Einfach, schnell und neutral informiert
Aussenpolitik > EU
EU-Datenschutzgrundverordnung und ihre Auswirkungen auf die Schweiz

Welche Rechte hat der einzelne Bürger über seine persönlichen Daten? Wie sollen personenbezogene Daten von Unternehmen und öffentlichen Stellen verarbeitet werden? Seit dem 25. Mai 2018 regelt solche Fragen die Datenschutzgrundverordnung der Europäischen Union (DSGVO). Diese betrifft nicht nur die EU, sie hat auch auf Schweizer Bürger/innen und Unternehemen einen grossen Einfluss.

Historisch gesehen sollten Datenschutzgesetzte vor einem zu umfassenden Überwachungsstaat schützen. Bei der DSGVO geht es aber nicht nur um das Verhältnis zwischen Bürger und Staat. Auch das Verhältnis zwischen Konsument und Unternehmen wird miteingeschlossen. Vor allem dies hat zu dem grossen öffentlichen Interesse an der EU-Verordnung gesorgt. Sie ist ein erster Versuch, mit regionalen Datenschutzregeln die global tätigen Online-Firmen wie Google und Facebook zu einem anderen Verhalten zu bewegen.

Datenschutzgrundverordnung

Mit der neuen Verordnung werden Reglemente aus dem Jahre 1995 erneuert. Damit sollen die rechtliche Grundlagen EU-weit vereinheitlicht werden. Zudem wurde nach mehr als 20 Jahren auch eine Anpassung an die neuen Bedingungen des digitalen Zeitalters nötig.

Die Rechtssicherheit soll mit der Verordnung sowohl für Unternehmen wie auch für Bürger verbessert werden. Weiter soll das Vertrauen der Bürger in den digitalen Markt innerhalb der EU gestärkt werden.

Konkret wird die Kontrolle der Bürger über die Personendaten faktisch ausgeweitet. Zwar steht schon in der EU-Grundrechtscharta, dass persönliche Daten nur nach Zustimmung der Betroffenen verwendet werden dürfen, konkret wird das aber erst mit dieser Verordnung umgesetzt. Unternehmen werden stärker zur Verantwortung gezogen und die Meldepflicht gegenüber den Kunden und den Behörden wird erweitert. Allgemein wird auch die Rolle der Datenschutzbehörden ausgebaut.

Anwendbarkeit

Da es sich um eine EU-Verordnung handelt, sind die Änderungen auf alle Akteure, die auf dem Gebiet der Europäischen Union tätig sind, unmittelbar anwendbar. Eine weitere Umsetzung in den einzelnen EU-Mitgliedstaaten ist also nicht nötig (siehe „Einfach erklärt“).

Sachlicher Anwendungsbereich

Die Verordnung betrifft Daten, die folgende Kriterien erfüllen. Es muss sich um personenbezogene Daten handeln. Also Daten, die einer bestimmten Person zugeordnet sind oder zugeordnet werden können. Dies können beispielweise Namen, Telefonnummern, Ausweisnummern oder E-Mailadressen sein, um nur einige zu nennen.

Zudem müssen die Daten entweder ganz oder teilweise automatisiert verarbeitet werden, oder in einem Datensystem gespeichert sein. Solange die Daten in der EU verarbeitet werden, macht es auch keinen Unterschied, ob es sich um Daten einer EU-Bürgerin, einer in der EU wohnhaften Person oder irgendeiner anderen Person handelt.

Räumlicher Anwendungsbereich

Entscheidend ist auch, wo genaue die Regeln zur Anwendung kommen. Diese ist nämlich nicht auf das Gebiet der EU beschränkt. Es gibt zwei Kriterien die beachtet werden müssen.

Sofern entweder die verantwortliche Unternehmung oder die Unternehmung, welche den Auftrag bearbeitet, einen Sitz in der EU hat, ist die Verordnung anwendbar (Kriterium der Niederlassung).

