Ihr Kontakt
Die Europäische Kommission hat Ende Januar den offiziellen Entwurf einer EU-weit geltenden Datenschutzverordnung («Datenschutz-Grundverordnung») präsentiert. Bereits Ende 2011 war ein erster Entwurf der Datenschutzverordnung an die Öffentlichkeit gelangt und daraufhin stark kritisiert worden. Der leicht angepasste offizielle Entwurf sieht unter anderem ein so genanntes Recht auf Vergessenwerden, strengere Einwilligungsvorschriften und höhere Bussen bei Verstössen vor. Die Verordnung wird auch für Schweizer Unternehmen ohne Sitz in der EU von grosser Bedeutung sein: Sie beansprucht Geltung für alle Datenbearbeitungen durch Personen und Unternehmen, die ihre Waren oder Dienstleistungen in der EU anbieten.
Vereinheitlichung des Rechts
Herzstück der Reform ist die Regelungsart. Neu soll der Datenschutz auf europäischer Ebene in einer Verordnung geregelt werden. Anders als bisher muss also nicht mehr eine Richtlinie in nationales Recht umgesetzt werden. Die Verordnung wird in allen EU-Mitgliedstaaten verbindlich und direkt anwendbar sein und nationales Recht verdrängen. Dadurch wird das Datenschutzrecht EU-weit vereinheitlicht und die betroffenen Personen und Datenbearbeiter müssen sich und ihre Geschäftstätigkeiten nicht in jedem Mitgliedstaat an andere Gesetze anpassen. Dies ist sowohl aus Sicht der Unternehmen als auch aus Sicht der Konsumenten grundsätzlich sehr zu begrüssen.
Extraterritorialität (Art. 3 Abs. 2)
Der Geltungsbereich der Verordnung soll sich allerdings über die Grenzen der EU hinaus erstrecken. Neu müssten auch Unternehmen mit Sitz ausserhalb der EU die Vorgaben der Verordnung beachten, sofern sie Daten von Personen bearbeiten, die in der EU ansässig sind, und die Datenbearbeitung dazu dient, diesen Personen Produkte anzubieten oder deren Verhalten zu beobachten. Der Entwurf läuft somit darauf hinaus, dass der Verordnung alle Personen und Unternehmen unterliegen, welche ihre Waren oder Dienstleistungen in der EU anbieten. Dadurch soll verhindert werden, dass sich insbesondere Unternehmen wie Google oder Facebook in einem Land niederlassen können, in welchem ein niedrigerer Datenschutzstandard herrscht. Neu sollen alle in der EU ansässigen Personen vom gleichen Datenschutzniveau profitieren, ungeachtet dessen, wer ihre Daten bearbeitet.
Somit wären grundsätzlich auch schweizerische Unternehmen dem EU-Datenschutzrecht unterstellt, sofern sie ihre Produkte Abnehmern in der EU anbieten. Relevant ist in diesem Zusammenhang auch Art. 25 der Verordnung, welcher vorschreiben soll, dass Unternehmen ohne Sitz in der EU einen Vertreter und Ansprechpartner in derselben bestimmen müssen. Eine Verletzung dieser Pflicht wäre mit erheblichen Bussen sanktioniert. Ob Art. 25 für schweizerische Unternehmen anwendbar ist, ist jedoch zum jetzigen Zeitpunkt noch nicht klar. Sollte die Kommission beschliessen, dass die Schweiz über ein mit der EU vergleichbares Datenschutzniveau verfügt, wären Schweizer Unternehmen von der Vertretungspflicht befreit (Art. 25 Abs. 2). Nach geltendem Recht gehört die Schweiz zu denjenigen Staaten, die über ein mit der EU vergleichbares Datenschutzniveau verfügen.
Einwilligungsvorschriften (Art. 4 Abs. 8 und Art. 8)
Weiter schreibt die Verordnung vor, dass Einwilligungen nur noch dann gültig sein sollen, wenn sie ausdrücklich erfolgen. Konkludente Einwilligungen sollen somit zukünftig nicht mehr rechtmässig sein. Die Beweislast für die gültige Einwilligung soll stets beim Datenbearbeiter liegen (Art. 7 Abs. 1). In gewissen Fällen sollen Einwilligungen gar nicht mehr zulässig sein, insbesondere dann, wenn zwischen der Position des Datenbearbeiters und der betroffenen Person «ein erhebliches Ungleichgewicht» besteht (Art. 7 Abs. 4). In Erwägungsgrund Nr. 34 wird zwar darauf hingewiesen, dass ein solches Ungleichgewicht insbesondere im Falle eines Abhängigkeitsverhältnisses (z.B. in Arbeitsverhältnissen) vorliegt. Dennoch dürfte dies in der Unternehmenspraxis eine sehr problematische neue Vorschrift sein. Die hier geschaffene Auslegebedürftigkeit bezüglich dieses «erheblichen Ungleichgewichts» muss zu einer beträchtlichen Rechtsunsicherheit führen – besteht denn beispielsweise zwischen einem Online-Händler und seinen Kunden ein «erhebliches Ungleichgewicht» oder nicht? Besondere Einwilligungserfordernisse sollen darüber hinaus für Personen unter 13 Jahren gelten. Bei diesen ist eine Zustimmung des gesetzlichen Vertreters erforderlich. Wie diese Vorschrift im Online-Bereich in der Praxis umgesetzt werden soll, ist gänzlich unklar. Da zuverlässige und praktikable Altersverifikationsverfahren bisher fehlen, lassen sich die Vorschriften wohl nur mit erheblichem Aufwand für Website-Betreiber einhalten.
