Jusletter IT

The new EU Data protection regulation will come: A brief overview of salient key points

  • Author: Alex Schweizer
  • Category: Articles
  • Region: Switzerland
  • Field of law: Data Protection
  • Citation: Alex Schweizer, The new EU Data protection regulation will come: A brief overview of salient key points, in: Jusletter IT 11 December 2013
The proposed EU Data Protection Regulation will have a significant impact on businesses operating in Europe. And it will even affect Swiss and American firms and many other non-European companies that have EU customers. It sounds almost unbelievable, but all non-European companies, when offering goods and services to European consumers, will have to apply the EU Data Protection Regulation. This contribution provides an overview of some of the salient points of the future EU Data Protection Regulation.

Inhaltsverzeichnis

  • 1. Räumliche Ausdehnung des europäischen Datenschutzrechts auf Nicht-EU-Länder
  • 2. Strafen bis zu 5 Prozent des Weltumsatzes
  • 3. Gleicher Datenschutzstandard für alle EU-Mitglieder
  • 4. Einfachere Rechtsdurchsetzung mit einer Datenschutzbehörde als Ansprechpartner
  • 5. Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten
  • 6. Explizite Einwilligung
  • 7. Meldung von Datenschutzverstössen spätestens innerhalb von 72 Stunden
  • 8. Datenschutz-Folgenabschätzung
  • 9. Datenschutzfreundliche Voreinstellungen und Datenschutz durch Technik
  • 10. Frühzeitige Vorkehrungen und Planungen
[1]

Die Deadline ist gesetzt. Bereits im 2015 soll sie unter Dach und Fach sein1: die neue, Europäische Datenschutzverordnung, ein Alptraum für viele Firmen, besonders für internationale und amerikanische Unternehmen, die in Europa oder mit europäischen Bürgern gute Geschäfte machen.

[2]
Zwar haben viele Unternehmenslobbyisten seit der Bekanntgabe des ersten Entwurfes zahlreiche Anstrengungen unternommen, um die Gestaltung der EU-Datenschutzverordnung zu beeinflussen und um sie so gut wie möglich zu verwässern (es gab zum Beispiel über 4’000 Änderungsanträge)2. Doch seit der Snowden-Affäre ist klar: Das Lobbyieren, das Debattieren und das massive Dagegenankämpfen werden nicht viel fruchten: Man hat nun endgültig genug von den ständigen Überwachungsaffären und Datenschutzskandalen. Die neue Europäische Datenschutzverordnung mit ihren zahlreichen neuen Regelungen wird kommen.
[3]
Auch für Schweizer Firmen wird die EU-Datenschutzverordnung relevant sein, namentlich wenn sie in der EU Handel betreiben oder mit anderen Firmen in Europa Personendaten austauschen. Zudem wird die Schweiz ihre eigene Gesetzgebung voraussichtlich den künftigen neuen und deutlich verschärften EU-Datenschutzregeln weitgehend anpassen müssen, um auch weiterhin über einen der EU gleichwertigen Datenschutzstandard zu verfügen. Dies hat die Schweiz bisher immer getan. Dies wird sie voraussichtlich auch künftig tun.
[4]
Und das kommt voraussichtlich auf Unternehmen zu:

1.

Räumliche Ausdehnung des europäischen Datenschutzrechts auf Nicht-EU-Länder ^

[5]
Laut Art. 3 Abs. 1 gilt die künftige EU-Datenschutzverordnung, wenn eine personenbezogene Datenbearbeitung durch ein Unternehmen oder eine Niederlassung in der EU erfolgt (Art. 3 Abs. 1 des Entwurfes der EU-Datenschutzverordnung nach der Abstimmung vom 21. Oktober 2013 des LIBE-Ausschusses für «Bürgerliche Freiheiten, Justiz und Inneres» der Europäischen Union3). Auch Unternehmen in der EU, die im Auftrag von Firmen in Drittländern – wie zum Beispiel aus der Schweiz oder den USA – Personendaten bearbeiten, müssen die EU-Datenschutzverordnung beachten. Damit kann man durchaus leben.
[6]

Problematisch ist jedoch Art. 3 Abs. 2 der EU-Datenschutzverordnung4: Sie soll künftig auch dann gelten, wenn ausländische Firmen ohne Niederlassung in der EU personenbezogene Daten von EU-Bürgern verarbeiten, um diesen in der EU Waren oder Dienstleistungen anzubieten oder wenn die Datenverarbeitung der Beobachtung von Unionsbürgern dient5 (zum Beispiel bezüglich des Verhaltens und der Vorlieben von Kunden im Rahmen des analytischen Customer Relationship Managements oder mit Hilfe von Tracking-Technologien). Firmen, die hier in der Schweiz Daten ihrer europäischen Kunden bearbeiten, müssten also die Datenschutzverordnung beachten, selbst wenn sie in der EU keine Zweigniederlassung oder sonstige Präsenz haben. Selbst amerikanische Cloud-Anbieter, welche die Daten von europäischen Bürgen in den USA «hosten», würden in vielen Fällen direkt von den neuen EU-Datenschutzregeln erfasst6.

[7]
Damit wird der Geltungsbereich der Datenschutzverordnung weit über den geografischen Raum der EU ausgedehnt. Der Geltungsbereich wird neu an die Verarbeitung von personenbezogenen Daten von EU-Bürgern geknüpft. In welchem Land die Verarbeitung dieser Daten erfolgt, ist nach dieser Regel grundsätzlich egal. Firmen, die zum Beispiel in Australien, China, Russland oder in anderen aussereuropäischen Drittländern die Daten von Kunden aus der EU verarbeiten, werden die EU- Datenschutzverordnung einhalten müssen. Mit anderen Worten: Die EU will den aussereuropäischen Ländern ihre Datenschutzregeln aufzwingen. Dies ist zwar unangenehm, aber andere Länder machen dies in anderen Rechtsgebieten auch (zum Beispiel beim FACTA-Gesetz7 oder beim biometrischen Pass8).