Wenn also ein Schweizer Unternehmen einem EU-Unternehmen den Auftrag gibt, gewisse Daten zu verarbeiten, oder umgekehrt, wird die DSGVO angewendet. Denn in beiden Fällen ist entweder das verantwortliche oder das ausführende Unternehmen in der EU.

Beim zweiten Kriterium ist nicht der Ort der Verarbeitung oder des Verantwortlichen Unternehmens relevant. Hier geht es darum, wo sich die Personen aufhalten, über welche personenbezogene Daten verarbeitet werden (Kriterium des Zielmarktes).

Wenn die Bearbeitung Waren oder Dienstleitungen betrifft, welche für Kunden in der EU bestimmt sind, so ist die DSGVO anwendbar.

Wenn beispielsweise ein in der Schweiz ansässiges Unternehmen Uhren über einen Online-Shop an Personen mit einem Wohnsitz in der EU verkauft, dann ist die DSGVO anwendbar. Dies, weil das Schweizer Unternehmen seine Waren Personen in der EU anbietet.

Rechte der betroffenen Personen

Die Rechte der Einzelpersonen werden, wie bereits erwähnt, massiv ausgebaut. Sie können nun vom Unternehmen, welches Ihre Daten verarbeitet, folgende Rechte in Anspruch nehmen:

Sie haben umfangreiche Auskunfts- und Informationsrechte. Bereits wenn Daten erhoben werden, müssen Sie darüber informiert werden wer, wofür, welche Daten sammeln will (Recht auf Information). Weiter muss Ihnen Auskunft gegeben werden, wenn Sie wissen wollen ob Daten erhoben werden oder nicht (Auskunftsrecht). Dies beinhaltet auch das Recht auf weitere Informationen zu den Daten und das Recht auf eine Kopie. Einige grosse Unternehmen setzten dies schon relativ pragmatisch um und erlauben einen automatischen Bezug der gesammelten Daten. Wenn Ihre Daten berichtigt, gelöscht oder die Datennutzung eingeschränkt wird, muss Ihnen dies mitgeteilt werden (Mitteilungsrecht). Ein letztes Informationsrecht ist zudem, dass Recht auf Benachrichtigung über Datenschutzverletzungen. Folglich muss Ihnen mitgeteilt werden, wenn es z.B. eine Sicherheitslücke gab und Ihre Daten anderweitig verwendet wurden.

Auch die Mitbestimmungsrechte sind deutlich umfassender als zuvor. Zur Datenerhebung müssen Konsumenten/Benutzer o.ä. ihre explizite Zustimmung geben und können diese auch zurückziehen. Weiter können Sie verlangen, dass Ihre Daten so schnell wie möglich berichtigt oder ergänzt werden (Recht auf Berichtigung). Auch die komplette Löschung der Daten können Sie verlangen (Recht auf Löschung). Letzteres ist auch unter dem «Recht auf Vergessenwerden» bekannt. Allerdings steht dieses teilweise im Konflikt mit der Pressefreiheit und ist dadurch beschränkt. Ebenfalls nur in bestimmten Fällen können Sie verlangen, dass Ihre Daten nur eingeschränkt bearbeitet werden. Dieses Recht auf Einschränkung der Bearbeitung ist also nicht umfassend sondern selbst beschränkt.

Personalisierte Daten sind ein Gut geworden, dass auch für Sie als Kunde selbst wertvoll und nützlich sein kann. Deshalb können Sie verlangen, dass Ihre Daten in strukturierten und maschinenlesbarer Form an beispielsweise einen anderen Anbieter übermittelt werden (Recht auf Datenübertragbarkeit). Weiter wurde früher oft die Nutzung einer Online-Dienstleistung an die Zustimmung zu umfangreicher Datenerhebung gekoppelt. Durch das Koppelungs-Verbot dürfen nur Datenerhebungen, die für die Erbringung einer Leistung unabdingbar sind, in einer solchen Art und Weise praktisch aufgezwungen werden.

