Zur neuen Datenschutz-Grundverordnung in der EU

Der Vorschlag zur neuen Datenschutzrecht-Grundverordnung wurde im Januar 2012 publiziert. Die wirtschaftliche Entwicklung setzt Vertrauen in die Online-Umgebung voraus, meinen die EU-Gesetzgeber. «Verbraucher, denen es an Vertrauen mangelt, scheuen Online-Einkäufe und neue Dienste. Hierdurch könnte sich die Entwicklung innovativer Anwendungen neuer Technologien verlangsamen.» Die Verordnung soll die Binnenmarktdimension beim Datenschutz stärken und den Einzelpersonen bessere Möglichkeiten bieten, um die Datenschutzrechte wahrzunehmen.

Dazu wünscht man sich eine umfassende und einheitliche Regelung für alle Zuständigkeitsbereiche der Union. Begründung: Der Transfer personenbezogener Daten sowohl in andere EU-Staaten als auch in Drittstaaten nimmt rasant zu. Die praktischen Schwierigkeiten bei der Durchsetzung der Datenschutzvorschriften und die hierzu notwendige Zusammenarbeit zwischen den Mitgliedstaaten und ihren Behörden erfordern eine Organisation auf EU-Ebene.

Dazu sollen alle Betroffenen bei der Übermittlung personenbezogener Daten in Drittländer in gleichem Masse geschützt werden. Da müsste die Schweiz verlangen, dass das auch gegenseitig gelten würde und die Daten von Personen in Drittländern ebenso geschützt werden, also auch Käufe von schweizerischen Bankdaten in der EU verboten würden. Der Schutz personenbezogener Daten spielt eine zentrale Rolle in der Digitalen Agenda für Europa und allgemein in der Strategie Europa 2020. Juristische Grundlagen sind:

› Vertrag über die Arbeitsweise der Europäischen Union (AEUV Artikel 16), der mit dem Vertrag von Lissabon eingeführt wurde. Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

› EU-Grundrechtecharta (Artikel 7 und 8): Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens und ihrer Kommunikation sowie auf Schutz personenbezogener Daten.

Diese Datenschutz-Grundverordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert werden (Art. 2).

Auf einige Fälle ist die Verordnung nicht anzuwenden, z.B. für die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union oder zur Strafverfolgung. Anzuwenden ist die Verordnung auch nicht, wenn Daten durch natürliche Personen zu ausschliesslich persönlichen oder familiären Zwecken ohne jede Gewinnerzielungsabsicht verarbeitet werden. Andererseits kann es zu einer Verwarnung führen, wenn eine natürliche Person personenbezogene Daten ohne eigenwirtschaftliches Interesse verarbeitet und dabei, sogar unabsichtlich, die Verordnung verletzt. Das ist ein Widerspruch.

Nach dem schweizerischen Gesetz über Internationales Privatrecht IPRG Art. 139 gilt für Ansprüche aus Verletzung der Persönlichkeit durch das Bearbeiten von Personendaten sowie aus Beeinträchtigung des Rechts auf Auskunft über Personendaten nach Wahl des Geschädigten:

› Das Recht des Staates, in dem der Geschädigte seinen gewöhnlichen Aufenthalt hat, sofern der Schädiger mit dem Eintritt des Erfolges in diesem Staat rechnen musste

› Das Recht des Staates, in dem der Urheber der Verletzung seine Niederlassung oder seinen gewöhnlichen Aufenthalt hat oder

› das Recht des Staates, in dem der Erfolg der verletzenden Handlung eintritt, sofern der Schädiger mit dem Eintritt des Erfolges in diesem Staat rechnen musste.

Nach Datenschutz-Grundverordnung (Artikel 3) kann diese auch für Unternehmen in Drittländern gelten, also auch für die Schweiz

› wenn Einwohnern der EU Waren angeboten werden

› wenn Daten in Drittländern gesammelt werden, um das Verhalten von Personen in der EU zu beobachten

› für jede Verarbeitung personenbezogener Daten durch einen nicht in der EU niedergelassenen Verarbeiter an einem Ort, der nach internationalem Recht dem Recht eines Mitgliedstaats unterliegt.

