Ihr Kontakt
Am 17. Dezember 2015 hat der Innen- und Justizausschuss des EU-Parlaments die Einigung vom 15. Dezember 2015, die vom Europäische Parlament, der Ministerrat und die EU-Kommission erzielt wurde, angenommen. Der Ministerrat und das Plenum des EU-Parlaments müssen Anfang 2016 endgültig zustimmen. Zwei Jahre später (Frühjahr 2018) soll die Verordnung in Kraft treten. Im Gegensatz zur bestehenden Richtlinie wird die Grundverordnung ab Inkraftsetzung unmittelbar Anwendung in den 28 EU-Mitgliedstaaten finden.
Erste Informationen zur EU-Datenschutzgrundverordnung haben wir bereits in den BR News vom 17. Dezember 2015 gebracht. Nachfolgend soll das Augenmerk auf einige, auch für schweizerische Unternehmen relevante Regelungsthemen gelegt werden.
Hauptziele der Datenschutzreform
Besonders böswillige Personen könnten das Hauptziel des Entwurfs zur Europäischen Datenschutz-Grundverordnung (DSGVO) als „Lex Ireland“ bezeichnen. Anstoss zur Reform gaben die ungleichen Datenschutzniveaus in der EU, wobei Irland das „race to the bottom“ auf die Spitze trieb. Gemäss den federführenden Gremien führte dieser „Datenschutz-Flickenteppich“ zu einem Nachteil für die Bürger und Bürgerinnen der EU sowie auch der Unternehmen im Europäischen Binnenmarkt. Hauptziel der Reform ist dementsprechend gleiche Wettbewerbsbedingungen auf der Basis eines hohen Datenschutzniveaus zu schaffen.
DSGVO gilt auch für Nicht-EU-Unternehmen
Nebst der „Lex Ireland“ ist die DSGVO indirekt auch eine „Lex USA“.
Nach Art. 3 DSGVO gelten die Regeln nicht nur für Unternehmen mit Sitz in der EU (oder deren Niederlassungen in der EU), sondern auch für Nicht-EU-Unternehmen. Dies dann, wenn personenbezogene Daten von EU-Bürgern durch Nicht-EU-Unternehmen im Zusammenhang mit dem (auch kostenlosen) Angebot von Waren und Dienstleistungen und der „Verhaltensüberwachung“ – sofern das zu überwachende Verhalten in der EU stattfindet – bearbeitet werden. Die DSGVO statuiert damit eine extraterritoriale Wirkung.
Diese extraterritoriale Wirkung führt dazu, dass insbesondere ausländische E-Commerce Unternehmen, welche ihr Angebot (z.B. über ihren Onlineshop) auch an EU-Bürger richten, die Regeln der DSGVO einhalten müssen.
Die zweite Konstellation – Bearbeitung von Personendaten zur „Verhaltensüberwachung“ – zielt unmittelbar auf ausländische Anbieter von Tracking-Tools.
Wichtige Regelungen: Neuheiten und Besonderheiten
1. Erweiterte Definition von personenbezogenen Daten
Artikel 4 DSGVO enthält einen Katalog mit Definitionen. Ziel war es hier, die Definitionen dem technologischen Fortschritt anzupassen. Folgende (neue) Begriffsdefinitionen sind insbesondere im E-Commerce-Geschäft relevant:
- Als personenbezogene Daten gelten ausdrücklich IP-Adressen und andere „Online-Identifier“.
- Im Zusammenhang mit „Big Data“ wurde eine Definition für das sog. Profiling eingeführt. Unter Profiling fällt jegliche Form von automatisierter Datenbearbeitung, bei welcher die betreffenden Personendaten zur Analyse von gewissen persönlichen Aspekten einer natürlichen Person verwendet werden.
- Im selben Zusammenhang und zur – vermeintlichen – Erleichterung von „Big Data“ wurde die „Pseudonymisierung“ eingeführt. Pseudonymisierung bedeutet, dass die entsprechenden Daten ohne zusätzliche Informationen nicht mehr einer identifizierbaren Person zugeordnet werden können. Aufgrund der Regelungen in der DSGVO ist nicht gänzlich klar, wie weit Datenbearbeitungen und insbesondere Datenanalysen mit pseudonymisierten Daten gehen dürfen. Es wird explizit festgehalten, dass pseudonymisierte Daten gerade keine anonymisierten Daten sind. Es muss daher davon ausgegangen werden, dass die aufgrund der Pseudonymisierung erlaubten Datenbearbeitungen nicht so weit gehen, wie dies für „Big Data“ erforderlich wäre.