Ausserdem versucht die Verordnung den Einfluss gesammelter Daten auf essentielle Entscheidungen zu reduzieren. Eine Entscheidung, die auf Sie rechtliche Wirkung entfaltet, darf demnach nicht ausschliesslich auf der automatisierten Bearbeitung Ihrer Daten beruhen (Recht auf Verzicht auf eine automatisierte Entscheidung im Einzelfall). Solch eine Entscheidung könnte beispielsweise der Zugang oder die Verweigerung des Zugangs zu einer Universität sein. Dieser muss zumindest auch zu Teilen von einem Mitarbeiter bearbeitet worden sein.

Pflichten der betroffenen Unternehmen

Während wir als Bürger und Konsumenten gewisse Rechte haben, haben Unternehmen, die personalisierte Daten bearbeiten, Pflichten.

Eine grundlegende Pflicht ist die Rechenschaftspflicht des verantwortlichen Unternehmens. Demzufolge müssen die verantwortlichen Unternehmen die Einhaltung der DSGVO Grundsätze aktiv nachweisen können.

Darauf basiert auch die Beweislastumkehr. Diese hat eine grosse Bedeutung für die obengenannten Rechte. Denn für Sie als Konsument ist es nahezu unmöglich zu beweisen, dass Ihre Daten beispielsweise nicht gelöscht wurden. Daher liegt die Verantwortung dies zu beweisen nicht beim Konsumenten, sondern beim Unternehmen.

Es ist weiter eine Pflicht der Unternehmen, die Sicherheit der Bearbeitungsvorgänge zu gewährleisten. Nur mit angemessenen technischen und organisatorischen Sicherheitsmassnahmen kann verhindert werden, dass es überhaupt zu Datenschutzverletzungen kommt, über die man die Kunden informieren müsste.

Sollte es doch zu einer Verletzung des Schutzes von Personendaten gekommen sein, so müssen nicht nur die Kunden informiert werden. Auch die nationalen Aufsichtsbehörden sind darüber zu informieren. Dies regelt die Pflicht Verletzungen an Aufsichtsbehörden zu melden.

Unternehmen müssen aber nicht nur Pflichten erfüllen. Sie können es auch als Vorteil sehen, dass nun in der ganzen EU und bald auch im europäischen Wirtschaftsraum (EU+ Lichtenstein, Norwergen, Island) einheitliche Regeln herrschen. Zwar können vereinzelt noch kleine Unterschiede bestehen. Allgemein wurde aber der administrative Aufwand für Unternehmen durch die Standardisierung massiv reduziert. Insbesondere für diejenigen, welche in verschiedenen Ländern aktiv sind.

Anwendbarkeit in der Schweiz

Schweizer Einzelpersonen

Praktisch wenden viele grosse Unternehmen wie Facebook oder Whatsapp die EU-Regeln direkt auch in der Schweiz an. In diesen Fällen profitieren die Bürger direkt von den neuen Rechten.

Aber auch wenn ein EU Unternehmen für die Datenerhebung verantwortlich ist, oder diese in der EU bearbeitet werden, ist die Verordnung anwendbar. Dann können auch Schweizer Bürger/innen von der EU-Verordnung profitieren.

Schweizer Unternehmen

Ob ein Schweizer Unternehmen von der DSGVO betroffen ist, hängt von den oben aufgeführten Kriterien der Niederlassung und des Zielmarktes ab.

Das Kriterium der Niederlassung ist wie gesagt, wenn eine europäische Zweigstelle oder Tochtergesellschaft eines Schweizer Unternehmens die Daten erhebt. Zudem ist die Verordnung auch anwendbar, wenn ein Schweizer Dienstleister die Daten für einen Unternehmen verarbeitet, das in der EU ansässig ist.