2.

Strafen bis zu 5 Prozent des Weltumsatzes ^

[8]

Bereits der ursprüngliche Entwurf der EU-Kommission hatte es in sich9. Er sah bei Verstössen gegen den Datenschutz eine Geldstrafe von bis zu 5 Prozent des weltweiten Jahresumsatzes vor10. Dies passte den Unternehmenslobbyisten gar nicht. Sie hatten daher diesen Wert zwischenzeitlich auf 2 Prozent heruntergehandelt11. Ein Ausschuss des Europäischen Parlamentes hat nun aber diesen Betrag – eine mögliche Auswirkung der Snowden-Affäre12 – in einer Abstimmung vom 21. Oktober 2013 wieder erhöht. Laut dem aktuellen Entwurf müssen Unternehmen künftig für Datenschutzverletzungen Geldbussen von bis zu 5 Prozent ihres weltweiten Jahresumsatzes oder bis zu 100 Millionen Euro, je nachdem welcher der beiden Beträge in einem konkreten Fall höher ist, an die datenschutzrechtlichen Aufsichtsbehörden abliefern (Art. 79 Abs. 2a des Entwurfes13). Das kann richtig wehtun und die Unternehmenskasse erheblich schmälern. Ein fiktives Beispiel: Ein internationaler Konzern erzielt einen jährlichen weltweiten Umsatz von rund 22 Milliarden US-Dollar und einen weltweiten Nettogewinn von 2.7 Milliarden US-Dollar. 5 Prozent von 22 Milliarden US-Dollar ergeben 1.1 Milliarden US-Dollar. Vom weltweiten Nettogewinn bleibt nach dem Abzug der Busse von 1.1 Milliarden US-Dollar noch ein Gewinn von 1.6 Milliarden US-Dollar. Der ursprüngliche weltweite Nettogewinn wird also um 40.7 Prozent geschmälert. Dies ist ein stolzer Betrag, namentlich wenn man bedenkt, dass solche Bussen für neue oder andere Datenschutzverletzungen des gleichen Unternehmens erneut verhängt werden können.

[9]
Diese Geldbusse wird jeweils von der datenschutzrechtlichen Aufsichtsbehörde verhängt (Art. 79 Abs. 1 des Entwurfes14). Daneben kann jede betroffene Person, die wegen einer rechtswidrigen Verarbeitung oder einer anderen mit der Datenschutzverordnung nicht zu vereinbarenden Handlung einen Schaden erlitten hat, Schadenersatz von dem für die Verarbeitung verantwortlichen Unternehmen oder vom Auftragsverarbeiter verlangen (Art. 77 des Entwurfes15). Sind aufgrund einer datenschutzrechtlichen Nachlässigkeit gleich hunderte oder gar tausende von Kunden des Unternehmens betroffen, was in der Praxis immer wieder vorkommt, so kann es richtig teuer werden. Deshalb ist klar: Aus rein finanzieller Sicht werden sich künftig die Investitionen in den Unternehmensdatenschutz und das damit verbundene datenschutzrechtliche Compliance Management durchaus lohnen.

3.

Gleicher Datenschutzstandard für alle EU-Mitglieder ^

[10]
Bisher galt: Alle EU-Mitglieder dürfen grundsätzlich ihre eigenen Datenschutzgesetze erlassen. Sie mussten sich dabei lediglich an der EU-Datenschutzrichtlinie von 1995 orientieren, also einen gewissen Mindeststandard im Datenschutz einhalten. Damit soll es nun künftig vorbei sein. Grund: Gerade die Möglichkeit, Datenschutzgesetze – wenn auch in einem gewissen vorgeschriebenen Rahmen – selber erlassen zu dürfen, führte innerhalb der EU nicht nur zu unterschiedlichen Datenschutzgesetzen, sondern darüber hinaus auch noch zu einem ungleichen Datenschutzniveau zwischen den Mitgliedländern16. Die neue EU-Datenschutzverordnung soll deshalb für alle 28 Mitgliederländer gleichermassen und unmittelbar gelten. Damit fallen die datenschutzrechtlichen Besonderheiten in den einzelnen EU-Mitgliedländern sowie die unterschiedlichen Sanktionen und Bussen für Datenschutzverletzungen automatisch weg. Und deshalb wird für Unternehmen auch das «Forum Shopping» − zumindest in datenschutzrechtlicher Hinsicht − weniger attraktiv. Sie werden dann nicht mehr einfach ihren Sitz im Mitgliedstaat mit dem niedrigsten Datenschutzstandard und den geringsten Sanktionen aussuchen können17.

4.

Einfachere Rechtsdurchsetzung mit einer Datenschutzbehörde als Ansprechpartner ^

[11]

Bürger und Unternehmen der EU werden sich künftig auch nur noch an eine Datenschutzbehörde als Ansprechpartnerin wenden müssen (sog. «One-Stop-Shop-Ansatz» oder Prinzip einer zentralen Anlaufstelle)18. Dies bedeutet einerseits, dass EU-Bürger eine Beschwerde selbst dann an die Datenschutzbehörde in ihrem Mitgliedstaat richten können (Art. 73 des Entwurfes)19, wenn sich die Hauptniederlassung des Unternehmens, dessen Datenbearbeitungen als unrechtmässig beanstandet werden, in einem anderen EU-Staat befindet. Gerade dies dürfte die Rechtsdurchsetzung bis zu einem gewissen Grad erleichtern. Denn nach dem bisher geltenden EU-Datenschutzrecht ist dafür die Behörde des Landes zuständig, in dem das Unternehmen seine Hauptniederlassung hat20. Trotz dieser neuen Beschwerdemöglichkeit im eigenen Mitgliedstaat: Bei der Rechtsdurchsetzung hapert es – auch nach dem voraussichtlich künftigen EU-Datenschutzrecht21.