Zuletzt erweitert die DSGVO den Katalog der personenbezogenen Daten auf genetische, biometrische und gesundheits-bezogene Daten. Für die Bearbeitung dieser Daten stellt die DSGVO spezifische (strengere) Pflichten auf. Dies ist für Anbieter von E-Health Dienstleistungen von besonderer Relevanz.
2. Datenbearbeitungsgrundsätze – aktive Einwilligung im Vordergrund
Art. 5 ff. DSGVO enthält einen Katalog von Datenbearbeitungsgrundsätzen („Principles“). Die Datenbearbeitungsgrundsätze entsprechen mit wenigen Abweichungen den Grundsätzen, die bereits nach geltendem schweizerischem (und auch deutschem) Recht anwendbar sind.
Im Zusammenhang mit der Rechtmässigkeit der Datenbearbeitung stellt die DSGVO die Einwilligung des Datasubjektes in den Vordergrund. Für diese Einwilligung werden Voraussetzungen aufgestellt, welche im bestehenden schweizerischen Datenschutzgesetz so nicht vorgesehen sind. Hervorzuheben sind die folgenden Voraussetzungen an die Einwilligung durch das Datasubjekt:
- Die Einwilligung muss durch eine ausdrückliche, aktive Handlung erfolgen. Diese Handlung kann im Anticken einer Box bestehen. Das Datasubjekt muss die Box jedoch aktiv anticken. Der häufig anzutreffende Mechanismus, dass eine Box bereits automatisch angetickt ist und der Nutzer diese Markierung dann entfernen muss, stellt keine ausreichende Einwilligung dar. Dies wird in den einleitenden Bemerkungen zur DSGVO explizit festgehalten. Dies hat insbesondere auch auf das Opt-In für den Newsletter-Versand Auswirkungen.
- Die neue Regelung wird auch auf Datenschutzerklärungen Einfluss haben. Die neue Regelung macht bei Dokumenten, in denen nicht nur Einwilligungserklärungen, sondern auch andere Themen erhalten sind, Vorgaben zur graphischen Gestaltung. Die Einwilligungserklärungen müssen gut sicht- und lesbar getrennt von diesen anderen Themen dargestellt werden. Zukünftig muss daher, wie in Deutschland bereits heute Standard, in den Datenschutzerklärungen z.B. ein separater Abschnitt mit den Einwilligungserklärungen eingebaut werden.
- Gemäss neuer Regelung ist eine Einwilligung in Datenbearbeitungen insbesondere dann nicht frei und damit gültig, wenn die Einwilligung als Vorbedingung für den Abschluss eines Vertrages statuiert wird, obwohl die betreffende Datenbearbeitung für die Durchführung des Vertrages nicht notwendig ist. In Zukunft dürften daher z.B. Gewinnspiele, welche die Teilnahme davon abhängig machen, dass der Teilnehmer in die Bearbeitung seiner Daten zu Marketingzwecken einwilligt, problematisch sein. Die Zustimmung zur Bearbeitung für Marketingzwecke wäre nicht gültig. Die entsprechende Zustimmung muss optional sein.
- Bei Kindern – gemäss DSGVO junge Erwachsene unter 16 Jahren – ist die Zustimmung der Eltern einzuholen. Diese Pflicht sorgt insbesondere bei Social Media-Plattformen für Verärgerung.
3. Rechte des Datasubjektes
Artikel 11 ff. DSGVO befassen sich ausführlich mit den Rechten der Datasubjekte. Ziel der DSGVO ist es nachgerade, diese Rechte zu stärken und die Kontrolle der Datasubjekte über deren Daten zu verbessern.
Die Rechte des Datasubjektes entsprechen weitestgehend denjenigen der schweizerischen Datenschutzgesetzgebung. Relevant sind die folgenden Neu- oder Besonderheiten.