Ein Schweizer Unternehmen muss sich auch an die DSGVO halten, wenn es die Ware oder Dienstleistung an Kunden in der EU richtet. Dabei geht es um das Kriterium des Zielmarktes. Dies ist gerade bei IT-Dienstleistungen nicht immer einfach zu definieren. Bei der Ermittlung können aber nebst Angebotssprache oder -währung auch Faktoren wie die Angabe einer Telefonnummer mit internationaler Vorwahl oder die Wegbeschreibung aus einem Mitgliedstaat zum Schweizer Unternehmen eine Rolle spielen.

Je nach Verhalten der Unternehmen und Privatpersonen wirkt die EU-Verordnung also auch in der Schweiz.

Anpassung an EU-Gesetzgebung

Darüber hinaus wird das Schweizer Datenschutzgesetz nun an die europäische Verordnung angepasst. Damit wird sichergestellt, dass die Schweiz von der EU weiterhin als Drittstaat mit einem "angemessenen Datenschutzniveau" anerkennt wird. Die grenzüberschreitende Datenübermittlung bleibt so weiterhin möglich. Insbesondere für die Schweizer Wirtschaft ist dies von grosser Bedeutung. Eine umfangreichere Überarbeitung des Datenschutzgesetzes wird vom Schweizer Parlament dann in einem zweiten Schritt vorgenommen. Durch diese Auftrennung der Reform wird sichergestellt, dass das Schweizer Recht möglichst schnell an die EU angeglichen wird. Sobald dies der Fall ist, können Schweizer Konsumenten auch beim Kontakt mit Schweizer Unternehmen von obengenannten oder ähnlichen Rechten profitieren.

Sanktionen

Obwohl die Verordnung die Regeln europaweit Standardisiert, bleibt die Durchsetzung Sache der nationalen Datenschutzbehörden. Diese behandeln Beschwerden und erteilen bei Fehlverhalten Sanktionen.

Als Sanktionsmittel werden Geldbussen eingesetzt. Diese sollen wirksam, verhältnismässig und abschreckend sein. Je nach Vergehen können die Behörden bis zu 20 Millionen Euro oder 4% des globalen Jahresumsatzes als Strafzahlung verhängen. Bei einem grossen sozialen Netzwerk können 4% des Umsatzes eine Strafe von deutlich über einer Milliarde Euro bedeuten. Allerdings benötigen die EU-Behörden für die Durchsetzung von Bussen in der Schweiz die Bewilligung aus Bern.

Schliesslich ist klar, dass die DSGVO grosse Änderungen mit sich bringt. Diese haben auf Schweizer Bürger und Unternehmen sowohl direkt wie auch indirekt einen grossen Einfluss.


Literaturverzeichnis [ ein-/ausblenden ]


Text weiterempfehlen:  

Jetzt informiert bleiben!

Im­mer ein­fach und schnell Be­scheid wis­sen ü­ber Ab­stim­mun­gen und ak­tuel­le po­li­ti­sche The­men!

Tra­gen Sie sich kos­ten­los ein und wir in­for­mie­ren Sie acht mal pro Jahr ü­ber das Er­schei­nen der neus­ten In­for­ma­tio­nen.

Ihre E-Mail:

Text bewerten:

Sie haben den Text gelesen?
Bitte bewerten Sie ihn, damit wir unsere Qualität weiter sichern können. Danke!

Neutralität:
Einfachheit:
Gesamthaft:
Verbesserungsvorschläge / Feedback
optional
Zusammenfassung

EU-Datenschutzgrundverordnung

Die EU-­Da­ten­schutz­ver­ord­nung (DSGVO) re­gelt den Um­gang mit per­so­nen­be­zo­ge­nen Da­ten. Sie gibt Pri­vat­per­so­nen um­fang­rei­che Rechte und legt Un­ter­neh­men Pflich­ten auf.

