Folgender Blogbeitrag zum Datenschutz in der EU wurde von David Schneeberger im Rahmen eines Leistungsnachweises des CAS Legal Tech verfasst und enthält subjektive Färbungen. Bewertet wurde der Beitrag von Studiengangsleiter Ioannis Martinis und redigiert von der Redaktion des Institute for Digital Business.

Datenschutz in der EU – warum braucht es das?

Gehackte Websites und Datenbanken gehören mittlerweile zum Alltag:

Datenschutzverletzungen

Weltweite grösste Datenschutzverletzungen

Der Schaden kann, aber muss nicht immer sehr gross sein. Da die wenigsten Personen solche Schäden einklagen, gibt es mittlerweile Unternehmen, die sich genau darauf spezialisiert haben. Angenommen, ich wäre vom Datenleck bei Facebook betroffen, dann könnte ich meinen Anspruch an RightNow verkaufen. Dass es aber gar nicht erst soweit kommt, braucht es gute Gesetze. Aus diesem Grund schützt die Schweiz die Personendaten und damit alle Angaben, die sich auf eine bestimmte natürliche Person beziehen. Demgegenüber schützt die EU mit der DSGVO die personenbezogenen Daten. Demzufolge sind Informationen geschützt, die sich auf eine identifizierte natürliche Person beziehen. Wie dies genau funktioniert, zeigte Carmen de la Cruz am 8. Mai 2021 auf.

Was ist das Verfahrensverzeichnis?

Der Datenverantwortliche entscheidet über den Zweck und die Mittel der Verarbeitung von personenbezogenen Daten. Des Weiteren ist er für die Einhaltung der gesetzlichen Vorschriften verantwortlich und führt daher ein Verzeichnis aller “Verarbeitungstätigkeiten”. Demgegenüber gibt es den Auftragsverarbeiter, welcher im Auftrag des Datenverantwortlichen ebenfalls Zugriff auf die Personendaten hat. Immerhin ist dies nur erlaubt, wenn ein “Auftragsverarbeitungsvertrag” vorliegt.

Jedes Unternehmen mit mehr als 250 Mitarbeitern muss ein schriftliches Verfahrensverzeichnis führen. Das Gesetz verlangt dabei eine Auskunft über die Person des Verantwortlichen und den Grund, wieso die jeweiligen Daten überhaupt verarbeitet werden sollen. Zudem muss gesagt werden, welche Kategorien der betroffenen Personen es gibt und wann die Daten wieder gelöscht werden. Ebenfalls steht im Verzeichnis, welche technischen und organisatorischen Massnahmen ergriffen wurden.

Welche Informationsrechte gibt es?

Die europäische DSGVO kennt verschiedene Informationsrechte:

Muss man mit einer Verarbeitung einverstanden sein?

Ja, dies ist explizit verlangt. Demgegenüber ist dies nicht notwendig, falls die Datenverarbeitung zur Erfüllung eines Vertrages notwendig ist. Immerhin muss die Einwilligung im Einzelfall erfolgen und dabei freiwillig und eindeutig sein. Darüber hinaus darf ein Widerruf jederzeit sowie ohne Begründung erfolgen.

Wann braucht es eine Datenschutz-Folgeabschätzung?

Eine DSFA braucht es, wenn aufgrund der Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Im Grunde genommen ist es für Unternehmen sowieso sinnvoll, die gefährlichsten Szenarien durchzudenken, bei denen Daten gestohlen oder verloren gehen könnten. Wer hierzu mehr erfahren möchte, dem empfehle ich den Artikel von Oliver Schonschek.

Gibt es auch Vorschriften zum Datenschutz in der EU auf der Website?

Ja, die gibt es in der Form einer obligatorischen Datenschutzerklärung. Kurz gesagt muss sich diese zu folgenden Punkten äussern:

  • Was der Name des Verantwortlichen ist
  • Woher und warum die Daten erhoben werden (dürfen)
  • Welche Arten von Personendaten es gibt und wer diese bekommt
  • Wie lange die Daten behalten werden
  • Welche Rechte die betroffenen Personen haben

Wer Hilfe bei der Erstellung einer solchen Erklärung braucht, der kann auf den Datenschutz-Generator von Datenschutzpartner zurückgreifen.

Wann sind Verletzungen des Datenschutzes zu melden?

Der Verantwortliche muss eine Verletzung innert 72 Stunden melden. Die Zeit beginnt mit der Kenntnisnahme zu laufen. Die Verletzung löst keine Meldung aus, wenn voraussichtlich kein Risiko für die Rechte und Freiheiten von natürlichen Personen besteht.

Die Schweiz erhält 2022 ein revidiertes Gesetz zum Datenschutz. Darin ist ebenfalls eine solche Meldepflicht vorgesehen.

Ist der Datenschutz in der EU sinnvoll ausgestaltet?

Der Schutz von Personendaten ist ein wichtiges Ziel. Die Frage ist jedoch, ob es hierzu wirklich das DSGVO braucht oder ob es nicht auch einfacher gegangen wäre. Die Erstellung der Verfahrensverzeichnisse und der DSFA ist sehr aufwändig. Ebenfalls werden viele Verträge anzupassen sein. Steht dieser Aufwand nun in einem vernünftigen Verhältnis zum zusätzlichen Schutz der Daten? Dies kann wahrscheinlich nur im Zusammenhang mit wirklich grossen Unternehmen, wie Facebook oder Google, bejaht werden, die auch tatsächlich umfassend mit Daten arbeiten.

Alle anderen Unternehmen, die das “Pech” haben, mehr als 250 Personen zu beschäftigen, haben wahrscheinlich einfach einen riesigen Aufwand, ohne dass der Benutzer einen echten Mehrwert daraus hat. Es wäre besser gewesen, eine echte Diskussion darüber zu führen, wem welche Daten gehören (sollen) oder sich gleich von der Annahme zu verabschieden, vollkommen anonym im Internet unterwegs sein zu wollen, aber gleichzeitig das halbe Leben in den sozialen Medien zu teilen. Nun ist die DSGVO aber hier und muss umgesetzt werden – ob sie so bleibt, ist eine andere Frage. Das Thema ist aber auch für die Schweiz wichtig, da sie ab 2022 viele ähnliche Regeln haben wird.