Privacy by Design

Am 25. Mai 2018 tritt in der gesamten EU eine neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie vereinheitlicht und verschärft die Vorschriften im Umgang mit personen­bezogenen Daten.

Der Anwendungsbereich der DSGVO ist so weitreichend, dass auch Schweizer Unternehmen davon betroffen sind. Über die Tragweite der Auswirkungen gibt es unterschiedliche Ansichten und viele Spekulationen. Selbst die offiziellen Informationen des Bundes sind auffallend unverbindlich gehalten.

Fakt ist: auch in der Schweiz ist man daran, ein neues Bundesgesetz über den Datenschutz auszuarbeiten. Dieses Gesetz wird und kann nicht grundlegend von der DSGVO abweichen. Somit besteht in jedem Fall in nächster Zeit Handlungsbedarf.

Wir haben uns durch diverse Unterlagen, Ratgeber und Widersprüche gekämpft und die wichtigsten allgemeinen Fragen in diesem Beitrag zusammengefasst. Als Agentur können wir keine rechtliche Beratung bieten und unseren Kunden nur empfehlen, im Zweifelsfalle die Situation von juristischen Fachpersonen individuell beurteilen zu lassen.  

Was bezweckt die DSGVO?

Die EU möchte einen einheitlichen rechtlichen Rahmen für den Umgang mit personenbezogenen Daten schaffen. Die DSGVO soll das schwindende Vertrauen der Bürgerinnen und Bürger wieder festigen und die digitale Wirtschaft stärken. Der Datenschutz wird erhöht durch mehr Transparenz und Prinzipien wie Privacy by Design und Privacy by Default.

Privacy by Design verlangt, dass der Datenschutz ein konzeptioneller Bestandteil bei der Entwicklung von Produkten und Dienstleistungen wird.

Privacy by Default bedeutet, dass Voreinstellungen bei Geräten oder Online-Plattformen standardmässig die höchste Datenschutzstufe erfüllen sollen.

Was sind personenbezogene Daten?

Personenbezogene Daten sind Angaben jeglicher Art, mit denen man eine Person eindeutig identifizieren kann – bzw. könnte: es genügt die Möglichkeit. Kauft jemand bei einem Webshop ein, ist die Sache klar. Da auch IP-Adressen als personenbezogene Daten gelten, muss der Begriff aber sehr weit interpretiert werden. Streng genommen sammelt jede Website per se personenbezogene Daten.

Warum ist die Schweiz von der DSGVO betroffen?

Ein Schweizer Unternehmen kann durch das Kriterium des Zielmarktes betroffen sein. Die Verordnung gilt, sobald eine in der EU nieder­gelassene Person direkt von einer Datenverarbeitung tangiert wird. Darunter fällt auch die Beobachtung des Verhaltens, sprich: Tracking.

Richtet sich das Angebot einer Website also (auch) an Personen aus der EU, gilt die DSGVO. Der Eidgenössische Datenschutzbeauftragte schreibt: Bei der Beurteilung, ob die Verordnung zur Anwendung kommt, ist stets der Einzelfall und insbesondere die Absicht des Verantwortlichen zu berücksichtigen, Personen im Gebiet der Union Waren oder Dienst­leistungen anzubieten oder ihr Verhalten zu beobachten.

Die blosse Zugänglichkeit einer Website scheint unproblematisch zu sein, es muss nachweislich eine Absicht des Anbieters bestehen. In anderem Zusammenhang gibt es Rechtssprechungen des Europäischen Gerichtshofes, die konkrete Anhaltspunkte liefern, welche Faktoren massgeblich sind, ob sich ein Angebot an ein EU-Zielpublikum richtet oder nicht.

Wer sollte besonders aufpassen?

