DSVGO oder GDPR?! Ganz Europa spricht im Moment davon. Ganz? Nein, das Land der HelvetierInnen hört nichts davon, weiss nichts davon, kümmert sich wie oft nicht darum, was jenseits der geistigen Barrikaden vor sich geht. Auf der Insel der Glückseligen, wo fremde Richter gerade Gefahr laufen, entmachtet zu werden, will sich niemand um fremde Gesetze kümmern. Ein solcher Erlass ist die EU-DSGVO. In der ungekürzten Version heisst er Europäische Datenschutz-Grundverordnung1. Diese tritt am 25. Mai 2018 in Kraft und wird kräftig am vermeintlichen Unbeteiligtsein von Schweizer Firmen, Institutionen und Privatpersonen rütteln.
«EU-Was?!» kann uns doch gestohlen bleiben, denkt sich der Schweizer reflexartig. Wir sind nicht in der EU, wir wollen nicht in die EU, und überhaupt, die sollen uns in Ruhe lassen! Die Frage ist aber nicht, ob uns die EU behelligt, sondern eher, wie wir mit den Daten von EU-BürgerInnen umgehen. Die Personendaten ihrer BürgerInnen will die EU mit der Datenschutz-Grundverordnung auch im Ausland besser schützen. Diese Verordnung erstreckt sich auf alle natürlichen und juristischen Personen, die weltweit Daten von EU-BürgerInnen verarbeiten. Davon gibt es eben einige in der Schweiz: Personalvermittlungen, Arbeitgeber, Spitäler, Provider, Export-Firmen und eben auch all jene, die eine Webseite betreiben.
Vor allem jene Schweizer Einrichtungen könnten betroffen sein, welche personenbezogene Daten von EU-BürgerInnen kommerziell verarbeiten, speichern, einordnen, zusammenführen und weitergeben. Bei diesen sensiblen Daten handelt es sich um Namen, Anschriften, Bewegungsprofile, Bewerbungsunterlagen, Anstellungsverhältnisse, Kundenlisten, Patientendaten und eben auch IP-Adressen, die beim Besuch einer Webseite in den Logs anfallen. Auch die Hürde zur kommerziellen Verarbeitung personenbezogener Daten ist sehr niedrig und schnell genommen. Dazu reichen Werbe-Einblendungen auf einer Webseite bereits aus. Doch wesentlich problematischer wird es, wenn Webseitenbetreiber BesucherInnen aus EU-Ländern einen Schwarm von Tracking-Technologien unterjubeln, die personenbezogene Daten in datenschutzrechtlich zweifelhafte Drittländer wie die USA exportieren. Viele Schweizer Medienportale mit Reichweite in die EU verwenden solche problematische Technologien.
Sie sollten über die Bücher gehen, denn allem Anschein nach meint es die EU mit dem Datenschutz ihrer BürgerInnen ernst. Mit der DSGVO will sie ihren BügerInnen die Hoheit über ihre persönlichen Daten zurückgeben. Sie verschafft Ihnen umfassende Auskunfts‑, Lösch‑, und Berichtigungsrechte gegenüber DatenverarbeiterInnen. Letztere werden auf der anderen Seite verpflichtet, ihre Datenverarbeitungstätigkeit zu dokumentieren, gegenüber den Betroffenen transparent kund zu tun und auf Anfragen zu reagieren. Neu gilt für Datenverarbeitungstätigkeiten das Prinzip von «Opt-In», das heisst, dass Betroffene eine ausdrückliche und vorgängige Einwilligung in die Verarbeitung ihrer Personendaten abgeben müssen. Das dürfte der Werbebranche, die sich bislang auf dem «Opt-Out»-Prinzip gesonnt hat, missfallen. Die DSGVO wird etliche an Illegalität grenzende Praktiken von Datensammlern und ‑verkäufern scharf sanktionieren und trockenlegen. Das ist zu begrüssen.
