brain-rain.ch

Blog von Dominic Zschokke

DSGVO und die Schweiz

DSVGO oder GDPR?! Ganz Euro­pa spricht im Moment davon. Ganz? Nein, das Land der Hel­ve­tie­rIn­nen hört nichts davon, weiss nichts davon, küm­mert sich wie oft nicht dar­um, was jen­seits der geis­ti­gen Bar­ri­ka­den vor sich geht. Auf der Insel der Glück­se­li­gen, wo frem­de Rich­ter gera­de Gefahr lau­fen, ent­mach­tet zu wer­den, will sich nie­mand um frem­de Geset­ze küm­mern. Ein sol­cher Erlass ist die EU-DSGVO. In der unge­kürz­ten Ver­si­on heisst er Euro­päi­sche Daten­schutz-Grund­ver­ord­nung1. Die­se tritt am 25. Mai 2018 in Kraft und wird kräf­tig am ver­meint­li­chen Unbe­tei­ligt­sein von Schwei­zer Fir­men, Insti­tu­tio­nen und Pri­vat­per­so­nen rüt­teln.

«EU-Was?!» kann uns doch gestoh­len blei­ben, denkt sich der Schwei­zer reflex­ar­tig. Wir sind nicht in der EU, wir wol­len nicht in die EU, und über­haupt, die sol­len uns in Ruhe las­sen! Die Fra­ge ist aber nicht, ob uns die EU behel­ligt, son­dern eher, wie wir mit den Daten von EU-Bür­ge­rIn­nen umge­hen. Die Per­so­nen­da­ten ihrer Bür­ge­rIn­nen will die EU mit der Daten­schutz-Grund­ver­ord­nung auch im Aus­land bes­ser schüt­zen. Die­se Ver­ord­nung erstreckt sich auf alle natür­li­chen und juris­ti­schen Per­so­nen, die welt­weit Daten von EU-Bür­ge­rIn­nen ver­ar­bei­ten. Davon gibt es eben eini­ge in der Schweiz: Per­so­nal­ver­mitt­lun­gen, Arbeit­ge­ber, Spi­tä­ler, Pro­vi­der, Export-Fir­men und eben auch all jene, die eine Web­sei­te betrei­ben.

DSGVO mit Enter-Taste

Drü­cken Sie «Enter»! Ab dem 25. Mai 2018 gilt die DSGVO ali­as GDPR. Bild Pixa­by, Lizenz CC0.

Vor allem jene Schwei­zer Ein­rich­tun­gen könn­ten betrof­fen sein, wel­che per­so­nen­be­zo­ge­ne Daten von EU-Bür­ge­rIn­nen kom­mer­zi­ell ver­ar­bei­ten, spei­chern, ein­ord­nen, zusam­men­füh­ren und wei­ter­ge­ben. Bei die­sen sen­si­blen Daten han­delt es sich um Namen, Anschrif­ten, Bewe­gungs­pro­fi­le, Bewer­bungs­un­ter­la­gen, Anstel­lungs­ver­hält­nis­se, Kun­den­lis­ten, Pati­en­ten­da­ten und eben auch IP-Adres­sen, die beim Besuch einer Web­sei­te in den Logs anfal­len. Auch die Hür­de zur kom­mer­zi­el­len Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ist sehr nied­rig und schnell genom­men. Dazu rei­chen Wer­be-Ein­blen­dun­gen auf einer Web­sei­te bereits aus. Doch wesent­lich pro­ble­ma­ti­scher wird es, wenn Web­sei­ten­be­trei­ber Besu­che­rIn­nen aus EU-Län­dern einen Schwarm von Tracking-Tech­no­lo­gi­en unter­ju­beln, die per­so­nen­be­zo­ge­ne Daten in daten­schutz­recht­lich zwei­fel­haf­te Dritt­län­der wie die USA expor­tie­ren. Vie­le Schwei­zer Medi­en­por­ta­le mit Reich­wei­te in die EU ver­wen­den sol­che pro­ble­ma­ti­sche Tech­no­lo­gi­en.

