EU-Datenschutzverordnung: europaweite Harmonisierung geplant


Ihr Kontakt

Die Europäische Kommission hat Ende Januar den offiziellen Entwurf einer EU-weit geltenden Datenschutzverordnung («Datenschutz-Grundverordnung») präsentiert. Bereits Ende 2011 war ein erster Entwurf der Datenschutzverordnung an die Öffentlichkeit gelangt und daraufhin stark kritisiert worden. Der leicht angepasste offizielle Entwurf sieht unter anderem ein so genanntes Recht auf Vergessenwerden, strengere Einwilligungsvorschriften und höhere Bussen bei Verstössen vor. Die Verordnung wird auch für Schweizer Unternehmen ohne Sitz in der EU von grosser Bedeutung sein: Sie beansprucht Geltung für alle Datenbearbeitungen durch Personen und Unternehmen, die ihre Waren oder Dienstleistungen in der EU anbieten.

Vereinheitlichung des Rechts

Herzstück der Reform ist die Regelungsart. Neu soll der Datenschutz auf europäischer Ebene in einer Verordnung geregelt werden. Anders als bisher muss also nicht mehr eine Richtlinie in nationales Recht umgesetzt werden. Die Verordnung wird in allen EU-Mitgliedstaaten verbindlich und direkt anwendbar sein und nationales Recht verdrängen. Dadurch wird das Datenschutzrecht EU-weit vereinheitlicht und die betroffenen Personen und Datenbearbeiter müssen sich und ihre Geschäftstätigkeiten nicht in jedem Mitgliedstaat an andere Gesetze anpassen. Dies ist sowohl aus Sicht der Unternehmen als auch aus Sicht der Konsumenten grundsätzlich sehr zu begrüssen.

Extraterritorialität (Art. 3 Abs. 2)

Der Geltungsbereich der Verordnung soll sich allerdings über die Grenzen der EU hinaus erstrecken. Neu müssten auch Unternehmen mit Sitz ausserhalb der EU die Vorgaben der Verordnung beachten, sofern sie Daten von Personen bearbeiten, die in der EU ansässig sind, und die Datenbearbeitung dazu dient, diesen Personen Produkte anzubieten oder deren Verhalten zu beobachten. Der Entwurf läuft somit darauf hinaus, dass der Verordnung alle Personen und Unternehmen unterliegen, welche ihre Waren oder Dienstleistungen in der EU anbieten. Dadurch soll verhindert werden, dass sich insbesondere Unternehmen wie Google oder Facebook in einem Land niederlassen können, in welchem ein niedrigerer Datenschutzstandard herrscht. Neu sollen alle in der EU ansässigen Personen vom gleichen Datenschutzniveau profitieren, ungeachtet dessen, wer ihre Daten bearbeitet.

Somit wären grundsätzlich auch schweizerische Unternehmen dem EU-Datenschutzrecht unterstellt, sofern sie ihre Produkte Abnehmern in der EU anbieten. Relevant ist in diesem Zusammenhang auch Art. 25 der Verordnung, welcher vorschreiben soll, dass Unternehmen ohne Sitz in der EU einen Vertreter und Ansprechpartner in derselben bestimmen müssen. Eine Verletzung dieser Pflicht wäre mit erheblichen Bussen sanktioniert. Ob Art. 25 für schweizerische Unternehmen anwendbar ist, ist jedoch zum jetzigen Zeitpunkt noch nicht klar. Sollte die Kommission beschliessen, dass die Schweiz über ein mit der EU vergleichbares Datenschutzniveau verfügt, wären Schweizer Unternehmen von der Vertretungspflicht befreit (Art. 25 Abs. 2). Nach geltendem Recht gehört die Schweiz zu denjenigen Staaten, die über ein mit der EU vergleichbares Datenschutzniveau verfügen.

Einwilligungsvorschriften (Art. 4 Abs. 8 und Art. 8)

