EU-DSGVO: Fertig mit Fake News – höchste Zeit mit ein paar Unklarheiten aufzuräumen – Teil 1

27. März 2018 von Dominic Brander Veröffentlicht unter Know-how/Tipps&Tricks, Online Marketing/Social Media, Schulungen Verschlagwortet mit ,

In weniger als zwei Monaten, am 25.05.2018, läuft die Übergangsfrist ab und die EU-Datenschutz-Grundverordnung wird unmittelbar wirksam. Mit dem Näherrücken dieser harten Deadline macht sich viel Aktionismus rund um das Thema breit und die Auslegung der Verordnung wird heiss diskutiert.

Uns als Dienstleister betrifft die Verordnung auch direkt. Auch um unsere Kunden aus erster Hand beraten zu können, haben wir umfassend recherchiert und die gewonnenen Erkenntnisse in einen Leitfaden einfliessen lassen. Den Leitfaden können Sie hier kostenlos bestellen.

Aber in diesem Blog-Beitrag geht es nicht um unseren Leitfaden und auch nicht darum, zum wiederholten Male die einzelnen Artikel des DSGVO herunterzuleiern und zu kommentieren. Was uns bei der Recherche unangenehm aufgefallen ist: Wir sind auf (zu viele) Fehlinformationen und Unklarheiten gestossen. An dieser Stelle möchten wir daher in einem mehrteiligen Blogbeitrag, die am häufigst aufgetretenen Fehlinformationen klar stellen und bei der einen oder anderen Fragestellung, etwas Licht ins Dunkel bringen. Fokussiert haben wir uns bei dieser Zusammenstellung auf Fragestellungen, die Schweizer Unternehmen und die Digitalwirtschaft betreffen. Wir hoffen damit den DSGVO-Neulingen in der Schweiz den Einstieg in das komplexe Thema etwas zu erleichtern.

Irrtum 1: „Die EU-DSGVO betrifft uns Schweizer Unternehmen nicht.“

Der Irrglauben, dass Schweizer Unternehmen von der DSGVO nicht betroffen sind, hält sich leider seit langem hartnäckig. Richtig ist: Zu 99% fallen Sie mit Ihrem Unternehmen in den räumlichen und sachlichen Anwendungsbereich der DSGVO. Um das zu erklären müssen wir einen einen Blick auf diese beiden Anwendungsbereiche werfen:

Für den räumlichen Anwendungsbereich sind die Kriterien Niederlassung und Zielmarkt (Marktortprinzip) für die meisten Unternehmen die ausschlaggebenden:

  • Niederlassung: Betroffen sind Unternehmen, die eine Niederlassung in der EU haben.
  • Zielmarkt: Betroffen sind Unternehmen, die in der EU Waren oder Dienstleistungen anbieten u/o das Verhalten einer in der EU niedergelassenen Person beobachten.

Für den sachlichen Anwendungsbereich ist entscheidend, ob Sie personenbezogene Daten verarbeiten. Betreiben Sie mit Ihrem Unternehmen eine Website oder einen Online Shop? Dann verarbeiten Sie personenbezogene Daten! Denn IP-Adressen, welche beim Zugriff gespeichert werden, zählen als personenbezogene Daten (siehe dazu auch Irrtum 3).

Für viele Schweizer Unternehmen dürfte das Niederlassungsprinzip nicht relevant sein. Und zahlreiche Firmen bieten auch keine Waren oder Dienstleistungen in der EU an. Daher wohl der Irrglaube, dass man als Schweizer Unternehmen nicht in den Anwendungsbereich der DSGVO fällt.

Dabei wird aber der Passus „Beobachten von einer in der EU niedergelassenen Person“ fälschlicherweise ausser Acht gelassen. Denn die allermeisten Unternehmen betreiben eine Website oder einen Online Shop. Und diese sind üblicherweise von überall her zugreifbar, also auch von der EU aus und fallen somit in den räumlichen Anwendungsbereich. Und durch das Speichern von Zugriffen der Nutzer auf die Webpräsenz greift auch der sachliche Anwendungsbereich.

Fakt: Mit dem Betrieb einer Website beobachten Sie das Verhalten von in der EU niedergelassenen Personen und verarbeiten personenbezogene Daten – egal ob Sie Waren in der EU anbieten. Sie unterliegen mit Ihrem Unternehmen somit der DSGVO.