Sie soll­ten über die Bücher gehen, denn allem Anschein nach meint es die EU mit dem Daten­schutz ihrer Bür­ge­rIn­nen ernst. Mit der DSGVO will sie ihren Büge­rIn­nen die Hoheit über ihre per­sön­li­chen Daten zurück­ge­ben. Sie ver­schafft Ihnen umfas­sen­de Aus­kunfts-, Lösch-, und Berich­ti­gungs­rech­te gegen­über Daten­ver­ar­bei­te­rIn­nen. Letz­te­re wer­den auf der ande­ren Sei­te ver­pflich­tet, ihre Daten­ver­ar­bei­tungs­tä­tig­keit zu doku­men­tie­ren, gegen­über den Betrof­fe­nen trans­pa­rent kund zu tun und auf Anfra­gen zu reagie­ren. Neu gilt für Daten­ver­ar­bei­tungs­tä­tig­kei­ten das Prin­zip von «Opt-In», das heisst, dass Betrof­fe­ne eine aus­drück­li­che und vor­gän­gi­ge Ein­wil­li­gung in die Ver­ar­bei­tung ihrer Per­so­nen­da­ten abge­ben müs­sen. Das dürf­te der Wer­be­bran­che, die sich bis­lang auf dem «Opt-Out»-Prinzip gesonnt hat, miss­fal­len. Die DSGVO wird etli­che an Ille­ga­li­tät gren­zen­de Prak­ti­ken von Daten­samm­lern und -ver­käu­fern scharf sank­tio­nie­ren und tro­cken­le­gen. Das ist zu begrüs­sen.

Inwie­fern EU-Bür­ge­rIn­nen ihre neu­en Daten­schutz­rech­te auch gegen­über Schwei­zer Daten­ver­ar­bei­te­rIn­nen gel­tend machen wer­den, wird die Zukunft zei­gen. Auf jeden Fall zielt die DSGVO ganz klar dar­auf ab, die­se Rech­te auch gegen­über Fir­men aus­ser­halb der EU-Gren­zen durch­zu­set­zen, also auch in der Schweiz. Im Fokus der Ver­ord­nung ste­hen vor­der­grün­dig ame­ri­ka­ni­sche Tech-Gigan­ten wie Goog­le, Face­book und Ama­zon, wel­che die Daten von EU-Bür­ge­rIn­nen im gros­sen Stil ver­ar­bei­ten. Die­se müs­sen sich ver­pflich­ten, die daten­schutz­recht­li­chen Vor­ga­ben der EU ein­zu­hal­ten. Ansons­ten dro­hen emp­find­li­che Stra­fen. Alles deu­tet dar­auf hin, dass sich die IT-Rie­sen an die Ver­ord­nung hal­ten wer­den. EU-Bür­ge­rIn­nen haben somit in naher Zukunft eine mäch­ti­ge recht­li­che Hand­ha­be gegen­über inter­na­tio­na­len Kon­zer­nen. Im Sin­ne des Rechts auf Ver­ges­sen wird eine EU-Bür­ge­rIn bei­spiel­wei­se gegen­über Face­book die Löschung sämt­li­cher per­so­nen­be­zo­ge­ner Daten, die über sie gespei­chert wur­den, ein­for­dern kön­nen. Die­se Mög­lich­keit wird Schwei­ze­rIn­nen lei­der ver­wehrt blei­ben, weil die DSGVO zwar unter gewis­sen Vor­aus­set­zun­gen gegen sie, aber gewiss nicht für sie gilt. Klar­text: Schwei­zer Bür­ge­rIn­nen sind schlech­ter­ge­stellt und gehö­ren wei­ter­hin der inter­na­tio­nal vehö­ker­ba­ren Daten­mas­se an.