[12]
Grund: Wenn ein Unternehmen mehrere Niederlassungen in der EU hat, so soll nach dem Entwurf der EU-Datenschutzverordnung die Aufsichtsbehörde des Mitgliedstaats zuständig sein, in dem sich die Hauptniederlassung befindet (Art. 54a des Entwurfes22). Diese federführende Behörde soll dann zu jeder Phase eines Aufsichtsverfahrens gegenüber einem Unternehmen für die Koordinierung mit den beteiligten Behörden in allen EU-Ländern sorgen, in welchen das Unternehmen Niederlassungen hat. Zu diesem Zweck soll sie insbesondere auch alle massgeblichen Informationen weiterleiten und die anderen Behörden konsultieren, bevor sie eine Massnahme ergreift, die dazu dient, rechtliche Konsequenzen für ein beaufsichtigtes Unternehmen zu schaffen (Art. 54a Abs. 2 des Entwurfes23).
[13]
Mit anderen Worten: Die betroffenen Personen sollen zwar immer eine Beschwerde wegen einer widerrechtlichen Datenbearbeitung bei der Aufsichtsbehörde im eigenen EU-Heimatland vorbringen können – und auch in jedem anderen EU-Mitgliedstaat. Für allfällige Sanktionen und Massnahmen ist dann aber doch die Hauptaufsichtsbehörde zuständig, die sich in einem anderen EU-Mitgliedstaat befinden kann24. Das Recht zur Beschwerde im eigenen EU-Heimatland und die letztendliche Durchsetzung mittels einer Sanktion oder Massnahme klaffen auseinander. Denn wenn für die eigentliche Durchsetzung sowie das damit verbundene Verfahren eine ausländische EU-Aufsichtsbehörde zuständig ist, die sich möglicherweise noch in einem anderen Sprachraum befindet, erschwert dies für die Betroffenen die Geltendmachung ihrer Datenschutzrechte. Für die Betroffenen sind die Nähe zur Aufsichtsbehörde, die Sprache und die unmittelbare Kommunikationsmöglichkeit wichtig25. Immerhin müssen von der federführenden Aufsichtsbehörde die involvierten nationalen Behörden in einem speziellen Mitbestimmungsverfahren miteinbezogen werden, falls sich die Datenbearbeitung eines Unternehmens auf mehrere EU-Staaten erstreckt26.
[14]

Anderseits kommt das Prinzip einer zentralen Anlaufstelle auch dadurch zum Ausdruck, dass Unternehmen in der EU künftig nur noch mit der Datenschutzbehörde desjenigen Mitgliedstaates zusammenarbeiten müssen, in dem sich ihre Hauptniederlassung befindet (vgl. dazu Art. 4 Abs. 13 in Verbindung mit Art. 52 Abs. 2 und Art. 54a des Entwurfes)27. Die Hauptniederlassung eines Unternehmens befindet sich in der Regel an dem Ort, an dem die Grundsatzentscheidungen hinsichtlich der Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten getroffen werden (Art. 4 Abs. 13 des Entwurfes28). Wird allerdings darüber nicht in der Europäischen Union entschieden, sondern zum Beispiel in einer Konzernzentrale in Sydney, Hong Kong oder New York, gilt als Hauptniederlassung der Ort, an dem die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung in der Union hauptsächlich stattfinden (Art. 4 Abs. 13 des Entwurfes29).

5.

Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten ^

[15]

Betriebliche Datenschutzbeauftragte (Data Protection Officers30) sollen in der gesamten EU eine Rechtspflicht werden. Für viele Firmen mag es tröstlich sein, dass diese Pflicht erst gelten soll, wenn innerhalb eines Jahres die Daten von mehr als 5000 Menschen verarbeitet werden (Art. 35 Abs. 1 lit. b des Entwurfes31). Laut dieser Definition müsste zum Beispiel ein Unternehmen mit 40 Angestellten über einen Datenschutzbeauftragten verfügen, wenn es innerhalb eines Jahres neben den Mitarbeiterdaten zusätzlich noch die Daten von über 4'960 Kunden bearbeiten würde (zum Beispiel ein Hotel mit über 4'960 Übernachtungen pro Jahr). Zahlreiche kleine Betriebe, die diesen Schwellenwert nicht erreichen, müssten also keinen betrieblichen Datenschutzbeauftragten einsetzen – wenn es allein auf diese Voraussetzungen ankommen würde.