Damit ver­sucht die EU das Ver­hal­ten von welt­weit täti­gen In­ter­net-Un­ter­neh­men zu be­ein­flus­sen. Deren Ge­schäfts­mo­dell ba­siert oft stark auf der Ver­ar­bei­tung von Da­ten. Somit haben Sie einen An­reiz per­so­nen­be­zo­gene Daten in gros­sem Um­fang zu sammeln.

Rechte und Pflichten

Kunden er­hal­ten um­fas­sende Rechte was In­for­ma­tion, Mit­be­stim­mung und Nut­zung ihrer Daten an­geht. Gleich­zei­tig wer­den Un­ter­neh­men ver­pflich­tet die Ein­hal­tung der Re­geln nach­zu­wei­sen und aus­rei­chende Schutz­mass­nah­men zu ergreiffen.

Anwendbarkeit

Die Be­stim­mun­gen sind primär auf die EU-­Mit­glieds­staa­ten aus­ge­rich­tet. Sie ent­fal­ten aber auch darü­ber hin­aus eine starke Wir­kung. Zudem wird das Schwei­zer Da­ten­schutz­ge­setzt bald der DSGVO an­ge­passt. Dann kön­nen auch Schwei­zer/in­nen voll­um­fäng­lich von den neuen Rech­ten profitieren.

Einfach erklärt

EU Verordnung

Eine Verordnung ist ein Mit­tel mit dem die Eu­ropäi­sche Union Um­stände eu­ro­pa­weit ein­heit­lich re­gelt. Die Verordnung un­ter­schei­det sich von der EU Richtlinie.

Bei der Richt­li­nie gibt die EU le­dig­lich einen all­ge­mei­nen Rah­men vor. Jedes Mit­glieds­land kann die Regulierung mit einem ge­wis­sen Spiel­raum im ei­ge­nen, na­tio­na­len Recht um­set­zen. Die Verordnung hin­ge­gen ist di­rekt an­wend­bar. Sach­ver­halte wer­den in der Verordnung de­tail­liert ge­re­gelt und da­durch auch eu­ro­pa­weit noch ein­heit­li­cher durch­ge­setzt als bei einer Richtlinie.

Bei der DSGVO han­delt es sich, wie ge­sagt, um eine Verordnung. Dem­zu­folge ist sie di­rekt an­wend­bar und ver­ein­heit­licht die Re­geln zum Da­ten­schutz eu­ro­pa­weit stark.

Anpassung an EU-Recht

Die Schweiz muss ihr Da­ten­schutz­ge­setzt nicht zwin­gend der EU an­glei­chen. Es gibt aber meh­rere Grün­de, warum sie dies höchst­wahr­schein­lich trotz­dem tun wird.

Einerseits ist es für IT-­Dienst­leis­ter wich­tig, dass die Schweiz von der EU als Land mit an­ge­mes­se­nem Da­ten­schutz ak­zep­tiert wird. So blei­ben Ar­beitsplätze er­hal­ten. An­de­rer­seits pro­fi­tie­ren Schwei­zer Bür­ger so auch von den neuen Rech­ten. Aus­ser­dem, er­höht die An­pas­sung auch die Rechts­si­cher­heit für Schwei­zer Un­ter­neh­men und sol­che die in der Schweiz in­ves­tie­ren wollen.

Kommentare von Lesern zum Artikel

[ Neuen Kommentar verfassen ]

Noch keine Beiträge vorhanden. Schreiben Sie den ersten!

Neuen Kommentar verfassen

Sie müssen als User, Newsletter-Abonnent oder Gönner von Vimentis oder bei Facebook registriert sein, um auf diese Seite zugreifen zu können. Bitte loggen Sie sich ein oder registrieren Sie sich kostenlos:

Auf Vimentis direkt einloggen..
 
 ... oder mit Ihrem Facebook-Account
 
E-Mailadresse:
Passwort:

Haben Sie Ihr Passwort vergessen?