Im Bezug auf die kon­kre­te Umset­zung der DSGVO herrscht momen­tan in Euro­pa und auch hier­zu­lan­de heil­lo­se Ver­wir­rung. Gera­de klei­ne Betrei­be­rIn­nen von Web­sei­ten sind mit den hohen Anfor­de­run­gen der DSGVO recht­lich und tech­nisch über­for­dert. Sie ent­schei­den sich des­halb, ihr Blog oder ihre Web­sei­te vom Netz zu neh­men, um sich kei­nen recht­li­chen Risi­ken aus­zu­set­zen. Die­se sind zwei­fel­los vor­han­den, da sich die DSGVO auf alle erstreckt, die per­so­nen­be­zo­ge­ne Daten von EU-Bür­ge­rIn­nen ver­ar­bei­ten, also auch auf Web­sei­ten­be­trei­be­rIn­nen, wel­che ledig­lich die IP-Adres­se ihrer Besu­che­rIn­nen erfas­sen. Das ist bereits eine kon­kre­te Daten­ver­ar­bei­tung. Kon­tro­vers dis­ku­tiert wird auch, ob es nach Inkraft­tre­ten der DSGVO noch zuläs­sig sein wird, Con­tent Deli­very Net­works (CDNs) oder Goog­le Fonts ein­zu­bin­den. Die­se Inhal­te stam­men zu einem nicht unwe­sent­li­chen Teil aus Dritt­län­dern und brin­gen womög­lich eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten mit sich. Es bestehen also kurz vor der rechts­kräf­ti­gen Ein­füh­rung der Ver­ord­nung etli­che Rechts­un­si­cher­hei­ten, gera­de für die Betrei­be­rIn­nen klei­ner Web­sei­ten. Es bleibt zu hof­fen, dass die­se Unsi­cher­hei­ten nicht zu einem wahr­haf­ti­gen Blog- und Web­sei­ten-Ster­ben füh­ren und sich Inhal­te nicht bei den gros­sen, recht­lich und finan­zi­ell poten­ten Platt­for­men kon­zen­trie­ren wer­den. Das Inter­net wür­de ärmer und die beab­sich­tig­te Stär­kung des Daten­schut­zes wür­de sich in das Gegen­teil ver­keh­ren.

Die Stoss­rich­tung der DSGVO stimmt. Aber eine prä­zi­se­re Ein­schrän­kung der Gel­tung auf daten­ver­ar­bei­ten­de Fir­men mit einem gewis­sen Min­dest­um­satz wäre für ein pro­spe­rie­ren­des Inter­net zwin­gend not­wen­dig gewe­sen. Von einer Stär­kung des Daten­schut­zes wür­de auch die Schweiz und ihre Bür­ge­rIn­nen pro­fi­tie­ren. Aber im Allein­gang ist es unwahr­schein­lich, einen star­ken Daten­schutz inter­na­tio­nal durch­zu­set­zen. Die EU hat gegen­über inter­na­tio­na­len Kon­zer­nen das not­wen­di­ge Gewicht dazu. Eine Anleh­nung der Schweiz an den EU-Daten­schutz wäre unter die­sen Umstän­den zu begrüs­sen. Das poli­ti­sche Kli­ma in der Schweiz und der feh­len­de Rah­men­ver­trag mit der EU lässt eine Annä­he­rung im Moment jedoch kaum zu. Die Aus­wir­kun­gen der DSGVO wer­den auf jeden Fall auch in der Schweiz zu spü­ren sein. Ohne Panik gilt es vor­erst, die künf­ti­ge Recht­spre­chung zu Ein­zel­hei­ten der DSGVO auf­merk­sam abzu­war­ten und zu beob­ach­ten. Für nicht-kom­mer­zi­el­le Web­sei­ten­be­trei­be­rIn­nen in der Schweiz und in der EU, die Per­so­nen­da­ten im erlaub­ten Rah­men bear­bei­ten, sind die Risi­ken kal­ku­lier­bar. Daten­ver­ar­bei­ten­de Fir­men mit Reich­wei­te in die EU wie­der­um soll­ten sich schleu­nigst rüs­ten, um emp­find­li­che Bus­sen zu ver­mei­den.

In der Schweiz aber schläft oder ver­wei­gert man. Die EU ist weit weg. Noch.

*Die­ser Arti­kel ist kei­ne Rechts­be­ra­tung. Er erhebt kei­nen Anspruch auf Voll­stän­di­geit oder Rich­tig­keit.*

 

VN:F [1.9.22_1171]
Rating: 0.0/6 (0 votes cast)
image_pdfimage_print

CC BY-NC 4.0 DSGVO und die Schweiz von Domi­nic Zschok­ke ist lizen­ziert unter Crea­ti­ve Com­mons Namens­nen­nung-Nicht­Kom­mer­zi­ell 4.0 inter­na­tio­nal.

, , , , , , , , , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*