[16]
Allerdings kann ein betrieblicher Datenschutzbeauftragter auch unabhängig vom genannten Schwellenwert erforderlich sein. Laut dem Entwurf der EU-Datenschutzverordnung soll dies dann der Fall sein, wenn die Kerntätigkeit eines Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihres Wesens, ihres Umfangs und / oder ihrer Zwecke eine regelmässige und systematische Beobachtung oder Profilerstellung von betroffenen Personen erforderlich machen (Art. 35 Abs. 1 lit. c des Entwurfes32). Versicherungen, Banken und Kreditinstitute, die aufgrund ihrer Tätigkeit fortlaufend Kundenprofile erstellen und überprüfen (Art. 35 Abs. 1 lit. c des Entwurfes), um Versicherungs- und Kreditrisiken zu eruieren, müssten also unabhängig von der Anzahl der Kunden und Mitarbeitenden, einen betrieblichen Datenschutzbeauftragten bestellen. Unter dem Blickwinkel dieser Definition werden auch Marketingfirmen und Datenbroker einen Datenschutzbeauftragten benötigen, besteht doch das Wesen ihrer Tätigkeit auch im Sammeln und Handeln von personenbezogenen Daten.
[17]
Der eigentliche Knackpunkt steckt jedoch in einer recht unscheinbaren Bestimmung. Unternehmen (oder Auftragsverabeiter) müssen künftig auch einen Datenschutzbeauftragten bezeichnen, falls ihre Kernaktivitäten aus der Verarbeitung besonderer Kategorien von Daten bestehen (Art. 35 Abs. 1 lit. d des Entwurfes33). Zu diesen besonderen Kategorien gehören: Daten über die Gesundheit oder das Sexualleben, genetische und biometrische Daten, Daten über die Rasse oder ethnische Herkunft, Daten über politische und philosophischen Überzeugungen, Daten über die Religions- und Glaubenszugehörigkeit, Daten über die Zugehörigkeit zu einer Gewerkschaft, Daten über Strafurteile und damit zusammenhängende Sicherheitsmassregeln, personenbezogene Ortsdaten, Daten über Kinder sowie Mitarbeiterdaten in grossen Ablagesystemen bzw. Datenbanken (Art. 35 Abs. 1 lit. d in Verbindung mit Art. 9 Abs. 1 des Entwurfes34). Es ist offensichtlich: Vom Radar dieser Norm werden auch zahlreiche kleine Firmen erfasst, welche die eine oder andere Kategorie dieser Daten bearbeiten. Denn mit dieser Regel wird nicht auf die Grösse des Unternehmens, sondern die Relevanz der Datenverarbeitung und vor allem auf die Art der Daten abgestellt. Was man jedoch genau unter «Kernaktivitäten» verstehen soll, darüber schweigen sowohl der Entwurf der Datenschutzverordnung als auch die dazugehörige Erläuterungen. Abgrenzungsschwierigkeiten sind diesbezüglich programmiert. Nachbesserungen sind in diesem Punkt wünschenswert.
[18]
Bei internationalen Konzerngesellschaften genügt – zumindest auf dem Papier – grundsätzlich ein einziger betrieblicher Datenschutzbeauftragter (Art. 35 Abs. 2 des Entwurfes35). Fakt ist jedoch, dass bereits heute grosse nationale und internationale Konzerne mehrere Personen und mitunter ganze Abteilungen mit datenschutzrechtlichen Fragen beschäftigen. Jedes IT-Projekt und jedes Business Modell, welches mit personenbezogenen Daten hantiert, muss datenschutzkonform geplant, implementiert und betrieben werden. Viele dieser Projekte sind zusätzlich oft noch länderübergreifend. Und damit berühren sie häufig auch verschiedene Rechtsordnungen, die von ganz unterschiedlichen Wertvorstellungen, Rechtskulturen und Sprachen geprägt sind. Es ist daher rein schon aus praktischer Sicht unmöglich, dass ein einziger betrieblicher Datenschutzbeauftragter für einen grossen internationalen Konzern genügen und dazu auch noch alle Rechtsordnungen kennen kann. Sinnvoll wäre es, wenn es in einem internationalen Konzern zumindest pro Land einen betrieblichen Datenschutzbeauftragten geben würde. Dies empfiehlt sich auch unter dem Blickwinkel der einzuhaltenden Sorgfaltspflichten sowie unter haftungsrechtlichen Gesichtspunkten.
[19]
Ferner wird sich das Datenschutzrecht im europäischen Raum auch künftig mit der Inkraftsetzung der EU-Datenschutzverordnung, welche die nationalen Datenschutzgesetze (weitgehend) ablösen wird36, nicht allein in einem einzigen Erlass erschöpfen. Im Gegenteil: Nach wie vor werden länderspezifische Kenntnisse von datenschutzrechtlichen Spezialnormen und deren Zusammenspiel mit dem übergeordneten, insbesondere dem internationalen Recht, notwendig sein. Oft gelten in einzelnen Branchen zahlreiche datenschutzrechtliche Spezialbestimmungen, so zum Beispiel für Sozial- und Privatversicherungen, Banken, Telco-Unternehmen und für Pharmafirmen. Wenn für einen weltweit operierenden Konzern, zum Beispiel eine Versicherungsgruppe, allein für die Region Europa ein einziger betrieblicher Datenschutzbeauftragter (ohne weiteres Personal) bezeichnet wird, so macht dies stutzig. Wie soll eine einzige Person – selbst wenn sie ein Rechtsstudium in zwei oder gar drei Ländern und auch noch in verschiedenen Sprachen absolviert hat – die spezialgesetzlichen Datenschutzregeln all dieser europäischen Länder kennen und dazu noch sämtliche personenbezogenen IT-Projekte des Konzerns datenschutzkonform planen und begleiten können – und dies auch noch ohne mit den rechtlichen Sorgfaltspflichten in Konflikt zu geraten? Es ist evident: Faktisch brauchen grosse internationale Konzerne, die den Datenschutz und ihre Sorgfaltspflichten wirklich einhalten möchten, immer mehrere betriebliche Datenschutzbeauftragte oder wenigstens einen betrieblichen Datenschutzbeauftragten, der zur Erfüllung seiner Aufgabe auf ausreichendes Personal zugreifen kann.
[20]
Ein betrieblicher Datenschutzbeauftragter darf einerseits durch das Unternehmen oder durch den Auftragsverarbeiter (Outsourcingnehmer) selber angestellt werden (Art. 35 Abs. 8 des Entwurfes37). Anderseits darf ein betrieblicher Datenschutzbeauftragter seine Aufgaben auch auf der Grundlage eines Dienstleistungsvertrages bzw. im Rahmen eines Auftragsverhältnisses erfüllen (Art. 35 Abs. 8 des Entwurfes38), was vor allem für kleine Firmen ein Kostenvorteil sein kann. Allerdings sind für internationale Konzerne angestellte Datenschutzbeauftragte eher angebracht. Der Grund: Externe Datenschutzbeauftrage haben meistens einen sehr viel kleineren Ein- und Überblick über die konzerninternen Betriebsabläufe sowie den damit verbundenen Datenbearbeitungsprozesse als interne Datenschutzbeauftragte, es sei denn, dass sie wie interne Mitarbeiter bei datenschutzrechtlich relevanten Projekten involviert werden.
[21]
Interessant ist die hierarchische Eingliederung des betrieblichen Datenschutzbeauftragten im Unternehmen. Dies betrifft die betriebsinternen Datenschutzbeauftragten, die ihre Funktion im Anstellungsverhältnis wahrnehmen. Gemäss Art. 36 Abs. 2 des Entwurfes EU-Datenschutzverordnung muss der betriebliche Datenschutzbeauftragte direkt der Geschäftsleitung unterstellt werden39. Dabei muss die Geschäftsleitung des Unternehmens sicherstellen, dass der betriebsinterne Datenschutzbeauftragte seinen Pflichten und Aufgaben unabhängig nachkommen kann und keine Anweisungen bezüglich der Ausübung seiner Tätigkeit erhält. Deshalb sollten betriebliche Datenschutzbeauftragte auch nie in einer Linienstelle angesiedelt werden. Es bestünde dann eher die Gefahr, dass man auf den Datenschutzbeauftragen bei der Überprüfung der datenschutzrechtlichen Konformität von Projekten und Betriebsabläufen Druck ausübt, insbesondere um diese zu genehmigen. Mit der direkten Unterstellung unter die Geschäftsleitung besteht diese Gefahr weniger.