Unternehmen oder Organisationen, die mit ihrem Angebot eindeutig auf den EU-Raum abzielen, sollten die DSGVO sehr ernst nehmen. Eine sorgfältige Abklärung empfiehlt sich auch bei der Verarbeitung von besonders sensiblen Daten. Dazu zählt alles im Zusammenhang mit Kindern und Minderjährigen. Spezialregeln gelten auch für Angaben zur Ethnie, Gesundheit, Sexualität, zu religiösen oder politischen Ansichten sowie Biometrie oder Genetik eines Menschen.

Gilt die DSGVO auch für kostenlose Angebote?

Ja, es spielt keine Rolle, ob finanzielle Geschäfte mit der Daten­verarbeitung verbunden sind oder nicht. Ausgenommen sind lediglich natürliche Personen mit ausschliesslich persönlicher oder familiärer Tätigkeit.

Was ändert sich durch die DSGVO?

Datenschutz an sich ist nichts Neues. Die verschärften Vorschriften bedingen aber in den Details zahlreiche Anpassungen. Firmen und Organisationen, die sich noch wenig mit dem Thema beschäftigt haben, müssen grundlegend umdenken.

Für die betroffenen Anbieter lassen sich im Wesentlichen zwei Handlungsbereiche unterscheiden:

1. Für die Datenverarbeitung muss ein internes Konzept vorliegen mit Verfahren und Richtlinien, wie die Vorschriften der DSGVO erfüllt werden. Es gilt Dokumentations- und Nachweispflicht sowie Meldepflicht im Falle von Sicherheitsverletzungen (z. B. Hacking von personenbezogenen Daten). In bestimmten Fällen ist die Benennung eines Datenschutzbeauftragten zwingend.

2. Die bestehenden digitalen Angebote und Datenverarbeitungen müssen überprüft und angepasst werden. Die User haben mehr Rechte, die Anbieter mehr Pflichten. Vieles Bedarf neu einer expliziten Zustimmung. Das sogenannte Opt-out, z. B. die Möglichkeit, das Tracking auf einer Website nachträglich zu deaktivieren, ist nicht mehr erlaubt und wird durch ein Opt-in, oft ein Double-Opt-in ersetzt. Beispiel Newsletter: Der User abonniert einen Newsletter durch eine bewusste Handlung wie eigenständiges Ankreuzen eines Formularfeldes. Als Reaktion erhält die Person eine E-Mail mit einem Bestätigungslink. Erst nachdem dieser Link angeklickt wurde, gilt der User als Abonnent. Aufgrund der Beweispflicht muss der Vorgang mit Zeitstempel geloggt werden. Fürs Abonnieren eines Newsletters hat sich dieses Verfahren schon im Vorfeld der DSGVO etabliert. Das Newsletter-Tracking hingegen wird längst nicht immer deklariert. Vielen Abonnenten ist nicht bewusst, dass beobachtet werden kann, ob sie den Newsletter in ihrem Mailprogramm auch geöffnet haben. Gemäss DSGVO muss der User umfassend aufgeklärt werden, es braucht einen Hinweis bzw. ein aktives Einverständnis.

Wird die Rechtslage einfacher oder komplizierter?

Die DSGVO macht es einheitlicher, aber nicht einfacher. Wie die Realität aussieht, werden erst Gerichtsurteile zeigen können. Die angedrohten Strafen sind beträchtlich, allerdings auch das letzte Mittel. Wer sich nicht an die Regeln hält, wird zuerst verwarnt.

Die Notwendigkeit einer Verschärfung des Datenschutzes ist unbestritten. Gleichzeitig ist voraussehbar, dass viele Massnahmen mehr pro forma als im Interesse der User umgesetzt werden. Das bedeutet: noch mehr «Kleingedrucktes», das niemand liest.

Auch Google ist im Kern davon betroffen und arbeitet noch an Lösungen, u. a. im Zusammenhang mit AdWords, die in der aktuellen Form der DSGVO nicht genügen. Es ist anzunehmen, dass sich von Grossunternehmen ausgehend Standards etablieren werden, an denen sich auch kleinere Firmen orientieren können.