Inwiefern EU-BürgerInnen ihre neuen Datenschutzrechte auch gegenüber Schweizer DatenverarbeiterInnen geltend machen werden, wird die Zukunft zeigen. Auf jeden Fall zielt die DSGVO ganz klar darauf ab, diese Rechte auch gegenüber Firmen ausserhalb der EU-Grenzen durchzusetzen, also auch in der Schweiz. Im Fokus der Verordnung stehen vordergründig amerikanische Tech-Giganten wie Google, Facebook und Amazon, welche die Daten von EU-BürgerInnen im grossen Stil verarbeiten. Diese müssen sich verpflichten, die datenschutzrechtlichen Vorgaben der EU einzuhalten. Ansonsten drohen empfindliche Strafen. Alles deutet darauf hin, dass sich die IT-Riesen an die Verordnung halten werden. EU-BürgerInnen haben somit in naher Zukunft eine mächtige rechtliche Handhabe gegenüber internationalen Konzernen. Im Sinne des Rechts auf Vergessen wird eine EU-BürgerIn beispielweise gegenüber Facebook die Löschung sämtlicher personenbezogener Daten, die über sie gespeichert wurden, einfordern können. Diese Möglichkeit wird SchweizerInnen leider verwehrt bleiben, weil die DSGVO zwar unter gewissen Voraussetzungen gegen sie, aber gewiss nicht für sie gilt. Klartext: Schweizer BürgerInnen sind schlechtergestellt und gehören weiterhin der international vehökerbaren Datenmasse an.
Im Bezug auf die konkrete Umsetzung der DSGVO herrscht momentan in Europa und auch hierzulande heillose Verwirrung. Gerade kleine BetreiberInnen von Webseiten sind mit den hohen Anforderungen der DSGVO rechtlich und technisch überfordert. Sie entscheiden sich deshalb, ihr Blog oder ihre Webseite vom Netz zu nehmen, um sich keinen rechtlichen Risiken auszusetzen. Diese sind zweifellos vorhanden, da sich die DSGVO auf alle erstreckt, die personenbezogene Daten von EU-BürgerInnen verarbeiten, also auch auf WebseitenbetreiberInnen, welche lediglich die IP-Adresse ihrer BesucherInnen erfassen. Das ist bereits eine konkrete Datenverarbeitung. Kontrovers diskutiert wird auch, ob es nach Inkrafttreten der DSGVO noch zulässig sein wird, Content Delivery Networks (CDNs) oder Google Fonts einzubinden. Diese Inhalte stammen zu einem nicht unwesentlichen Teil aus Drittländern und bringen womöglich eine Verarbeitung personenbezogener Daten mit sich. Es bestehen also kurz vor der rechtskräftigen Einführung der Verordnung etliche Rechtsunsicherheiten, gerade für die BetreiberInnen kleiner Webseiten. Es bleibt zu hoffen, dass diese Unsicherheiten nicht zu einem wahrhaftigen Blog- und Webseiten-Sterben führen und sich Inhalte nicht bei den grossen, rechtlich und finanziell potenten Plattformen konzentrieren werden. Das Internet würde ärmer und die beabsichtigte Stärkung des Datenschutzes würde sich in das Gegenteil verkehren.
Die Stossrichtung der DSGVO stimmt. Aber eine präzisere Einschränkung der Geltung auf datenverarbeitende Firmen mit einem gewissen Mindestumsatz wäre für ein prosperierendes Internet zwingend notwendig gewesen. Von einer Stärkung des Datenschutzes würde auch die Schweiz und ihre BürgerInnen profitieren. Aber im Alleingang ist es unwahrscheinlich, einen starken Datenschutz international durchzusetzen. Die EU hat gegenüber internationalen Konzernen das notwendige Gewicht dazu. Eine Anlehnung der Schweiz an den EU-Datenschutz wäre unter diesen Umständen zu begrüssen. Das politische Klima in der Schweiz und der fehlende Rahmenvertrag mit der EU lässt eine Annäherung im Moment jedoch kaum zu. Die Auswirkungen der DSGVO werden auf jeden Fall auch in der Schweiz zu spüren sein. Ohne Panik gilt es vorerst, die künftige Rechtsprechung zu Einzelheiten der DSGVO aufmerksam abzuwarten und zu beobachten. Für nicht-kommerzielle WebseitenbetreiberInnen in der Schweiz und in der EU, die Personendaten im erlaubten Rahmen bearbeiten, sind die Risiken kalkulierbar. Datenverarbeitende Firmen mit Reichweite in die EU wiederum sollten sich schleunigst rüsten, um empfindliche Bussen zu vermeiden.
In der Schweiz aber schläft oder verweigert man. Die EU ist weit weg. Noch.
*Dieser Artikel ist keine Rechtsberatung. Er erhebt keinen Anspruch auf Vollständigeit oder Richtigkeit.*
DSGVO und die Schweiz,
DSGVO und die Schweiz von Dominic Zschokke ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell 4.0 international.
Link-Verzeichnis:
1) Datenschutz-Grundverordnung – Wikipedia (https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung)