Die DSGVO tritt am 25. Mai 2018 in Kraft und gilt für alle Akteure, die in der Europäischen Union (EU) tätig sind, das heisst, für alle Unternehmen, die Waren und Dienstleistungen an Personen in der EU liefern (z. B. über Websites für elektronischen Geschäftsverkehr oder andere Online-Handelsplattformen), sowie für Unternehmen, die das Verhalten von Personen anhand personenbezogener Daten analysieren. Die Tragweite der Verordnung ist enorm und betrifft auch nicht-europäische Unternehmen sowie Unternehmen aus der Schweiz, die Daten von EU-Bürgern (Art. 3) verarbeiten/handhaben. Die DSGVO sollte nicht auf die leichte Schulter genommen werden: Bei Verstössen sind empfindliche Geldbussen in Höhe von bis zu 20 Millionen Euro oder 4 % des globalen jährlichen Gesamtumsatzes möglich.
Mehr Rechte für Bürger
Durch die neue Verordnung werden die Rechte von EU-Bürgern gestärkt: Sie müssen in transparenter und verständlicher Weise, präzise und vollständig über die Verarbeitung ihrer Daten informiert werden, insbesondere, wenn es sich um Daten Minderjähriger handelt (Art. 11-14). Sie haben darüber hinaus das Recht, zu erfahren, ob Daten zu ihrer Person verarbeitet werden, und müssen jederzeit Zugang zu diesen Daten sowie gegebenenfalls zu ergänzenden Informationen erhalten (Auskunftsrecht, Art. 15). Sie können ausserdem die Berichtigung oder Vervollständigung ihrer Daten (Art. 16) sowie deren Löschung («Recht auf Vergessenwerden», Art.17) verlangen. In bestimmten Fällen können Datensubjekte eine Einschränkung der Verarbeitung ihrer personenbezogenen Daten einfordern (Art. 18). Dann dürfen die vorhandenen Daten zwar gespeichert bleiben, dürfen aber nicht mehr weiter genutzt werden. Darüber hinaus müssen alle Nutzer personenbezogener Daten über jede Korrektur, Löschung oder Einschränkung der Verarbeitung informiert werden (Art. 19). Die Betroffenen haben ein Anrecht darauf, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln (Recht auf Datenübertragbarkeit, Art. 20). Sie dürfen der Verarbeitung ihrer Daten jederzeit widersprechen, so z. B. auch der Verwendung für Direktmaketingaktivitäten (Art. 21), und haben das Recht, nicht einer ausschliesslich auf einer automatisierten Verarbeitung – einschliesslich Profiling – beruhenden Entscheidung unterworfen zu werden (Art. 22). Nicht zuletzt haben Datensubjekte das Recht, über eine Verletzung des Schutzes ihrer personenbezogenen Daten informiert zu werden (Art. 34).
Die aktive Rolle der Unternehmen
Unternehmen, die mit Daten von EU-Bürgern arbeiten und diese selbst oder durch Dritte verarbeiten lassen, müssen nicht nur die vorgenannten erhöhten Transparenz- und Informationsanforderungen erfüllen, sondern auch die ausdrückliche Zustimmung der Datensubjekte zur Erhebung und Verarbeitung der Daten einholen (Art. 6-8). Ihre Rolle ist nun wesentlich aktiver und durch verschärfte Pflichten geprägt, nicht nur in Bezug auf auf die förmliche Einhaltung aller Regelungen, sondern auch in Bezug auf die Anwendung von technischen und organisatorischen Massnahmen. Diese müssen zum einen jederzeit den Schutz der Daten gewährleisten («eingebauter Datenschutz», Art. 25) und zum anderen sicherstellen, dass durch Voreinstellungen grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden («datenschutzfreundliche Voreinstellungen», Art. 25). Von bestimmten Ausnahmen abgesehen (Unternehmen mit weniger als 250 Mitarbeitern, jedoch nur dann, wenn sie ausschliesslich Verarbeitungsaktivitäten vornehmen, die kein Risiko für die Betroffenen darstellen), müssen Unternehmen ein Verzeichnis aller Verarbeitungstätigkeiten führen (erforderliche Inhalte siehe Art. 30). Die technischen und organisatorischen Massnahmen zum Schutz personenbezogener Daten müssen angemessen sein (Art. 32) und gewährleisten, dass eventuelle Datenschutzverstösse sofort erkannt und innerhalb von 72 Stunden sowohl den zuständigen Aufsichtsbehörden (in der Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) als auch der betroffenen Person gemeldet werden (Verletzung des Schutzes personenbezogener Daten, Art. 33-34). Ist mit der Verarbeitung ein erhöhtes Risiko verbunden, so müssen Unternehmen vorab eine Risikobewertung vornehmen (Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten, Art. 35). Ist eine regelmässige, systematische und umfangreiche Überwachung der betroffenen Personen erforderlich oder erfolgt eine sehr umfangreiche Verarbeitung personenbezogener Daten (Art. 37-39), sind Unternehmen verpflichtet, einen Datenschutzbeauftragten zu benennen (DSB oder auch Data Protection Officer, DPO), der intern oder extern gestellt werden kann. Datenverarbeitungsunternehmen, die nicht in der EU ansässig sind, aber dennoch der DSGVO unterliegen, müssen einen Vertreter in der EU ernennen (Art. 27). Ein Verstoss gegen diese Vorschrift kann mit einer Strafe von bis zu 10 Millionen Euro geahndet werden (Art. 27 und Art. 83 Abs. 4).
Wie stellt sich die Schweiz auf die neue Rechtslage ein?
Die rechtliche Situation in der Schweiz entwickelt sich im Gleichschritt mit der neuen europäischen Rechtslage. Das Schweizerische Bundesgesetz über den Datenschutz (DSG) wird derzeit überarbeitet, um es mit den neuen europäischen Vorgaben kompatibel zu machen. Die Kommission der politischen Institutionen des Nationalrats fordert allerdings, dass die Angleichung in mehreren Etappen erfolgt. Zunächst müssen Schritt für Schritt die erforderlichen Anpassungen an das Europäische Recht vorgenommen werden. Erst danach ist eine vollständige Überarbeitung des Gesetzes über den Datenschutz möglich. Von schweizerischer Seite aus ist also der Gang der politischen Entwicklung abzuwarten, die sicherlich noch einige Zeit in Anspruch nehmen wird.
Haftungshinweis: Dieser Artikel dient ausschliesslich zu Informationszwecken und stellt keine rechtliche oder professionelle Beratung dar. Wir übernehmen keinerlei Haftung für Schäden, die durch Fehler oder Auslassungen in diesem Artikel entstehen.
