Die Deadline ist gesetzt. Bereits im 2015 soll sie unter Dach und Fach sein1: die neue, Europäische Datenschutzverordnung, ein Alptraum für viele Firmen, besonders für internationale und amerikanische Unternehmen, die in Europa oder mit europäischen Bürgern gute Geschäfte machen.
1.
Räumliche Ausdehnung des europäischen Datenschutzrechts auf Nicht-EU-Länder ^
Problematisch ist jedoch Art. 3 Abs. 2 der EU-Datenschutzverordnung4: Sie soll künftig auch dann gelten, wenn ausländische Firmen ohne Niederlassung in der EU personenbezogene Daten von EU-Bürgern verarbeiten, um diesen in der EU Waren oder Dienstleistungen anzubieten oder wenn die Datenverarbeitung der Beobachtung von Unionsbürgern dient5 (zum Beispiel bezüglich des Verhaltens und der Vorlieben von Kunden im Rahmen des analytischen Customer Relationship Managements oder mit Hilfe von Tracking-Technologien). Firmen, die hier in der Schweiz Daten ihrer europäischen Kunden bearbeiten, müssten also die Datenschutzverordnung beachten, selbst wenn sie in der EU keine Zweigniederlassung oder sonstige Präsenz haben. Selbst amerikanische Cloud-Anbieter, welche die Daten von europäischen Bürgen in den USA «hosten», würden in vielen Fällen direkt von den neuen EU-Datenschutzregeln erfasst6.
2.
Strafen bis zu 5 Prozent des Weltumsatzes ^
Bereits der ursprüngliche Entwurf der EU-Kommission hatte es in sich9. Er sah bei Verstössen gegen den Datenschutz eine Geldstrafe von bis zu 5 Prozent des weltweiten Jahresumsatzes vor10. Dies passte den Unternehmenslobbyisten gar nicht. Sie hatten daher diesen Wert zwischenzeitlich auf 2 Prozent heruntergehandelt11. Ein Ausschuss des Europäischen Parlamentes hat nun aber diesen Betrag – eine mögliche Auswirkung der Snowden-Affäre12 – in einer Abstimmung vom 21. Oktober 2013 wieder erhöht. Laut dem aktuellen Entwurf müssen Unternehmen künftig für Datenschutzverletzungen Geldbussen von bis zu 5 Prozent ihres weltweiten Jahresumsatzes oder bis zu 100 Millionen Euro, je nachdem welcher der beiden Beträge in einem konkreten Fall höher ist, an die datenschutzrechtlichen Aufsichtsbehörden abliefern (Art. 79 Abs. 2a des Entwurfes13). Das kann richtig wehtun und die Unternehmenskasse erheblich schmälern. Ein fiktives Beispiel: Ein internationaler Konzern erzielt einen jährlichen weltweiten Umsatz von rund 22 Milliarden US-Dollar und einen weltweiten Nettogewinn von 2.7 Milliarden US-Dollar. 5 Prozent von 22 Milliarden US-Dollar ergeben 1.1 Milliarden US-Dollar. Vom weltweiten Nettogewinn bleibt nach dem Abzug der Busse von 1.1 Milliarden US-Dollar noch ein Gewinn von 1.6 Milliarden US-Dollar. Der ursprüngliche weltweite Nettogewinn wird also um 40.7 Prozent geschmälert. Dies ist ein stolzer Betrag, namentlich wenn man bedenkt, dass solche Bussen für neue oder andere Datenschutzverletzungen des gleichen Unternehmens erneut verhängt werden können.
3.
Gleicher Datenschutzstandard für alle EU-Mitglieder ^
4.