6.

Explizite Einwilligung ^

[22]
Wo die Verarbeitung persönlicher Daten auf Zustimmung beruht, soll nun künftig ein Unternehmen ausdrücklich die Beweislast dafür tragen, dass die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für eindeutig festgelegte Zwecke erteilt hat (Art. 7 Abs. 1 des Entwurfes40). Falls die Einwilligung durch eine schriftliche Erklärung erfolgt, die noch einen anderen Sachverhalt betrifft, muss das Erfordernis der Einwilligung äusserlich erkennbar und klar von dem anderen Sachverhalt getrennt werden (Art. 7 Abs. 2 des Entwurfes41). Vertragsklauseln, die diese Regel nicht beachten, werden künftig ungültig sein (Art. 7 Abs. 2 des Entwurfes42).
[23]
Die Einwilligung kann grundsätzlich jederzeit zurückgezogen werden, es sei denn, dass eine klare gesetzliche Grundlage für die Bearbeitung der Daten der betroffenen Person gegeben ist (Art. 7 Abs. 3 des Entwurfes43), welche die Zustimmung der betroffenen Person implizit ersetzt bzw. unnötig macht. Der Widerruf einer Zustimmung soll keinen Einfluss auf die Rechtmässigkeit der Datenbearbeitungen haben, die vor dem Zeitpunkt des Widerrufes erfolgten (Art. 7 Abs. 3 des Entwurfes44). Die betroffene Person muss vom Unternehmen informiert werden, wenn der Widerruf der Zustimmung die Beendigung des Vertragsverhältnisses oder der bisher erbrachten Dienstleistungen zur Folge hat (Art. 7 Abs. 3 des Entwurfes).
[24]
Die Einwilligung muss auf einen bestimmten Zweck beschränkt sein. Sie soll ihre Gültigkeit verlieren, wenn der ursprüngliche Zweck nicht mehr existiert oder sobald die Verarbeitung personenbezogener Daten für die Ausführung des ursprünglich vorgesehenen Zweckes für welche die Personendaten gesammelt wurden, nicht mehr notwendig ist.
[25]
Besonders wichtig: Die Ausführung eines Vertrages oder die Erbringung einer Dienstleistung darf nicht von einer Zustimmung zu einer personenbezogenen Datenverarbeitung abhängig gemacht werden (Art. 7 Abs. 3 des Entwurfes45), die für die Erfüllung des betreffenden Vertrages oder für die Erbringung der Dienstleistung nicht notwendig ist (Art. 7 Abs. 4 in Verbindung mit Art. 6 Abs. 1 lit. b des Entwurfes46). Damit besteht ein klares Koppelungsverbot.
[26]
Die Verarbeitung personenbezogener Daten eines Kindes bis zum vollendeten dreizehnten Lebensjahr, dem direkt Waren oder Dienstleistungen angeboten werden, soll nur rechtmässig sein, wenn und insoweit die Einwilligung hierzu durch die Eltern oder den rechtlichen Vertretern des Kindes oder mit deren Zustimmung erteilt wird (Art. 8 Abs. 1 des Entwurfes47). Aber ab dem Alter von 13 Jahren sollen Kinder selbst über eine Datenverarbeitung bestimmen dürfen48.
[27]
Ganz generell soll bei der Einholung der Einwilligung die Orientierung der betroffenen Personen durch standardisierte Symbole (sogenannte Icons) sowie durch standardisierte «Information Policies» erleichtert werden (Art. 13a des Entwurfes)49. Unleserliche Nutzungsbedingungen sollten damit schon bald der Vergangenheit angehören50.

7.

Meldung von Datenschutzverstössen spätestens innerhalb von 72 Stunden ^

[28]

Laut Art. 31 des Entwurfes der neuen EU-Datenschutzverordnung (sowie der zugehörigen Erläuterungen) müssen Datenschutzverletzungen künftig spätestens innerhalb von 72 Stunden den Aufsichtsbehörden gemeldet werden (der Entwurf vor der Abstimmung vom 21. Oktober 2013 sah sogar eine Meldepflicht innerhalb von 24 Stunden vor)51. Falls die Benachrichtigung innerhalb dieser Frist nicht möglich ist, sind die Gründe für die Verzögerung darzulegen52. Zudem muss unmittelbar im Anschluss an diese Meldung in der Regel auch die Person informiert werden, die von der Datenschutzverletzung betroffen ist (Art. 32 des Entwurfes53). Immerhin muss diese zweite Meldung nur dann erfolgen, wenn die Wahrscheinlichkeit besteht, dass der Schutz der personenbezogenen Daten oder der Privatsphäre der betroffenen Person durch eine festgestellte Verletzung des Schutzes personenbezogener Daten beeinträchtigt wird. Beispiele für eine solche Beeinträchtigung sind ein Identitätsdiebstahl, ein Identitätsbetrug, eine physische Schädigung, eine erhebliche Demütigung oder eine Rufschädigung54. Verpflichtet zu diesen Meldungen ist der für die Verarbeitung Verantwortliche, also im Unternehmensbereich die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Entwurf Art. 4 Abs. 5 in Verbindung mit Art. 3155).

