliedstaaten gewisse Gestaltungsspielräume gewährt. Diese ermöglichen es nationale Gegebenheiten des Datenschutzrechts entweder beizubehalten, zu konkretisieren oder aber neu zu schaffen (ausführlich dazu: Materialien zur Totalrevision des liechtensteinischen DSG).
Im Zuge der Totalrevision wurden u.a. auch die Kompetenzen der Datenschutzstelle ausgeweitet, so dass diese nun ausdrücklich als Aufsichtsbehörde benannt ist (Art. 9 FL-DSG). Im Gegensatz zum alten DSG-Liechtenstein, wurde ihr auch die Bussenkompetenz übertragen (Art. 17 FL-DSG). Diese Bussenkompetenz oblag nach altem Recht den Landgerichten. Die Revision sorgt nun aber dafür, dass die Datenschutzstelle, als fachlich spezialisierte Behörde, bei Verstössen gegen das FL-DSG und somit auch gegen die DSGVO selbst Bussen aussprechen kann. Mit anderen Worten erfolgt die Beurteilung und Bestrafung von Verstössen gegen den Datenschutz aus einer Hand.
Sind Schweizer Onlineshop-Betreiber von liechtensteinischem Recht erfasst?
Schweizer Onlineshops beschränken ihr Liefergebiet in den AGB regelmässig auf das Gebiet der Schweiz und Liechtenstein. Dabei gilt es zu beachten, dass der Einbezug von Liechtenstein ins Liefergebiet dazu führt, dass auch das Recht des Fürstentums auf den Onlineshop anwendbar wird. Damit sich der Schweizer Shop-Betreiber nicht den drakonischen Strafen aussetzt, sind sämtliche Anforderungen des DSG-Liechtenstein und der DSGVO zu erfüllen, d.h. es muss u.a. die Datenschutzerklärung angepasst, ein Verzeichnis über sämtliche Verarbeitungstätigkeiten geführt und entsprechende interne Prozesse (z.B. bezüglich der Wahrung der Betroffenenrechte) müssen überprüft, dokumentiert und gegebenenfalls angepasst werden (vgl. MLL-News vom 9. Dezember 2018, MLL-News vom 30. Juli 2017 und MLL-News vom 14. Januar 2016). Insofern lohnt sich eine sorgfältige Auseinandersetzung mit den Vorgaben der beiden Regelwerke.
Totalrevision des Schweizer Datenschutzgesetzes
Auch das Schweizer Datenschutzgesetz befindet sich zurzeit in einer Totalrevision (vgl. MLL-News vom April 2018, MLL-News vom 21. September 2017 und MLL-News vom 14. Februar 2017). Dabei gilt es insbesondere durch die Angleichung an die DSGVO sicherzustellen, dass die Schweiz von der EU weiterhin als Land mit angemessenem Datenschutzniveau anerkannt wird. Schon Mitte Januar 2018 beschloss die Staatspolitische Kommission des Nationalrates, dass dazu die Totalrevision des Datenschutzgesetzes in zwei Etappen erfolgt. Nachdem die erste Etappe zum sog. «Schengen-Teil» im vergangenen September verabschiedet wurde, folgt nun der eigentliche Hauptteil, mit der Totalrevision des Schweizer DSG. Wann diese vom Parlament verabschiedet wird, ist zurzeit schwer abschätzbar. Es ist damit zu rechnen, dass dies frühestens 2020 der Fall sein wird.
Weitere Informationen:
- Materialien zur Totalrevision des liechtensteinischen DSG
- Liechtensteinisches Datenschutzgesetz vom 4. Oktober 2018
- Bericht und Antrag Nr. 69/2018 sowie die Stellungnahme der Regierung an den Landtag vom 4. September 2018
- Mitteilung der Datenschutzstelle des Fürstentums Liechtenstein vom 7. Januar 2019
- MLL-News vom 9. Dezember 2018:»Datenschutz im E-Commerce»
- MLL-News vom 1. September 2018: «EWR-Staaten übernehmen die EU-DSGVO»
- MLL-News vom 12. April 2018: «Umsetzungsfragen zur EU-Datenschutz-Grundverordnung in der Schweiz»
- MLL-News vom 21. September 2017:»Totalrevision DSG: Bundesrat veröffentlicht Gesetzesentwurf und Botschaft»
- MLL-News vom 30. Juli 2017: «Jetzt handeln: EU-DSGVO-Umsetzungsfrist läuft am 25. Mai 2018 ab»