Einfachere Rechtsdurchsetzung mit einer Datenschutzbehörde als Ansprechpartner ^
Bürger und Unternehmen der EU werden sich künftig auch nur noch an eine Datenschutzbehörde als Ansprechpartnerin wenden müssen (sog. «One-Stop-Shop-Ansatz» oder Prinzip einer zentralen Anlaufstelle)18. Dies bedeutet einerseits, dass EU-Bürger eine Beschwerde selbst dann an die Datenschutzbehörde in ihrem Mitgliedstaat richten können (Art. 73 des Entwurfes)19, wenn sich die Hauptniederlassung des Unternehmens, dessen Datenbearbeitungen als unrechtmässig beanstandet werden, in einem anderen EU-Staat befindet. Gerade dies dürfte die Rechtsdurchsetzung bis zu einem gewissen Grad erleichtern. Denn nach dem bisher geltenden EU-Datenschutzrecht ist dafür die Behörde des Landes zuständig, in dem das Unternehmen seine Hauptniederlassung hat20. Trotz dieser neuen Beschwerdemöglichkeit im eigenen Mitgliedstaat: Bei der Rechtsdurchsetzung hapert es – auch nach dem voraussichtlich künftigen EU-Datenschutzrecht21.
Anderseits kommt das Prinzip einer zentralen Anlaufstelle auch dadurch zum Ausdruck, dass Unternehmen in der EU künftig nur noch mit der Datenschutzbehörde desjenigen Mitgliedstaates zusammenarbeiten müssen, in dem sich ihre Hauptniederlassung befindet (vgl. dazu Art. 4 Abs. 13 in Verbindung mit Art. 52 Abs. 2 und Art. 54a des Entwurfes)27. Die Hauptniederlassung eines Unternehmens befindet sich in der Regel an dem Ort, an dem die Grundsatzentscheidungen hinsichtlich der Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten getroffen werden (Art. 4 Abs. 13 des Entwurfes28). Wird allerdings darüber nicht in der Europäischen Union entschieden, sondern zum Beispiel in einer Konzernzentrale in Sydney, Hong Kong oder New York, gilt als Hauptniederlassung der Ort, an dem die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung in der Union hauptsächlich stattfinden (Art. 4 Abs. 13 des Entwurfes29).
5.
Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten ^
Betriebliche Datenschutzbeauftragte (Data Protection Officers30) sollen in der gesamten EU eine Rechtspflicht werden. Für viele Firmen mag es tröstlich sein, dass diese Pflicht erst gelten soll, wenn innerhalb eines Jahres die Daten von mehr als 5000 Menschen verarbeitet werden (Art. 35 Abs. 1 lit. b des Entwurfes31). Laut dieser Definition müsste zum Beispiel ein Unternehmen mit 40 Angestellten über einen Datenschutzbeauftragten verfügen, wenn es innerhalb eines Jahres neben den Mitarbeiterdaten zusätzlich noch die Daten von über 4'960 Kunden bearbeiten würde (zum Beispiel ein Hotel mit über 4'960 Übernachtungen pro Jahr). Zahlreiche kleine Betriebe, die diesen Schwellenwert nicht erreichen, müssten also keinen betrieblichen Datenschutzbeauftragten einsetzen – wenn es allein auf diese Voraussetzungen ankommen würde.
6.
Explizite Einwilligung ^
7.
Meldung von Datenschutzverstössen spätestens innerhalb von 72 Stunden ^
Laut Art. 31 des Entwurfes der neuen EU-Datenschutzverordnung (sowie der zugehörigen Erläuterungen) müssen Datenschutzverletzungen künftig spätestens innerhalb von 72 Stunden den Aufsichtsbehörden gemeldet werden (der Entwurf vor der Abstimmung vom 21. Oktober 2013 sah sogar eine Meldepflicht innerhalb von 24 Stunden vor)51. Falls die Benachrichtigung innerhalb dieser Frist nicht möglich ist, sind die Gründe für die Verzögerung darzulegen52. Zudem muss unmittelbar im Anschluss an diese Meldung in der Regel auch die Person informiert werden, die von der Datenschutzverletzung betroffen ist (Art. 32 des Entwurfes53). Immerhin muss diese zweite Meldung nur dann erfolgen, wenn die Wahrscheinlichkeit besteht, dass der Schutz der personenbezogenen Daten oder der Privatsphäre der betroffenen Person durch eine festgestellte Verletzung des Schutzes personenbezogener Daten beeinträchtigt wird. Beispiele für eine solche Beeinträchtigung sind ein Identitätsdiebstahl, ein Identitätsbetrug, eine physische Schädigung, eine erhebliche Demütigung oder eine Rufschädigung54. Verpflichtet zu diesen Meldungen ist der für die Verarbeitung Verantwortliche, also im Unternehmensbereich die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Entwurf Art. 4 Abs. 5 in Verbindung mit Art. 3155).