Ganz grundsätzlich sind diese Einwilligungsvoraussetzungen, bei der für jede Datenbearbeitung vorab eine explizite Einwilligung einzuholen ist, insgesamt nicht konsumentenfreundlich. Besonders Onlinedienste werden dadurch umständlicher und benutzerunfreundlicher. Das Einwilligungserfordernis wird so wohl eher mehr Verwirrung stiften, anstatt Klarheit zu schaffen.
Recht auf Vergessenwerden und Recht auf Datenübertragbarkeit (Art. 17 und 18)
Der Verordnungsentwurf sieht sodann ein Recht des Betroffenen vor, vergessen zu werden, also das Recht auf Löschung seiner Personendaten. Demnach soll für Datenbearbeiter die Pflicht bestehen, auf Antrag der betroffenen Person sämtliche Personendaten über diese zu löschen. Sie müssen zudem «alle vertretbaren Schritte, auch technischer Art» unternehmen, um die Daten zu löschen, sofern sie der Öffentlichkeit zugänglich gemacht wurden. Im Entwurf wird allgemein festgehalten, dass die Anwendung der Haftungsbeschränkungen für Provider in der E-Commerce-Richtlinie (Art. 12-15) von der neuen Regelung unberührt bleiben soll (Art. 2 Abs. 3). Folglich dürfte die beschränkte Haftung der Provider auch in Bezug auf das Recht auf Vergessenwerden gelten. Jedenfalls ist die praktische Umsetzbarkeit des Rechts auf Vergessenwerden höchst umstritten.
Darüber hinaus soll die Verordnung ein Recht auf Datenportabilität einführen. Darunter zu verstehen ist das Recht, seine Daten aus einem automatisierten Datenverarbeitungssystem auf ein anderes System zu übertragen, ohne dass der für die Verarbeitung Verantwortliche die betroffene Person daran hindern darf. Der Datenbearbeiter wird dabei verpflichtet, die zu übertragenden Daten in einem strukturierten, gängigen elektronischen Format zur Verfügung zu stellen.
Diese neuen Vorschriften schränken die Kontrolle der Unternehmen über ihre Kundendaten zum Teil erheblich ein. Daten müssen auf Verlangen gelöscht oder gar auf einen Mitbewerber übertragen werden, was Unternehmen unter Umständen schwer treffen kann, da sie ganze Kunden- oder Interessentendaten verlieren könnten, ohne etwas dagegen unternehmen zu können. Spannend dürfte das Verhältnis dieser Vorschrift zu den allgemeinen, kaufmännischen Aufbewahrungspflichten sein.
Umfangreiche Meldepflichten (Art. 31-34)
Werden Datenschutzverstösse festgestellt, hat die verantwortliche Stelle unverzüglich die Aufsichtsbehörde und die betroffenen Personen zu informieren, wenn möglich innert 24 Stunden. Weiter will die Verordnung Datenbearbeiter verpflichten, gewisse Bearbeitungen vorab der Aufsichtsbehörde zu melden und von dieser genehmigen zu lassen. Darüber hinaus sollen die administrativen Pflichten für die Datenbearbeiter erweitert werden, namentlich die Transparenz-, Auskunfts- und Dokumentationspflichten.
Benennung eines Datenschutzbeauftragten (Art. 35)
Neu sollen zudem alle Unternehmen, welche mehr als 250 Personen beschäftigen, verpflichtet sein, einen so genannten betrieblichen Datenschutzbeauftragten, d.h. eine für den Datenschutz verantwortliche Person, zu bestimmen. Die Benennung wird zudem unabhängig von der Betriebsgrösse verlangt, wenn die Kerntätigkeit eines Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche eine regelmässige und systematische Beobachtung von Personen erforderlich machen. Die Richtlinie sah bisher keine entsprechende Pflicht vor. In den nationalen Vorschriften gewisser Mitgliedstaaten sind aber ähnliche Pflichten enthalten: In Deutschland beispielsweise besteht schon heute bereits ab einer Anzahl von 10 mit der Bearbeitung von Personendaten beschäftigten Personen die Verpflichtung zur Bezeichnung eines Datenschutzbeauftragten.