Artikel 14 DSGVO sieht ein umfassendes Informationsrecht im Zeitpunkt der Datenerhebung vor. Das umfassende Informationsrecht gilt für alle Kategorien von Personendaten. Das bestehende schweizerische Datenschutzgesetz verlangt eine solche Informationspflicht nur bei der Erhebung von besonders schützenswerten Daten und Persönlichkeitsprofilen. Die betroffene Person muss u.a. über i) den Datenbearbeiter, ii) den Zweck der Datenerhebung, iii) allfällige Rechtfertigungsgründe für die Datenerhebung, iv) die Kategorie von Datenempfänger, v) mögliche Transfers der Daten in Drittstaaten, vi) die Dauer der Datenaufbewahrung, vii) die Auskunfts-, Berichtigungs-, und Löschungsrechte, und viii) die Möglichkeit der Beschwerde an die zuständige Datenschutzbehörde informiert werden.
Neu und spannend ist die ausdrückliche Statuierung des „Recht auf Vergessen“ in Artikel 17 DSGVO. Die betroffene Person hat ein absolutes Recht auf Löschung ihrer Personendaten, sofern i) diese für die Zweckerreichung nicht mehr notwendig sind, ii) die betroffene Person ihre Einwilligung zur Datenbearbeitung zurückgezogen hat, iii) die betroffene Person einer automatisierten Datenbearbeitung widerspricht und kein legitimes, überwiegendes Interesse des Datenbearbeiters besteht, iv) die Bearbeitung der Daten gesetzeswidrig ist. Vorbehalten bleiben die Ausübung von Grundrechten wie der Meinungsäusserungs- und Informationsfreiheit (z.B. durch Medienunternehmen) sowie die Erfüllung gesetzlicher Pflichten.
Die Pflicht zur Löschung von Personendaten trifft nicht nur den Datenbearbeiter, der die entsprechenden Personendaten ursprünglich erhoben hat. Wurden die betreffenden Personendaten an Dritte weitergegeben oder öffentlich gemacht, muss der ursprüngliche Datenbearbeiter diese Drittpersonen über das Löschungsgesuch informieren. Er muss hierzu verhältnismässige Anstrengungen unternehmen.
Neu und ebenfalls interessant ist das Recht auf Datenportabilität in Artikel 18 DSGVO. Damit will die DSGVO betonen, dass Personendaten dem Datasubjekt und nicht dem Datenbearbeiter gehören. Dieses Recht ist im Bereich von Cloud- und Hosting Services besonders relevant. Datenbearbeiter müssen dem Datasubjekt auf Gesuch hin persönliche Daten auf elektronischem Weg und in einem allgemein nutzbaren Format kostenfrei und schnell aushändigen. Das Recht auf Datenportabilität ist jedoch nicht absolut. Das Recht kann insbesondere dann nicht geltend gemacht werden, wenn der Datenbearbeiter die entsprechenden Personendaten in Erfüllung einer öffentlichen Pflicht oder zur Einhaltung von gesetzlichen Pflichten bearbeitet.
Des Weiteren sieht Artikel 20 DSGVO das Recht des Datasubjektes vor, nicht Gegenstand von automatisierten Entscheidungsprozessen zu sein, die rechtliche oder vergleichbare Auswirkungen auf ihn haben. Dieses Recht gilt jedoch dann nicht, wenn dieser automatisierte Entscheidungsprozess für den Abschluss oder die Durchführung eines Vertrages notwendig ist (z.B. Kreditwürdigkeitsprüfung), durch Gesetz erlaubt ist oder wenn das Datasubjekt dieser automatisierten Bearbeitung zugestimmt hat.
4. Pflichten des Datenbearbeiters
Bei den Pflichten der Datenbearbeiter folgt die DSGVO einem risikobasierten Ansatz. Die Datenbearbeiter sollen die zu treffenden Datenschutz-Massnahmen an den mit der Datenbearbeitung verbundenen Risiken ausrichten (Artikel 22 DSGVO).
Neu verankert Artikel 23 DSGVO die Prinzipien „Data Protection by Design” und „Data Protection by Default”. Unternehmen müssen ihre Dienste datensparsam entwerfen und datenschutzfreundlich anbieten. Dies bedeutet z.B., dass eine Würfel-Smartphone-Applikation nicht auf die Daten im Fotoalbum zugreifen darf. In den einleitenden Bemerkungen zur DSGVO wird festgehalten, dass die zu ergreifenden Massnahmen idealerweise in Code of Conducts, Zertifizierungs-Richtlinien oder Richtlinien des neuen European Data Protection Boards dargestellt werden sollten.