8.
Datenschutz-Folgenabschätzung ^
Neu wird voraussichtlich auch eine Datenschutz-Folgenabschätzung notwendig sein, wenn die betreffenden Datenverarbeitungsvorgänge konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen (Art. 33 in Verbindung mit Art. 32a des Entwurfes56). Von einem spezifischen Risiko geht der Entwurf immer automatisch dann aus, wenn ein Unternehmen innerhalb von einem Jahr Daten von mehr als 5'000 Menschen bearbeitet (Art. 32a Abs. 2 lit. a des Entwurfes57). Eine Datenschutz-Folgenabschätzung wird auch bei der Bearbeitung von besonderen Kategorien von Daten erforderlich sein (wie zum Beispiel bei Gesundheitsdaten, personenbezogenen Ortsdaten, Daten über Kinder, biometrische und genetische Daten, vgl. dazu Art. 32a Abs. 2 lit. b des Entwurfes58). Bei Auswertungen oder Profilerstellungen, die als Grundlage für Massnahme dienen, welche Rechtswirkungen oder andere erhebliche Auswirkungen für die betroffene Person zur Folge haben, schreibt die EU-Datenschutzverordnung ebenfalls eine Datenschutz-Folgenabschätzung vor (Art. 32a Abs. 2 lit. c des Entwurfes59). Neben diesen gibt es noch andere Fälle.
9.
Datenschutzfreundliche Voreinstellungen und Datenschutz durch Technik ^
Der Datenschutz soll zudem künftig bereits beim Produkt-Design berücksichtigt werden (Art. 23 Abs. 1 des Entwurfes). Unternehmen werden sich daher vermehrt Gedanken machen müssen, wie sie den Datenschutz bereits bei der Entwicklung ihrer Produkte und Dienstleitungen berücksichtigen können63.
10.
Frühzeitige Vorkehrungen und Planungen ^
Dies sind nur einige der wichtigsten Erneuerungen (Eckpunkte), die sich im Entwurf der künftigen EU-Datenschutzverordnung finden. Es gibt noch andere. Wann genau die EU-Datenschutzverordnung in Kraft treten wird, ist im Moment zwar noch offen. Und einzelne Modifikationen sind durchaus noch möglich. Klar ist allerdings: Alle Unternehmen, insbesondere auch die schweizerischen Firmen, die ihre Dienstleistungen und Produkte europäischen Bürgern anbieten oder in Europa Handel betreiben, sollten sich schon jetzt im Hinblick auf die neue EU-Datenschutzverordnung entsprechend vorbereiten. Sie sollten zudem ihre Datenbearbeitungsprozesse überprüfen (oder durch betriebsexterne Experten überprüfen lassen) und ihre Datenschutzrisiken mit rechtlichen, organisatorischen und technischen Massnahmen absichern. Zudem sollten sie generell bei der Planung des Jahresbudgets Kosten für datenschutzrechtliche Aufwendungen einstellen. Aus betriebswirtschaftlicher Sicht sind solche Mehrkosten alles andere als erwünscht. Indessen werden weitsichtige Unternehmen diese in Kauf nehmen. Denn welche Firma möchte schon bei ertappten Datenschutzverletzungen − nebst Schadenersatz an die betroffenen Personen − eine Geldbusse von bis zu 5% ihres weltweiten Jahresumsatzes an die Aufsichtsbehörden abliefern müssen?
Dr. iur. Alex Schweizer, LL.M. ist Inhaber der Firma Schweizer Privacy Law (www.privacylaw.ch). Sie ist spezialisiert auf Datenschutz- und Informatikrecht.