One-Stop-Shop-Prinzip (Art. 51) und verschärfte Sanktionen (Art. 79)
Die unter geltendem Recht teilweise unübersichtliche Zuständigkeitsordnung soll mit der Verordnung aufgehoben werden. Zentrale Anlaufstelle für datenschutzrechtliche Anliegen soll neu stets die nationale Datenschutzbehörde des Landes sein, in welchem das datenbearbeitende Unternehmen seinen Hauptsitz hat. Dies soll das Verfahren für alle beteiligten Parteien vereinfachen.
Die Sanktionsbefugnisse der zuständigen Stellen sollen ebenfalls angepasst werden. Im Vergleich zum geltenden Recht sieht der Entwurf eine massive Verschärfung der Sanktionen bei Verstössen vor. Neu können die Behörden Widerhandlungen mit Bussen bis zu einer Million Euro oder 2 % des weltweiten Jahresumsatzes des betroffenen Unternehmens sanktionieren.
Weiteres Verfahren
Ob die Verordnung in der vorliegenden Form je in Kraft treten wird, ist aufgrund der fundamentalen Bedeutung dieser Reform und der bisher geäusserten Kritik fraglich. Der Entwurf wurde bereits von verschiedenen Seiten scharf kritisiert, insbesondere aus den USA. Er muss nun noch im EU-Ministerrat und EU-Parlament beraten und verabschiedet werden. Es ist durchaus sehr wahrscheinlich, dass im Laufe des Gesetzgebungsverfahrens noch zahlreiche Änderungen an der Verordnung erfolgen. Mit einem Inkrafttreten der Verordnung ist deshalb nicht vor 2014 zu rechnen.
Kommentar
Das geltende Datenschutzrecht in den europäischen Ländern, das schweizerische eingeschlossen, ist heute nicht in der Lage, mit den Herausforderungen der technologischen Entwicklungen und gesellschaftlichen Realitäten umzugehen. Anstelle effektivem Datenschutz für Betroffene zu garantieren, machen es die heutigen unübersichtlichen nationalen Gesetze und Behörden für viele Unternehmen faktisch unmöglich, sich datenschutzrechtlich gegenüber allen Stakeholdern korrekt zu verhalten – dies ist eigentlich schon lange inakzeptabel und stellt zudem einen bedeutenden Wettbewerbsnachteil für europäische Unternehmen dar. Vor diesem Hintergrund ist einiges an diesem fundamentalen Reformvorschlag sehr begrüssenswert: die Harmonisierung auf europäischer Ebene führt dazu, dass datenschutzrechtlich europaweit für alle die gleichen, vorhersehbaren Vorschriften gelten werden. Jedes Unternehmen in Europa ist einer einzigen Aufsichtsbehörde an ihrem Sitz unterstellt. Damit dürfte die Rechtssicherheit sowohl für Unternehmen als auch für Betroffene zumindest stark verbessert werden. Auch der Anspruch der extra-territorialen Geltung ist grundsätzlich begrüssenswert und verhindert Wettbewerbsnachteile für europäische Unternehmen. Andererseits ist bei vielen geplanten Regelungen gänzlich unklar, wie diese in der Praxis umgesetzt werden können, resp. schon nur, wie diese genau auszulegen sind. Schlussendlich dürften die diversen neuen Meldepflichten und auch die neuen Einwilligungsvorschriften den Umgang mit Daten sehr kompliziert machen und die Innovationskraft des E-Commerce stark behindern. Ob das aus Sicht der Verbraucher im Netz wirklich wünschenswert ist, erscheint zumindest fraglich.
Insbesondere aufgrund des extra-territorialen Geltungsbereichs sollte die weitere Entwicklung auch von schweizerischen Unternehmen verfolgt werden. Dies gilt umso mehr, weil der Bundesrat in seinem Datenschutzbericht von Ende 2011 erklärt hat, er wolle bei der Revision des schweizerischen Datenschutzrechts auch den Entwicklungen in der EU Rechnung tragen (vgl. BR-News vom 15.12.2011).
Weitere Informationen:
- Datenschutz-Grundverordnung (Entwurf)
- Richtlinie 95/46/EG
- Website der europäischen Kommission zum Thema
- BR-News: «Bundesrat will Datenschutz stärken und an technologische Entwicklung anpassen«
- BR-News: ««Cookie-Richtlinie» der EU bisher nur in wenigen Staaten umgesetzt«
Ansprechpartner: Lukas Bühlmann