Weiter schreibt die Verordnung vor, dass Einwilligungen nur noch dann gültig sein sollen, wenn sie ausdrücklich erfolgen. Konkludente Einwilligungen sollen somit zukünftig nicht mehr rechtmässig sein. Die Beweislast für die gültige Einwilligung soll stets beim Datenbearbeiter liegen (Art. 7 Abs. 1). In gewissen Fällen sollen Einwilligungen gar nicht mehr zulässig sein, insbesondere dann, wenn zwischen der Position des Datenbearbeiters und der betroffenen Person «ein erhebliches Ungleichgewicht» besteht (Art. 7 Abs. 4). In Erwägungsgrund Nr. 34 wird zwar darauf hingewiesen, dass ein solches Ungleichgewicht insbesondere im Falle eines Abhängigkeitsverhältnisses (z.B. in Arbeitsverhältnissen) vorliegt. Dennoch dürfte dies in der Unternehmenspraxis eine sehr problematische neue Vorschrift sein. Die hier geschaffene Auslegebedürftigkeit bezüglich dieses «erheblichen Ungleichgewichts» muss zu einer beträchtlichen Rechtsunsicherheit führen – besteht denn beispielsweise zwischen einem Online-Händler und seinen Kunden ein «erhebliches Ungleichgewicht» oder nicht? Besondere Einwilligungserfordernisse sollen darüber hinaus für Personen unter 13 Jahren gelten. Bei diesen ist eine Zustimmung des gesetzlichen Vertreters erforderlich. Wie diese Vorschrift im Online-Bereich in der Praxis umgesetzt werden soll, ist gänzlich unklar. Da zuverlässige und praktikable Altersverifikationsverfahren bisher fehlen, lassen sich die Vorschriften wohl nur mit erheblichem Aufwand für Website-Betreiber einhalten.

Ganz grundsätzlich sind diese Einwilligungsvoraussetzungen, bei der für jede Datenbearbeitung vorab eine explizite Einwilligung einzuholen ist, insgesamt nicht konsumentenfreundlich. Besonders Onlinedienste werden dadurch umständlicher und benutzerunfreundlicher. Das Einwilligungserfordernis wird so wohl eher mehr Verwirrung stiften, anstatt Klarheit zu schaffen.

Recht auf Vergessenwerden und Recht auf Datenübertragbarkeit (Art. 17 und 18)

Der Verordnungsentwurf sieht sodann ein Recht des Betroffenen vor, vergessen zu werden, also das Recht auf Löschung seiner Personendaten. Demnach soll für Datenbearbeiter die Pflicht bestehen, auf Antrag der betroffenen Person sämtliche Personendaten über diese zu löschen. Sie müssen zudem «alle vertretbaren Schritte, auch technischer Art» unternehmen, um die Daten zu löschen, sofern sie der Öffentlichkeit zugänglich gemacht wurden. Im Entwurf wird allgemein festgehalten, dass die Anwendung der Haftungsbeschränkungen für Provider in der E-Commerce-Richtlinie (Art. 12-15) von der neuen Regelung unberührt bleiben soll (Art. 2 Abs. 3). Folglich dürfte die beschränkte Haftung der Provider auch in Bezug auf das Recht auf Vergessenwerden gelten. Jedenfalls ist die praktische Umsetzbarkeit des Rechts auf Vergessenwerden höchst umstritten.

Darüber hinaus soll die Verordnung ein Recht auf Datenportabilität einführen. Darunter zu verstehen ist das Recht, seine Daten aus einem automatisierten Datenverarbeitungssystem auf ein anderes System zu übertragen, ohne dass der für die Verarbeitung Verantwortliche die betroffene Person daran hindern darf. Der Datenbearbeiter wird dabei verpflichtet, die zu übertragenden Daten in einem strukturierten, gängigen elektronischen Format zur Verfügung zu stellen.

Diese neuen Vorschriften schränken die Kontrolle der Unternehmen über ihre Kundendaten zum Teil erheblich ein. Daten müssen auf Verlangen gelöscht oder gar auf einen Mitbewerber übertragen werden, was Unternehmen unter Umständen schwer treffen kann, da sie ganze Kunden- oder Interessentendaten verlieren könnten, ohne etwas dagegen unternehmen zu können. Spannend dürfte das Verhältnis dieser Vorschrift zu den allgemeinen, kaufmännischen Aufbewahrungspflichten sein.

Umfangreiche Meldepflichten (Art. 31-34)

Werden Datenschutzverstösse festgestellt, hat die verantwortliche Stelle unverzüglich die Aufsichtsbehörde und die betroffenen Personen zu informieren, wenn möglich innert 24 Stunden. Weiter will die Verordnung Datenbearbeiter verpflichten, gewisse Bearbeitungen vorab der Aufsichtsbehörde zu melden und von dieser genehmigen zu lassen. Darüber hinaus sollen die administrativen Pflichten für die Datenbearbeiter erweitert werden, namentlich die Transparenz-, Auskunfts- und Dokumentationspflichten.