- 1 Vgl. zum Beispiel René Höltschi, Digitale Aufholjagd, in: NZZ, vom 25. Oktober 2013, abrufbar unter http://www.nzz.ch/aktuell/wirtschaft/wirtschaftsnachrichten/digitale-aufholjagd-1.18173551 (alle Internetquellen zuletzt besucht am 9. Dezember 2013); ohne Verfasserangabe, Eile bei Bankenunion – Bremse bei Datenschutz, vom 25. Oktober 2013, abrufbar unter http://derstandard.at/1381369875892/EU-Gipfel-draengt-auf-Bankenunion; Patrick Beuth, Der Datenschutztiger (kein Schreibfehler) wird zum Bettvorleger, in: Zeit Online, vom 30. Mai 2013, abrufbar unter http://www.zeit.de/digital/datenschutz/2013-05/eu-datenschutzreform-lobby; vgl. aber auch: Benedikt Wagenitz, Schaar fordert schnelle Umsetzung von EU-Datenschutz, in: Focus online, vom 30. Oktober 2013, abrufbar unter http://www.focus.de/politik/deutschland/nsa-spaehaffaere-schaar-fordert-schnelle-umsetzung-von-eu-datenschutz_aid_1143095.html; siehe auch Niklaus Nuspliger, Datenschutz in der EU − Kampfansage an die Online-Giganten, abrufbar unter http://www.nzz.ch/aktuell/international/auslandnachrichten/kampfansage-an-die-online-giganten-1.18171952.
- 2 Vgl. zum Beispiel Alfred Krüger, EU-Reform: Lobby-Schlacht um Datenschutz, in ZDFheute.de, vom 21. Oktober 2013, abrufbar unter http://www.heute.de/EU-Reform-Lobby-Schlacht-um-Datenschutz-30253900.html; Christoph Fröhlich, Neue EU-Datenschutzverordnung − Copy & Paste in Brüssel, in: stern.de, vom 12. Februar 2013, abrufbar unter http://www.stern.de/digital/online/neue-eu-datenschutzverordnung-copy-paste-in-bruessel-1970211.html; siehe auch die interessante Website http://lobbyplag.eu/map.
- 3 Der aktuellste Entwurf der EU-Datenschutzverordnung ist im Zeitpunkt der Abfassung dieses Beitrags die Version nach der Abstimmung des LIBE-Ausschusses des Europäischen Parlamentes vom 21. Oktober 2013. Dieser inoffizielle Entwurf kann auf der Website von Herrn Jan Albrecht – ein Abgeordneter des Europäischen Parlaments − abgerufen werden. Im vorliegenden Beitrag wird hauptsächlich auf diese neuste Version Bezug genommen. Siehe dazu die folgende Internetadresse: http://www.janalbrecht.eu/themen/datenschutz-und-netzpolitik/alles-wichtige-zur-datenschutzreform.html. Für den direkten Abruf dieses inoffiziellen Entwurfs siehe die Website http://www.janalbrecht.eu/fileadmin/material/Dokumente/DPR-Regulation-inofficial-consolidated-LIBE.pdf.
- 4 Gemäss Entwurf der EU-Datenschutzverordnung nach der Abstimmung vom 21. Oktober 2013 des LIBE-Ausschusses. Siehe dazu Fn. 3.
- 5 Vgl. recitals (Erwägungsgründe) 20–21 of the unofficial consolidated version of the EU Data Protection Regulation (Proposal) after the vote of the Committee on Civil Liberties, Justice and Home Affairs (LIBE) of the European Parliament on October 21, 2013, abrufbar unter http://www.janalbrecht.eu/fileadmin/material/Dokumente/DPR-Regulation-inofficial-consolidated-LIBE.pdf.
- 6 Ariane Mole/Ruth Boardman/Gabriel Voisin, EU Data Protection Regulation: one step forward; in: Industry News of Bird & Birds, vom 22. Oktober 2013, abrufbar unter http://www.twobirds.com/en/news/industry-news-page?page=2.
- 7 Vgl. zum Beispiel Hansueli Schöchli, Das Parlament schluckt die andere «Lex USA», in: NZZ, vom 10. September 2013; siehe dazu auch http://de.wikipedia.org/wiki/FATCA.