 

Irrtum 2: „Ohne ausdrückliche Einwilligung darf ich keine personenbezogene Datenverarbeitung betreiben.“

Auch diese Fehlinformation wird fleissig weiterverbreitet und führt teilweise zu abstrusen Behauptungen und Auslegungen der Verordnung. Grund genug die Sache etwas genauer zu untersuchen. Gesetzlich erlaubt ist die Verarbeitung der Daten in den folgenden Anwendungsfällen:

  1. durch Einwilligung
  2. im Rahmen von Anfragen und Vertragsabwicklung
  3. aufgrund gesetzlicher Verpflichtungen
  4. aufgrund berechtigter Interessen
  5. zum Schutz lebenswichtiger Interessen
  6. öffentliches Interesse

Für die meisten Unternehmen werden wohl die Punkte „5. Zum Schutz“ und „6. Öffentliches Interesse“ eher nicht relevant sein. Dies sind vornehmlich Anwendungsfälle, welche sich auf Behörden und die öffentliche Hand beziehen. Werfen wir also einen genaueren Blick auf die anderen vier Fälle:

Der Anwendungsfall Einwilligung tritt dann in Kraft, wenn die Person ihre ausdrückliche Einwilligung gegeben hat (Achtung: Minderjährige unter 16 sind nicht einwilligungsfähig!). Eine rechtssichere Einwilligung liegt nur dann vor, wenn der Benutzer ausführlich informiert, freiwillig und unmissverständlich in die Verarbeitung eingewilligt hat.

Dass Daten im Rahmen von Anfragen und Vertragsabwicklung verarbeitet werden dürfen liegt wohl auf der Hand. In diesem Zusammenhang wichtig zu wissen ist, dass auch für die Vertragsanbahnung personenbezogene Daten verarbeitet werden dürfen.

Verarbeitung aufgrund von gesetzlichen Verpflichtungen: Hierunter fallen all die Verarbeitungen, die gesetzlich vorgegeben sind. Das wohl offensichtlichste Beispiel dürfte die gesetzliche Aufbewahrungspflicht von Belegen sein.

Für die Digitalwirtschaft dürfte der Punkt Verarbeitung aufgrund berechtigter Interessen der wohl bedeutendste sein. Denn unter berechtigen Interessen sind insbesondere auch wirtschaftliche Interessen zu verstehen! Bei diesem Anwendungsfall gilt es die Schutzinteressen der Personen mit den berechtigen Interessen des Verarbeiters abzuwägen. Vereinfacht gesagt: Je besser die Schutzmassnahmen (z.B. Pseudonymisierung) und Informationen (z.B. Datenschutzerklärung) umso mehr Spielraum besteht bei der Verarbeitung.

Fakt: Neben der eigentlichen Einwilligung durch den Benutzer bestehen verschiedene weitere gesetzlich erlaubte Anwendungsfälle.
Aufgrund der hohen Hürden bei der Einwilligung besteht ein sehr grosses Potential, dass bei der personenbezogenen Datenverarbeitung in der Digitalwirtschaft zunehmend auf das berechtige Interesse verwiesen wird. Die künftige Rechtsprechung wird zeigen, wie dehnbar die Auslegung des berechtigen Interesses ist.

 

Irrtum 3: „Auf unserer Website verarbeiten wir keine personenbezogenen Daten.“

Auch wenn Sie auf Ihrer Website weder einen Newsletter, noch ein Kontaktformular, noch ein Login anbieten und keine Social Media einbinden – auch Sie verarbeiten personenbezogene Daten. Um zu klären, wieso das so ist, müssen wir einen Blick auf die einzelnen Begriffe werfen.

Was sind „personenbezogene Daten“?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbar sind Personen dann, wenn sie direkt oder indirekt einem Namen, Online Kennung, Standortdaten oder besonderen Merkmalen zugeordnet werden können. Als besondere Merkmale sind zu nennen: physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identitäten.

Entscheidend ist also nicht, ob Sie wirklich eine Person identifizieren möchten, sondern vielmehr, ob die Möglichkeit besteht, eine Person zu identifizieren: Beim Zugriff auf Ihre Website speichern Sie, respektive Ihr Provider, alle Zugriffe der Nutzer. Bei diesen Daten (IP-Adresse, Zeitpunkt, uvm.) handelt es sich um identifizierbare Daten natürlicher Personen.

Und was muss ich mir unter „Verarbeitung“ vorstellen?

Die Verordnung versteht unter dem Begriff die ganz oder teilweise automatisierte Verarbeitung sowie die nichtautomatisierte Verarbeitung von Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Fakt: Mit dem Betrieb einer Website erfüllen Sie automatisch das Kriterium „Verarbeitung personenbezogener Daten“. Denn auch IP-Adressen können genutzt werden um natürliche Personen direkt oder indirekt weiteren persönlichen Merkmalen zu geordnet zu werden.

 

Fazit

Nach wie vor herrscht grosse Unsicherheit bei der Auslegung der DSGVO. Noch gibt es keine Rechtsprechung und die Zukunft wird zeigen müssen, wie die einzelnen Punkte in der Praxis rechtssicher ausgelegt werden sollen.

Wir hoffen mit diesem ersten Beitrag etwas Licht ins Dunkle gebracht und einige Irrtümer geklärt zu haben. Den zweiten Teil zum Thema DSGVO-Irrtümer bringen wir in wenigen Tagen wieder in diesem Blog. Schauen Sie also schon bald wieder vorbei – es lohnt sich!

Möchten Sie auch einen DSGVO-Irrtum geklärt haben? Lassen Sie es uns wissen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.