Datenverarbeitung muss rechtmässig, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise erfolgen (Artikel 5). Betreffende Personen haben das Recht auf bestimmte Informationen z. B. den Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen.

Daten dürfen für genau festgelegte, eindeutige und rechtmässige Zwecke erhoben werden. Die Verarbeitung muss dem Zweck angemessen und sachlich relevant sein und auf das notwendige Mindestmass beschränkt werden. Die Daten müssen sachlich richtig und auf dem neuesten Stand sein. Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, jedoch höchstens so lange, wie es für die Realisierung der Zwecke, für die sie verarbeitet werden, erforderlich ist.

Wer Daten verarbeitet muss in Bezug auf die Verarbeitung personenbezogener Daten und die Ausübung der den betroffenen Personen zustehenden Rechte eine jedermann leicht zugängliche Strategie verfolgen (Artikel 11 und 12). Informatio­nen und Mitteilungen sollten in verständlicher Form zur Verfügung gestellt werden, besonders wenn die Information an ein Kind gerichtet ist.

Bestimmte Funktionen, um ihre Rechte auszuüben, sollten den Nutzern elektronisch angeboten werden (Artikel 13 bis 19), z. B. die Auskunft warum und wie Daten verarbeitet werden, sowie Informationen über das Recht auf Widerspruch, Berichtigung oder Löschung.

Nach Artikel 6 gilt eine Verarbeitung nur als rechtmässig, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

› Die betroffene Person hat ihre nachweisbare Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere genau festgelegte Zwecke gegeben.

› Die Verarbeitung ist für die Erfüllung eines Vertrags oder einer anderen gesetzlichen Verpflichtung erforderlich oder zur Durchführung vorvertraglicher Massnahmen, die auf Antrag der betroffenen Person erfolgen.

› Die Verarbeitung ist nötig, um lebenswichtige Interessen der betroffenen Person zu schützen.

› Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung hoheitlicher Gewalt erfolgt.

Die Verarbeitung sensibler personenbezogener Daten, z.B. betreffend ethnische Herkunft, politische Überzeugungen, die Religion, Sexualleben, Zugehörigkeit zu einer Gewerkschaft oder Strafurteile ist untersagt, ausser wenn die betroffene Person eingewilligt hat (Artikel 9).

Der für die Verarbeitung Verantwortliche trägt die Beweislast dafür, dass die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für eindeutig festgelegte Zwecke erteilt hat (Artikel 7). Eine schriftliche Einwilligung muss äusserlich erkennbar von einem anderen Sachverhalt getrennt werden. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen, was die bisherige Datenverarbeitung aber nicht unrechtmässig macht.

Die Einwilligung bietet keine Rechtsgrundlage für die Verarbeitung, wenn zwischen der Position der betroffenen Person und des Bearbeiters ein erhebliches Ungleichgewicht besteht. Ausdrücklich ist die Verarbeitung personenbezogener Daten eines Kindes bis zum vollendeten dreizehnten Lebensjahr, wenn ihm Dienstleistungen der Informationsgesellschaft angeboten werden, nur rechtmässig, wenn die Eltern oder der Vormund nachprüfbar einverstanden sind.

Eine wichtige Neuerung ist das Recht auf Vergessenwerden und auf Löschung (Artikel 17). Die betroffene Person kann die Löschung von personenbezogenen Daten und die Unterlassung jeglicher weiteren Verbreitung dieser Daten verlangen. Das gilt speziell wenn es sich um personenbezogene Daten handelt, die die betroffene Person im Kindesalter öffentlich gemacht hat. Wurden die Daten veröffentlicht muss der Verantwortliche alle vertretbaren Schritte, auch technischer Art, unternehmen um Dritte zu informieren, dass eine Person die Löschung der Daten verlangt und deren Zweck in der Auswertung bestimmter Merkmale ihrer Person oder die Analyse ihrer Lebensumstände besteht.