Benennung eines Datenschutzbeauftragten (Art. 35)

Neu sollen zudem alle Unternehmen, welche mehr als 250 Personen beschäftigen, verpflichtet sein, einen so genannten betrieblichen Datenschutzbeauftragten, d.h. eine für den Datenschutz verantwortliche Person, zu bestimmen. Die Benennung wird zudem unabhängig von der Betriebsgrösse verlangt, wenn die Kerntätigkeit eines Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche eine regelmässige und systematische Beobachtung von Personen erforderlich machen. Die Richtlinie sah bisher keine entsprechende Pflicht vor. In den nationalen Vorschriften gewisser Mitgliedstaaten sind aber ähnliche Pflichten enthalten: In Deutschland beispielsweise besteht schon heute bereits ab einer Anzahl von 10 mit der Bearbeitung von Personendaten beschäftigten Personen die Verpflichtung zur Bezeichnung eines Datenschutzbeauftragten.

One-Stop-Shop-Prinzip (Art. 51) und verschärfte Sanktionen (Art. 79)

Die unter geltendem Recht teilweise unübersichtliche Zuständigkeitsordnung soll mit der Verordnung aufgehoben werden. Zentrale Anlaufstelle für datenschutzrechtliche Anliegen soll neu stets die nationale Datenschutzbehörde des Landes sein, in welchem das datenbearbeitende Unternehmen seinen Hauptsitz hat. Dies soll das Verfahren für alle beteiligten Parteien vereinfachen.
Die Sanktionsbefugnisse der zuständigen Stellen sollen ebenfalls angepasst werden. Im Vergleich zum geltenden Recht sieht der Entwurf eine massive Verschärfung der Sanktionen bei Verstössen vor. Neu können die Behörden Widerhandlungen mit Bussen bis zu einer Million Euro oder 2 % des weltweiten Jahresumsatzes des betroffenen Unternehmens sanktionieren.

Weiteres Verfahren

Ob die Verordnung in der vorliegenden Form je in Kraft treten wird, ist aufgrund der fundamentalen Bedeutung dieser Reform und der bisher geäusserten Kritik fraglich. Der Entwurf wurde bereits von verschiedenen Seiten scharf kritisiert, insbesondere aus den USA. Er muss nun noch im EU-Ministerrat und EU-Parlament beraten und verabschiedet werden. Es ist durchaus sehr wahrscheinlich, dass im Laufe des Gesetzgebungsverfahrens noch zahlreiche Änderungen an der Verordnung erfolgen. Mit einem Inkrafttreten der Verordnung ist deshalb nicht vor 2014 zu rechnen.

Kommentar

Das geltende Datenschutzrecht in den europäischen Ländern, das schweizerische eingeschlossen, ist heute nicht in der Lage, mit den Herausforderungen der technologischen Entwicklungen und gesellschaftlichen Realitäten umzugehen. Anstelle effektivem Datenschutz für Betroffene zu garantieren, machen es die heutigen unübersichtlichen nationalen Gesetze und Behörden für viele Unternehmen faktisch unmöglich, sich datenschutzrechtlich gegenüber allen Stakeholdern korrekt zu verhalten – dies ist eigentlich schon lange inakzeptabel und stellt zudem einen bedeutenden Wettbewerbsnachteil für europäische Unternehmen dar. Vor diesem Hintergrund ist einiges an diesem fundamentalen Reformvorschlag sehr begrüssenswert: die Harmonisierung auf europäischer Ebene führt dazu, dass datenschutzrechtlich europaweit für alle die gleichen, vorhersehbaren Vorschriften gelten werden. Jedes Unternehmen in Europa ist einer einzigen Aufsichtsbehörde an ihrem Sitz unterstellt. Damit dürfte die Rechtssicherheit sowohl für Unternehmen als auch für Betroffene zumindest stark verbessert werden. Auch der Anspruch der extra-territorialen Geltung ist grundsätzlich begrüssenswert und verhindert Wettbewerbsnachteile für europäische Unternehmen. Andererseits ist bei vielen geplanten Regelungen gänzlich unklar, wie diese in der Praxis umgesetzt werden können, resp. schon nur, wie diese genau auszulegen sind. Schlussendlich dürften die diversen neuen Meldepflichten und auch die neuen Einwilligungsvorschriften den Umgang mit Daten sehr kompliziert machen und die Innovationskraft des E-Commerce stark behindern. Ob das aus Sicht der Verbraucher im Netz wirklich wünschenswert ist, erscheint zumindest fraglich.

Insbesondere aufgrund des extra-territorialen Geltungsbereichs sollte die weitere Entwicklung auch von schweizerischen Unternehmen verfolgt werden. Dies gilt umso mehr, weil der Bundesrat in seinem Datenschutzbericht von Ende 2011 erklärt hat, er wolle bei der Revision des schweizerischen Datenschutzrechts auch den Entwicklungen in der EU Rechnung tragen (vgl. BR-News vom 15.12.2011).

Weitere Informationen:

Ansprechpartner: Lukas Bühlmann


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.