Besonders relevant für ausländische Unternehmen, welche in den Anwendungsbereich der DSGVO fallen, ist die Pflicht zur Ernennung eines Vertreters mit Sitz in der EU (Artikel 25 DSGVO). Ausnahmen von der Ernennung eines Vertreters sind vorgesehen, wenn der Datenbearbeiter nur unregelmässig Personendaten im Sinne der DSGVO bearbeitet, wenn nicht in grösserem Umfang besonders schützenswerte Daten bearbeitet werden und wenn die betreffende Datenbearbeitung nur geringe Datenschutzrisiken birgt. Aufgrund der Regelung und den Bemerkungen hierzu ist noch unklar, wie die einzelnen Ausnahmetatbestände interpretiert werden. Wenn aber z.B. sich ein Onlineshop (auch) an EU-Bürger richtet und die Nutzerdaten im Sinne des Profiling für personalisierte Werbung analysiert werden, dürfte wohl die Ernennung eines Vertreters notwendig sein. Der Vertreter kann z.B. auch eine Niederlassung des ausländischen Unternehmens in der EU sein.
Artikel 26 DSGVO sieht analog zu Art. 10a des schweizerischen Datenschutzgesetzes besondere Pflichten bei der Auftragsdatenbearbeitung vor. Die Auftragsdatenbearbeitung muss insbesondere durch einen Vertrag geregelt sein.
Artikel 28 DSGVO könnte bei vielen Unternehmen zu grossem administrativem Aufwand führen. Die Datenbearbeiter werden verpflichtet, eine Liste mit allen ihren Datenbearbeitungen zu erstellen. Die Informationen, die in dieser Liste enthalten sein müssen, werden in der DSGVO aufgezählt. Es handelt sich dabei um dieselben Informationen, die nach schweizerischem Datenschutzgesetz bei der Anmeldung einer Datensammlung verlangt werden.
Neu – im Vergleich zum schweizerischen Recht – sieht Artikel 31 DSGVO eine obligatorische Meldung bei Datenschutzpannen innerhalb von 72 Stunden an die Datenschutzbehörde vor. Falls die Datenschutzpanne zu einem hohen Risiko für die Rechte des Datasubjektes führen könnte, muss der Datenbearbeiter auch das Datasubjekt ohne unnötige Verzögerung informieren (Artikel 32 DSGVO).
Ebenfalls neu und mit Aufwand verbunden ist die Pflicht zur Durchführung eines sog. „Data Protection Impact Assessment“ nach Artikel 33 DSGVO. Ein solches Assessment ist durchzuführen, wenn Datenbearbeitungen neue Technologien nutzen oder sonstwie mit Blick auf die Natur, den Umfang und den Kontext der Datenbearbeitung hohe Risiken bergen. Die DSGVO sieht vor, dass die zuständigen Datenschutzbehörden Listen mit Datenbearbeitungen erstellen sollen, bei denen in jedem Fall ein solches Assessment durchzuführen ist bzw. bei denen kein Assessment durchzuführen ist. Diese Listen werden dann harmonisiert werden, sodass in allen EU-Staaten dieselben Voraussetzungen gelten. Das Assessment soll mindestens aus einer systematischen Beschreibung der Datenbearbeitungsprozesse, aus einer Beurteilung der Notwendigkeit und Verhältnismässigkeit der Datenbearbeitung, einer Beurteilung der Datenschutzrisiken und einer Zusammenstellung der Massnahmen, die zur Reduktion der Risiken getroffen werden, bestehen.
Zuletzt müssen gewisse Datenbearbeiter nach Artikel 35 DSGVO neu zwingend einen internen Datenschutzbeauftragten ernennen. Die Ernennung eines Datenschutzbeauftragten ist dann zwingend, wenn die Haupttätigkeit des betreffenden Unternehmens regelmässiges, systematisches und umfangreiches Monitoring von Datasubjekten umfasst. Zwingend ist die Ernennung auch, wenn in hohem Umfang spezielle bzw. besonders schützenswerte Daten bearbeitet werden.