8.

Datenschutz-Folgenabschätzung ^

[29]

Neu wird voraussichtlich auch eine Datenschutz-Folgenabschätzung notwendig sein, wenn die betreffenden Datenverarbeitungsvorgänge konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen (Art. 33 in Verbindung mit Art. 32a des Entwurfes56). Von einem spezifischen Risiko geht der Entwurf immer automatisch dann aus, wenn ein Unternehmen innerhalb von einem Jahr Daten von mehr als 5'000 Menschen bearbeitet (Art. 32a Abs. 2 lit. a des Entwurfes57). Eine Datenschutz-Folgenabschätzung wird auch bei der Bearbeitung von besonderen Kategorien von Daten erforderlich sein (wie zum Beispiel bei Gesundheitsdaten, personenbezogenen Ortsdaten, Daten über Kinder, biometrische und genetische Daten, vgl. dazu Art. 32a Abs. 2 lit. b des Entwurfes58). Bei Auswertungen oder Profilerstellungen, die als Grundlage für Massnahme dienen, welche Rechtswirkungen oder andere erhebliche Auswirkungen für die betroffene Person zur Folge haben, schreibt die EU-Datenschutzverordnung ebenfalls eine Datenschutz-Folgenabschätzung vor (Art. 32a Abs. 2 lit. c des Entwurfes59). Neben diesen gibt es noch andere Fälle.

[30]
Wichtig ist bei der Folgenabschätzung, dass sie zumindest eine Beschreibung der geplanten Verarbeitungsvorgänge, eine Bewertung der Risiken für die Privatsphäre der betroffenen Personen sowie die geplanten Abhilfemassnahmen, Garantien, Verfahren und Sicherheitsvorkehrungen enthalten müssen (Art. 33 Abs. 3 des Entwurfes60). Nach der Folgenabschätzung und auf ihrer Grundlage muss bei besonders heiklen Bearbeitungsvorgängen auch die datenschutzrechtliche Aufsichtsbehörde zu Rate gezogen und ihre Einwilligung eingeholt werden, um sicherzustellen, dass die geplante Datenverarbeitung im Übereinstimmung mit der EU-Datenschutzverordnung steht (Art. 34 des Entwurfes mit zugehörigen Erläuterungen61). In einfacheren Bearbeitungsfällen soll die Ansicht des betrieblichen Datenschutzbeauftragten genügen.

9.

Datenschutzfreundliche Voreinstellungen und Datenschutz durch Technik ^

[31]
Künftig sollen für Unternehmen datenschutzfreundliche Voreinstellungen zur Pflicht werden (Art. 23 Abs. 2 des Entwurfes). Produkte und Dienstleistungen müssen daher bereits bei ihrem ersten Verkauf oder bei ihrer ersten Inanspruchnahme für die Konsumenten datenschutzfreundlich eingestellt sein62.
[32]

Der Datenschutz soll zudem künftig bereits beim Produkt-Design berücksichtigt werden (Art. 23 Abs. 1 des Entwurfes). Unternehmen werden sich daher vermehrt Gedanken machen müssen, wie sie den Datenschutz bereits bei der Entwicklung ihrer Produkte und Dienstleitungen berücksichtigen können63.

10.

Frühzeitige Vorkehrungen und Planungen ^

[33]

Dies sind nur einige der wichtigsten Erneuerungen (Eckpunkte), die sich im Entwurf der künftigen EU-Datenschutzverordnung finden. Es gibt noch andere. Wann genau die EU-Datenschutzverordnung in Kraft treten wird, ist im Moment zwar noch offen. Und einzelne Modifikationen sind durchaus noch möglich. Klar ist allerdings: Alle Unternehmen, insbesondere auch die schweizerischen Firmen, die ihre Dienstleistungen und Produkte europäischen Bürgern anbieten oder in Europa Handel betreiben, sollten sich schon jetzt im Hinblick auf die neue EU-Datenschutzverordnung entsprechend vorbereiten. Sie sollten zudem ihre Datenbearbeitungsprozesse überprüfen (oder durch betriebsexterne Experten überprüfen lassen) und ihre Datenschutzrisiken mit rechtlichen, organisatorischen und technischen Massnahmen absichern. Zudem sollten sie generell bei der Planung des Jahresbudgets Kosten für datenschutzrechtliche Aufwendungen einstellen. Aus betriebswirtschaftlicher Sicht sind solche Mehrkosten alles andere als erwünscht. Indessen werden weitsichtige Unternehmen diese in Kauf nehmen. Denn welche Firma möchte schon bei ertappten Datenschutzverletzungen − nebst Schadenersatz an die betroffenen Personen − eine Geldbusse von bis zu 5% ihres weltweiten Jahresumsatzes an die Aufsichtsbehörden abliefern müssen?


 

Dr. iur. Alex Schweizer, LL.M. ist Inhaber der Firma Schweizer Privacy Law (www.privacylaw.ch). Sie ist spezialisiert auf Datenschutz- und Informatikrecht.