- 8 Siehe dazu Hubert Mooser, Die Schweiz wird erneut von den USA erpresst, in: Tages-Anzeiger, vom 13. März 2012, abrufbar unter der Website http://www.tagesanzeiger.ch/schweiz/standard/Die-Schweiz-wird-erneut-von-den-USA-erpresst/story/19016342. Siehe ferner http://de.wikipedia.org/wiki/Biometrischer_Reisepass.
- 9 Der ursprüngliche Entwurf der EU-Datenschutzverordnung, datiert vom 29. November 2011, ist abrufbar unter http://statewatch.org/news/2011/dec/eu-com-draft-dp-reg-inter-service-consultation.pdf.
- 10 Digitalcourage e.V., Datenschutzentwurf im EU Parlament geht in die nächste Runde (Update), in: digitalcourage, vom 10. Januar 2013, abrufbar unter https://www.foebud.org/datenschutz-buergerrechte/datenschutzentwurf-im-eu-parlament; Lüke Falk, EU-Datenschutzverordnung: Gegen den unkontrollierten Datenstrom, in: C`T Magazin für Computer Technik, vom 7. Dezember 2013, abrufbar unter http://www.heise.de/ct/artikel/EU-Datenschutzverordnung-Gegen-den-unkontrollierten-Datenstrom-1391778.html.
- 11 Kai Biermann, Mehr Datenschutz in der EU dank Snowden, in: Zeit Online, vom 18. Oktober 2013, abrufbar unter http://www.zeit.de/digital/datenschutz/2013-10/eu-datenschutzreform-abstimmung-libe/seite-2.
- 12 Fn. 11.
- 13 Fn. 3.
- 14 Fn. 3.
- 15 Fn. 3.
- 16 Jan Philipp Albrecht, Datenschutzgrundverordnung in 10 Punkten, vom 22. Oktober 2013, abrufbar unter http://www.janalbrecht.eu/fileadmin/material/Dokumente/221013_DS-Pressebriefing_Dt..pdf.
- 17 Fn. 16.
- 18 Fn. 16.
- 19 Fn. 16; Claus Hecking, EU-Parlament: Was die neuen Datenschutzregeln bringen sollen, in: Spiegel Online, vom 21. Oktober 2013, abrufbar unter http://www.spiegel.de/netzwelt/netzpolitik/datenschutz-in-europa-das-bedeutet-die-neue-eu-verordnung-a-929083.html. Siehe dazu auch Art. 73 i.V.m. Art. 52 ff. des Entwurfes.
- 20 Vgl. dazu Annette Riedel, Schütze sich wer kann, Das Tauziehen um die neue EU-Verordnung zum Datenschutz, in: dradio.de, vom 18. Oktober 2013, abrufbar unter http://www.deutschlandfunk.de/schuetze-sich-wer-kann.724.de.html?dram:article_id=265334.
- 21 Fn. 20.
- 22 Fn. 3.
- 23 Fn. 3.
- 24 Silke Thole, EU-Rat streitet um Zuständigkeiten bei Datenschutzverstössen, in: haufe.de, vom 10. Oktober 2013, abrufbar unter http://www.haufe.de/recht/datenschutz/eu-rat-streitet-um-zustaendigkeiten-bei-datenschutzverstoessen_224_202010.html; Christiane Schulzki-Haddouti, Europäischer Rat kritisiert Pläne für zentrale Anlaufstelle in der Datenschutz-Grundverordnung, in: heise online, vom 7. Oktober 2013, abrufbar unter http://www.heise.de/newsticker/meldung/Europaeischer-Rat-kritisiert-Plaene-fuer-zentrale-Anlaufstelle-in-der-Datenschutz-Grundverordnung-1973659.html.
- 25 Christiane Schulzki-Haddouti, Europäischer Rat kritisiert Pläne für zentrale Anlaufstelle in der Datenschutz-Grundverordnung, in: heise online, vom 7. Oktober 2013, abrufbar unter http://www.heise.de/newsticker/meldung/Europaeischer-Rat-kritisiert-Plaene-fuer-zentrale-Anlaufstelle-in-der-Datenschutz-Grundverordnung-1973659.html.