Eine betroffene Person hat das Recht, jederzeit gegen die Verarbeitung personenbezogener Daten, Widerspruch einzulegen, sofern der Bearbeiter nicht zwingende schutzwürdige Gründe für die Verarbeitung nachweisen kann (Art. 19). Für die Direktwerbung muss das Widerspruchsrecht unentgeltlich sein. Eine natürliche Person muss eine automatisierte Verarbeitung von Daten nicht akzeptieren, die ihr gegenüber rechtliche Wirkungen entfaltet oder sie in massgeblicher Weise beeinträchtigt und deren Zweck in der Auswertung bestimmter Merkmale ihrer Person oder die Analyse ihrer Lebensumstände ist (Artikel 20).

Für die Verarbeitung personenbezogener Daten, die allein zu journalistischen, künstlerischen oder literarischen Zwecken erfolgt, haben die Mitgliedstaaten Ausnahmebestimmungen zu schaffen, damit die Meinungsfreiheit gewahrt bleibt (Artikel 80). Die Mitgliedstaaten können in den Grenzen der Verordnung per Gesetz die Verarbeitung personenbezogener Arbeitnehmerdaten regeln, z.B. für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschliesslich der Erfüllung von gesetzlich oder tarifvertraglich festgelegten Pflichten.

Die Bearbeiter von Daten tragen die Verantwortung und haften dafür, dass bei jedem Verarbeitungsvorgang die Vorschriften dieser Verordnung eingehalten werden. Sie haben dies durch geeignete Massnahmen zu gewährleisten, wenn nötig den Nachweis dafür zu erbringen. Wenn mehrere Personen beziehungsweise Unternehmen Daten gemeinsam verarbeiten, müssen sie ihre Aufgaben festlegen, besonders wenn es um die Rechte des betroffenen Personen geht (Artikel 24).

Wer Daten verarbeitet muss für alle in seinem Auftrag durchzuführenden Verarbeitungsvorgänge einen sogenannten Auftragsverarbeiter auswählen. Dieser hat dafür zu sorgen, dass die betreffenden technischen und organisatorischen Datenschutzmassnahmen der Verordnung entsprechen (Artikel 26).

Alle für die Verarbeitung Verantwortlichen, alle Auftragsverarbeiter sowie etwaige Vertreter von für die Verarbeitung Verantwortlichen dokumentieren die ihrer Zuständigkeit unterliegenden Verarbeitungsvorgänge (Artikel 28). Sie haben mit der Aufsichtsbehörde zusammen zu arbeiten (Art. 29).

Der Datenschutz und die Rechte der betreffenden Personen sind auch durch technische Massnahmen zu sichern, die dem Stand der Technik entsprechen (Artikel 23 und 30). Personenbezogene Daten dürfen grundsätzlich nicht einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden und sind für alle unbefugten Personen zu verschlüsseln. Bei Verarbeitungsvorgängen, die konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen, ist eine Analyse betreffend den Schutz personenbezogener Daten durchzuführen (Artikel 33).

Neu vorgesehen ist auch das Recht auf Datenübertragung (Artikel 18). Betroffene Person haben das Recht, eine Kopie der verarbeiteten Daten in einem gängigen Format zu verlangen, wenn eine entsprechende Datei vorhanden ist. Hat die betroffene Person die personenbezogenen Daten selber zur Verfügung gestellt kann sie diese in einem gängigen elektronischen Format in ein anderes System überführen.

Jede betroffene Person hat das Recht auf Beschwerde bei einer mitgliedstaatlichen Aufsichtsbehörde (Artikel 73). Das Beschwerderecht besteht auch für Organisationen, die den Datenschutz zum Ziel haben.

Jede Person, der wegen einer rechtswidrigen Verarbeitung oder einer anderen mit dieser Verordnung nicht zu vereinbarenden Handlung ein Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter (Artikel 77).

Artikel 79 regelt die verwaltungsrechtlichen Sanktionen. Weitere Strafen können von den Mitgliedstaaten festgelegt werden. Für Verletzungen der Rechte von betroffenen Personen werden Geldbussen bis zu 250 000 Euro, in schwereren Fällen 500 000 Euro oder 0,5 oder 1 Prozent des weltweiten Jahresumsatzes angedroht. In einigen Fällen werden Geldbussen bis zu einer Million Euro oder im Fall eines Unternehmens bis in Höhe von zwei Prozent seines weltweiten Jahresumsatzes fällig, z. B. für die Verarbeitung personenbezogener Daten ohne ausreichende Rechtsgrundlage. «