  1. 1 Vgl. zum Beispiel René Höltschi, Digitale Aufholjagd, in: NZZ, vom 25. Oktober 2013, abrufbar unter http://www.nzz.ch/aktuell/wirtschaft/wirtschaftsnachrichten/digitale-aufholjagd-1.18173551 (alle Internetquellen zuletzt besucht am 9. Dezember 2013); ohne Verfasserangabe, Eile bei Bankenunion – Bremse bei Datenschutz, vom 25. Oktober 2013, abrufbar unter http://derstandard.at/1381369875892/EU-Gipfel-draengt-auf-Bankenunion; Patrick Beuth, Der Datenschutztiger (kein Schreibfehler) wird zum Bettvorleger, in: Zeit Online, vom 30. Mai 2013, abrufbar unter http://www.zeit.de/digital/datenschutz/2013-05/eu-datenschutzreform-lobby; vgl. aber auch: Benedikt Wagenitz, Schaar fordert schnelle Umsetzung von EU-Datenschutz, in: Focus online, vom 30. Oktober 2013, abrufbar unter http://www.focus.de/politik/deutschland/nsa-spaehaffaere-schaar-fordert-schnelle-umsetzung-von-eu-datenschutz_aid_1143095.html; siehe auch Niklaus Nuspliger, Datenschutz in der EU − Kampfansage an die Online-Giganten, abrufbar unter http://www.nzz.ch/aktuell/international/auslandnachrichten/kampfansage-an-die-online-giganten-1.18171952.
  2. 2 Vgl. zum Beispiel Alfred Krüger, EU-Reform: Lobby-Schlacht um Datenschutz, in ZDFheute.de, vom 21. Oktober 2013, abrufbar unter http://www.heute.de/EU-Reform-Lobby-Schlacht-um-Datenschutz-30253900.html; Christoph Fröhlich, Neue EU-Datenschutzverordnung − Copy & Paste in Brüssel, in: stern.de, vom 12. Februar 2013, abrufbar unter http://www.stern.de/digital/online/neue-eu-datenschutzverordnung-copy-paste-in-bruessel-1970211.html; siehe auch die interessante Website http://lobbyplag.eu/map.
  3. 3 Der aktuellste Entwurf der EU-Datenschutzverordnung ist im Zeitpunkt der Abfassung dieses Beitrags die Version nach der Abstimmung des LIBE-Ausschusses des Europäischen Parlamentes vom 21. Oktober 2013. Dieser inoffizielle Entwurf kann auf der Website von Herrn Jan Albrecht – ein Abgeordneter des Europäischen Parlaments − abgerufen werden. Im vorliegenden Beitrag wird hauptsächlich auf diese neuste Version Bezug genommen. Siehe dazu die folgende Internetadresse: http://www.janalbrecht.eu/themen/datenschutz-und-netzpolitik/alles-wichtige-zur-datenschutzreform.html. Für den direkten Abruf dieses inoffiziellen Entwurfs siehe die Website http://www.janalbrecht.eu/fileadmin/material/Dokumente/DPR-Regulation-inofficial-consolidated-LIBE.pdf.
  4. 4 Gemäss Entwurf der EU-Datenschutzverordnung nach der Abstimmung vom 21. Oktober 2013 des LIBE-Ausschusses. Siehe dazu Fn. 3.
  5. 5 Vgl. recitals (Erwägungsgründe) 20–21 of the unofficial consolidated version of the EU Data Protection Regulation (Proposal) after the vote of the Committee on Civil Liberties, Justice and Home Affairs (LIBE) of the European Parliament on October 21, 2013, abrufbar unter http://www.janalbrecht.eu/fileadmin/material/Dokumente/DPR-Regulation-inofficial-consolidated-LIBE.pdf.
  6. 6 Ariane Mole/Ruth Boardman/Gabriel Voisin, EU Data Protection Regulation: one step forward; in: Industry News of Bird & Birds, vom 22. Oktober 2013, abrufbar unter http://www.twobirds.com/en/news/industry-news-page?page=2.
  7. 7 Vgl. zum Beispiel Hansueli Schöchli, Das Parlament schluckt die andere «Lex USA», in: NZZ, vom 10. September 2013; siehe dazu auch http://de.wikipedia.org/wiki/FATCA.
  8. 8 Siehe dazu Hubert Mooser, Die Schweiz wird erneut von den USA erpresst, in: Tages-Anzeiger, vom 13. März 2012, abrufbar unter der Website http://www.tagesanzeiger.ch/schweiz/standard/Die-Schweiz-wird-erneut-von-den-USA-erpresst/story/19016342. Siehe ferner http://de.wikipedia.org/wiki/Biometrischer_Reisepass.
  9. 9 Der ursprüngliche Entwurf der EU-Datenschutzverordnung, datiert vom 29. November 2011, ist abrufbar unter http://statewatch.org/news/2011/dec/eu-com-draft-dp-reg-inter-service-consultation.pdf.
  10. 10 Digitalcourage e.V., Datenschutzentwurf im EU Parlament geht in die nächste Runde (Update), in: digitalcourage, vom 10. Januar 2013, abrufbar unter https://www.foebud.org/datenschutz-buergerrechte/datenschutzentwurf-im-eu-parlament; Lüke Falk, EU-Datenschutzverordnung: Gegen den unkontrollierten Datenstrom, in: C`T Magazin für Computer Technik, vom 7. Dezember 2013, abrufbar unter http://www.heise.de/ct/artikel/EU-Datenschutzverordnung-Gegen-den-unkontrollierten-Datenstrom-1391778.html.
  11. 11 Kai Biermann, Mehr Datenschutz in der EU dank Snowden, in: Zeit Online, vom 18. Oktober 2013, abrufbar unter http://www.zeit.de/digital/datenschutz/2013-10/eu-datenschutzreform-abstimmung-libe/seite-2.
  12. 12 Fn. 11.
  13. 13 Fn. 3.
  14. 14 Fn. 3.