- 26 Fn. 25.
- 27 Fn. 16; vgl. auch Schütze sich, wer kann, in: dradio.de, vom 18. Oktober 2013, abrufbar unter http://www.deutschlandfunk.de/schuetze-sich-wer-kann.724.de.html?dram:article_id=265334/.
- 28 Fn. 3.
- 29 Fn. 3.
- 30 Im englischen Sprachraum wird häufig auch die Bezeichnung Privacy Officer oder Chief Privacy Officer (CPO) verwendet.
- 31 Fn. 3.
- 32 Fn. 3.
- 33 Fn. 3.
- 34 Fn. 3.
- 35 Fn. 3.
- 36 Vgl. dazu zum Beispiel Barbara Wimmer, Grünes Licht für EU-Datenschutzpaket, in: futurezone.at, vom 21. Oktober 2013, abrufbar unter http://futurezone.at/netzpolitik/vorentscheidung-zum-eu-datenschutz/31.523.780.
- 37 Fn. 3.
- 38 Fn. 3.
- 39 Fn. 3.
- 40 Fn. 3.
- 41 Fn. 3.
- 42 Fn. 3.
- 43 Fn. 3.
- 44 Fn. 3.
- 45 Fn. 3.
- 46 Fn. 3.
- 47 Fn. 3.
- 48 Ohne genaue Verfasserangabe (sac), EU-Datenschutzverordnung: Ein Schritt vorwärts, zwei Schritte zurück?, in: Unwatched.org, vom 22. Oktober 2013, abrufbar unter http://www.unwatched.org/20131022_EU-Datenschutzverordnung_Ein_Schritt_vorwaerts_zwei_Schritte_zurueck.
- 49 Ohne genaue Verfasserangabe (Apa / reuters), EU-Datenschutz: Was sich für Firmen und Nutzer ändert, in: Salzburger Nachrichten, vom 22. Oktober 2013, abrufbar unter http://www.salzburg.com/nachrichten/welt/politik/sn/artikel/eu-datenschutz-was-sich-fuer-firmen-und-nutzer-aendert-79448/; vgl. auch ohne Verfasserangabe, Mit Icons gegen Facebook und Co.; in: tagesschau.de, vom 21. Oktober 2013, abrufbar unter http://www.tagesschau.de/ausland/datenschutzverordnung100.html.
- 50 Siehe dazu auch Niklaus Nuspliger, Datenschutz in der EU − Kampfansage an die Online-Giganten, vom 23. Oktober 2013, abrufbar unter http://www.nzz.ch/aktuell/international/auslandnachrichten/kampfansage-an-die-online-giganten-1.18171952.
- 51 Erwägungsgrund (recital) 67 des Entwurfes der EU-Datenschutzverordnung gemäss der Version nach der Abstimmung des LIBE-Ausschusses des Europäischen Parlamentes vom 21. Oktober 2013.
- 52 Fn. 51.
- 53 Fn. 3.
- 54 Fn. 51
- 55 Fn. 3.
- 56 Fn. 3.
- 57 Fn. 3.
- 58 Fn. 3.
- 59 Fn. 3.
- 60 Fn. 3.
- 61 Fn. 3.
- 62 Fn. 16.
- 63 Siehe dazu auch Stefan Krempl, EU-Datenschützer fordern Einbau von Datenschutz in Technik, in: heise online, vom 22. März 2010, abrufbar unter http://www.heise.de/newsticker/meldung/EU-Datenschuetzer-fordert-Einbau-von-Datenschutz-in-die-Technik-960735.html; Carsten Casper, Gartner Inc: «Privacy by Design» Can Save Costs and Reduce Total Cost of Ownership, in: 4-traders, vom 22. Oktober 2013, abrufbar unter http://www.4-traders.com/GARTNER-INC-12710/news/Gartner-Inc--Privacy-by-Design-Can-Save-Costs-and-Reduce-Total-Cost-of-Ownership-17383822/.