5. Blocking Statutes nach EU-Art
Die EU-Organe wurden vom Zugriff von US-Behörden auf Personendaten, die auf Servern in EU-Staaten aufbewahrt werden, aufgeschreckt. So hat eine US-Richterin Microsoft angewiesen, E-Mails, die auf einem Server der Microsoft Niederlassung in Irland gespeichert werden, herauszugeben. Microsoft hat sich gegen diese Verfügung zur Wehr gesetzt und u.a. geltend gemacht, dass ein solcher Zugriff nicht ohne die Zustimmung des betreffenden Landes – hier Irland – erfolgen dürfe. Spannenderweise empfanden die irischen Behörden – im Gegensatz zur EU-Kommission – die Editionsverfügung des US-Gerichtes nicht als allzu problematisch.
Neu hält Art. 43a DSGVO fest, dass Unternehmen Personendaten, die dem Anwendungsbereich der DSGVO unterliegen, nicht direkt an Behörden von Drittstaaten übermitteln dürfen. Entsprechende ausländische Editionsverfügungen dürfen nur gestützt auf internationale Abkommen, z.B. Rechtshilfeabkommen, anerkannt und vollstreckt werden.
Ob sich US-Gerichte durch diese Regelung von extraterritorialen Editionsverfügungen abschrecken lassen, ist zweifelhaft. Nach mehrfach bestätigter US-Rechtsprechung ist die Anwendbarkeit von internationalen Rechtshilfeabkommen für Beweismassnahmen im Ausland nicht zwingend.
6. Beschwerde des Datasubjektes
Besonders relevant für ausländische Unternehmen, welche unter den territorialen Anwendungsbereich der DSGVO fallen, ist auch Artikel 73 DSGVO.
Artikel 73 DSGVO sieht vor, dass ein Datasubjekt bei Verstössen gegen die DSGVO bei der Datenschutzbehörde seines Wohnsitzstaates Beschwerde einreichen kann. Dies bedeutet, dass ein schweizerisches Unternehmen bei Verletzung der DSGVO unverhofft mit einem Beschwerdeverfahren bei einer EU-Datenschutzbehörde konfrontiert werden kann. Dies ist umso bedeutsamer, wenn man die nachfolgend beschriebenen Sanktionsmöglichkeiten berücksichtigt.
7. Folgen bei Nichteinhaltung der DSGVO
Bei Verstössen gegen die DSGVO sind strenge und schmerzhafte administrative Sanktionen vorgesehen (siehe vor allem Art. 79 DSGVO).
Die Verordnung sieht für gewisse Verstösse eine administrative Busse von maximal 20 Millionen Euro oder bei einem Unternehmen von maximal bis zu 4% des weltweiten Jahresumsatzes vor.
Wie bereits erwähnt, werden zahlreiche schweizerische Unternehmen, insbesondere im E-Commerce-Geschäft, zukünftig in den Anwendungsbereich der DSGVO fallen. Die möglichen substanziellen Bussen bei Verstössen werden dazu führen, dass der Compliance bei Datenbearbeitungen ein viel höheres Gewicht eingeräumt werden muss.
Weitere Informationen:
- Pressemitteilung Agreement on Commission’s EU data protection reform will boost Digital Single Market
- Fassung 15.12.2015 -Entwurf der EU-Datenschutzverordnung – Statewatch.org
- Entwurf der Datenschutz-Grundverordnung (06.2015)
- Datenschutzrichtlinie (Richtlinie 95/46/EG)
- Website der europäischen Kommission zum Thema
- BR-News vom 26. Juli 2015: EU: Das Gesetzgebungsverfahren zur neuen Datenschutzgrundverordnung nimmt ein Ende
- BR-News vom 9. April 2015: Revisionen des Datenschutzrechts im Überblick – wo steht die Schweiz?
- BR-News vom 6. Februar 2012: EU-Datenschutzverordnung: europaweite Harmonisierung geplant
- BR-News vom 17. Dezember 2015: UPDATE: endgültige Fassung der EU-Datenschutz-Grundverordnung
- Jan Philip Albrecht, MdEP Blog: Durchbruch in Sicht – Riesenschritt für starke Verbraucherrechte und mehr Wettbewerb
Ansprechpartner: Michael Reinle