  15. 15 Fn. 3.
  16. 16 Jan Philipp Albrecht, Datenschutzgrundverordnung in 10 Punkten, vom 22. Oktober 2013, abrufbar unter http://www.janalbrecht.eu/fileadmin/material/Dokumente/221013_DS-Pressebriefing_Dt..pdf.
  17. 17 Fn. 16.
  18. 18 Fn. 16.
  19. 19 Fn. 16; Claus Hecking, EU-Parlament: Was die neuen Datenschutzregeln bringen sollen, in: Spiegel Online, vom 21. Oktober 2013, abrufbar unter http://www.spiegel.de/netzwelt/netzpolitik/datenschutz-in-europa-das-bedeutet-die-neue-eu-verordnung-a-929083.html. Siehe dazu auch Art. 73 i.V.m. Art. 52 ff. des Entwurfes.
  20. 20 Vgl. dazu Annette Riedel, Schütze sich wer kann, Das Tauziehen um die neue EU-Verordnung zum Datenschutz, in: dradio.de, vom 18. Oktober 2013, abrufbar unter http://www.deutschlandfunk.de/schuetze-sich-wer-kann.724.de.html?dram:article_id=265334.
  21. 21 Fn. 20.
  22. 22 Fn. 3.
  23. 23 Fn. 3.
  24. 24 Silke Thole, EU-Rat streitet um Zuständigkeiten bei Datenschutzverstössen, in: haufe.de, vom 10. Oktober 2013, abrufbar unter http://www.haufe.de/recht/datenschutz/eu-rat-streitet-um-zustaendigkeiten-bei-datenschutzverstoessen_224_202010.html; Christiane Schulzki-Haddouti, Europäischer Rat kritisiert Pläne für zentrale Anlaufstelle in der Datenschutz-Grundverordnung, in: heise online, vom 7. Oktober 2013, abrufbar unter http://www.heise.de/newsticker/meldung/Europaeischer-Rat-kritisiert-Plaene-fuer-zentrale-Anlaufstelle-in-der-Datenschutz-Grundverordnung-1973659.html.
  25. 25 Christiane Schulzki-Haddouti, Europäischer Rat kritisiert Pläne für zentrale Anlaufstelle in der Datenschutz-Grundverordnung, in: heise online, vom 7. Oktober 2013, abrufbar unter http://www.heise.de/newsticker/meldung/Europaeischer-Rat-kritisiert-Plaene-fuer-zentrale-Anlaufstelle-in-der-Datenschutz-Grundverordnung-1973659.html.
  26. 26 Fn. 25.
  27. 27 Fn. 16; vgl. auch Schütze sich, wer kann, in: dradio.de, vom 18. Oktober 2013, abrufbar unter http://www.deutschlandfunk.de/schuetze-sich-wer-kann.724.de.html?dram:article_id=265334/.
  28. 28 Fn. 3.
  29. 29 Fn. 3.
  30. 30 Im englischen Sprachraum wird häufig auch die Bezeichnung Privacy Officer oder Chief Privacy Officer (CPO) verwendet.
  31. 31 Fn. 3.
  32. 32 Fn. 3.
  33. 33 Fn. 3.
  34. 34 Fn. 3.
  35. 35 Fn. 3.
  36. 36 Vgl. dazu zum Beispiel Barbara Wimmer, Grünes Licht für EU-Datenschutzpaket, in: futurezone.at, vom 21. Oktober 2013, abrufbar unter http://futurezone.at/netzpolitik/vorentscheidung-zum-eu-datenschutz/31.523.780.
  37. 37 Fn. 3.
  38. 38 Fn. 3.
  39. 39 Fn. 3.
  40. 40 Fn. 3.
  41. 41 Fn. 3.
  42. 42 Fn. 3.
  43. 43 Fn. 3.
  44. 44 Fn. 3.
  45. 45 Fn. 3.
  46. 46 Fn. 3.
  47. 47 Fn. 3.
  48. 48 Ohne genaue Verfasserangabe (sac), EU-Datenschutzverordnung: Ein Schritt vorwärts, zwei Schritte zurück?, in: Unwatched.org, vom 22. Oktober 2013, abrufbar unter http://www.unwatched.org/20131022_EU-Datenschutzverordnung_Ein_Schritt_vorwaerts_zwei_Schritte_zurueck.
  49. 49 Ohne genaue Verfasserangabe (Apa / reuters), EU-Datenschutz: Was sich für Firmen und Nutzer ändert, in: Salzburger Nachrichten, vom 22. Oktober 2013, abrufbar unter http://www.salzburg.com/nachrichten/welt/politik/sn/artikel/eu-datenschutz-was-sich-fuer-firmen-und-nutzer-aendert-79448/; vgl. auch ohne Verfasserangabe, Mit Icons gegen Facebook und Co.; in: tagesschau.de, vom 21. Oktober 2013, abrufbar unter http://www.tagesschau.de/ausland/datenschutzverordnung100.html.
  50. 50 Siehe dazu auch Niklaus Nuspliger, Datenschutz in der EU − Kampfansage an die Online-Giganten, vom 23. Oktober 2013, abrufbar unter http://www.nzz.ch/aktuell/international/auslandnachrichten/kampfansage-an-die-online-giganten-1.18171952.
  51. 51 Erwägungsgrund (recital) 67 des Entwurfes der EU-Datenschutzverordnung gemäss der Version nach der Abstimmung des LIBE-Ausschusses des Europäischen Parlamentes vom 21. Oktober 2013.
  52. 52 Fn. 51.
  53. 53 Fn. 3.
  54. 54 Fn. 51
  55. 55 Fn. 3.
  56. 56 Fn. 3.
  57. 57 Fn. 3.
  58. 58 Fn. 3.
  59. 59 Fn. 3.
  60. 60 Fn. 3.
  61. 61 Fn. 3.
  62. 62 Fn. 16.
  63. 63 Siehe dazu auch Stefan Krempl, EU-Datenschützer fordern Einbau von Datenschutz in Technik, in: heise online, vom 22. März 2010, abrufbar unter http://www.heise.de/newsticker/meldung/EU-Datenschuetzer-fordert-Einbau-von-Datenschutz-in-die-Technik-960735.html; Carsten Casper, Gartner Inc: «Privacy by Design» Can Save Costs and Reduce Total Cost of Ownership, in: 4-traders, vom 22. Oktober 2013, abrufbar unter http://www.4-traders.com/GARTNER-INC-12710/news/Gartner-Inc--Privacy-by-Design-Can-Save-Costs-and-Reduce-Total-Cost-of-Ownership-17383822/.