Das bringt Ihnen das neue EU-Datenschutzgesetz
Das neue EU-Datenschutzgesetz hat weitreichende Folgen für die Wirtschaft – sieht aber auch deutliche Verbesserungen für Konsumenten vor. Ein Überblick.
Veröffentlicht am 14. Juni 2018 - 09:49 Uhr,
aktualisiert am 14. Juni 2018 - 09:05 Uhr
Mehr Kontrolle des Konsumenten über seine eigenen Daten – das ist das Ziel des neuen EU-Datenschutzgesetzes.
Viel wird über das neue EU-Datenschutzgesetz DSVGO und dessen weitreichende Folgen für die Unternehmen diskutiert. Dabei geht oft unter, dass das neue Gesetz in erster Linie die Rechte der Konsumenten stärkt.
Die DSGVO (Datenschutzgrundverordnung) der EU gilt für alle personenbezogenen Daten, die ganz oder zumindest teilweise automatisiert verarbeitet werden. Nicht automatisch verarbeitete Daten fallen dann unter die DSGVO, wenn sie systematisch in einem Dateisystem gespeichert werden. Ausnahmen sind vorgesehen unter anderem bei der Verfolgung von Straftaten oder wenn die Datenverarbeitung ausschliesslich persönlichen oder familiären Angelegenheiten dient.
Ob die DSGVO für Unternehmen und Privatpersonen gilt, hängt von zwei Kriterien ab:
Kriterium der Niederlassung:
Ist ein Unternehmen in der Europäischen Union niedergelassen, findet die Verordnung automatisch Anwendung, auch wenn die Datenverarbeitung ausserhalb der EU stattfindet. Somit betrifft sie zum Beispiel auch WhatsApp-User in der Schweiz, da die europäische Niederlassung des Instant-Messaging-Dienstes in Dublin liegt.
Firmen mit Sitz in der Schweiz müssen sich (noch) nicht automatisch der DSGVO unterordnen, wenn diese ausschliesslich in der Schweiz beziehungsweise in Nicht-EU-Ländern operieren. Allerdings ist zu erwarten, dass das Schweizer Datenschutzgesetz (DSG) bald an die DSGVO angepasst wird, um die freie Datenübermittlung zwischen Schweizer und EU Unternehmen weiterhin zu gewährleisten.
Kriterium des Zielmarktes:
Befindet sich die Niederlassung des Unternehmens ausserhalb der EU, kann die DSGVO trotzdem greifen, wenn die Datenverarbeitung Personen innerhalb der EU betrifft. Das gilt zum Beispiel für Schweizer Firmen, die Waren oder Dienstleistung für EU-Bürger anbieten. Für die meisten Firmen pikant: Die Versendung von Newslettern an Kunden innerhalb der EU ist davon ebenfalls betroffen.
Die wichtigsten Rechte für die Konsumenten zusammengefasst:
Hauptziel der Reform ist, die Kontrolle der Konsumenten über ihre eigenen Daten zu stärken. Dazu wurde eine Reihe von Rechten festgelegt, die jeder User gegenüber den für die Datenverarbeitung verantwortlichen Organisationen in Anspruch nehmen kann:
1. Mehr (Daten-)Transparenz: Sie haben ein Anrecht darauf zu wissen, wer welche Daten von Ihnen besitzt
Recht auf Information: DSGVO Art. 13 & 14
Sobald ein Unternehmen personenbezogene Daten sammelt, ist es verpflichtet, die betroffene Person umgehend ausführlich über die Datenerhebung sowie über deren Zweck zu informieren. Dies gilt auch und insbesondere dann, wenn die Daten nicht bei der betroffenen Person selbst erhoben werden. Haben Sie beispielsweise Ihre Daten bei einem Anbieter abgelegt und dieser leitet sie an eine andere Stelle weiter, muss der Anbieter Sie über diesen Vorgang informieren.
Auskunftsrecht: DSGVO Art. 15
Der Konsument hat das Recht von Unternehmen (ohne Begründung) eine Bestätigung zu verlangen, ob dieses personenbezogene Daten von ihm sammelt. Ist dies der Fall, müssen die Daten dem Konsumenten zur Verfügung gestellt werden.
Dabei gilt: Die Unternehmen müssen den Betroffenen die gesammelten Daten «in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln». (DSGVO Art. 12)
2. Mehr (Daten-)Kontrolle: Ihr Recht auf Löschung und Datenportabilität
Recht auf Löschung «Recht auf Vergessenwerden»: DSGVO Art. 17
Bereits im Mai 2014 entschied der Europäische Gerichtshof, dass Betroffene unter gewissen Voraussetzungen die Löschung von Links mit auf sie bezogenen Inhalten aus den Ergebnislisten von Suchmaschinen verlangen können.
Die neue Verordnung geht noch einen Schritt weiter: Der Verantwortliche, der die Daten veröffentlicht hat, ist nun zusätzlich verpflichtet, andere Anbieter, zu denen die Daten weitergereicht wurden, über die Löschungsabsicht des Betroffenen zu informieren.
Recht auf Datenübertragbarkeit (Datenportabilität): Art. 20 DSGVO
Ab sofort soll Kunden der Anbieterwechsel erleichtert werden (etwa bei einem Wechsel des Musik-Streaming-Dienstes). Die neue Verordnung verpflichtet Unternehmen, dem User seine personenbezogenen Daten zur Verfügung zu stellen. Mehr noch: sie müssen die Daten auf Wunsch direkt dem neuen Anbieter übermitteln, wenn dies technisch möglich ist (Datenportabilität). Die Idee, die dahinter steckt: Das Aufbrechen von Monopolen. Der Kunde soll nicht ewig bei ein und demselben Anbieter bleiben müssen, nur weil ein Wechsel mit zu vielen Komplikationen verbunden ist.
Recht auf Verzicht auf eine automatisierte Entscheidung im Einzelfall: Art. 22 DSGVO
Die neue Verordnung gibt betroffenen Personen das Recht, keiner Entscheidung unterworfen zu sein, die «ausschliesslich auf einer automatisierten Verarbeitung» beruht. Das gilt insbesondere auch für das sogenannte Profiling, wie es teilweise bei Bewerbungsverfahren oder Kreditvergaben zur Anwendung gelangt. Allerdings sieht der Gesetzestext hier einige Ausnahmen vor. Es wird sich wohl in der Praxis erst erweisen müssen, wie viel diese Bestimmung wert ist.
3. Mehr Schutz: Besonders für Kinder
Die DSGVO sieht zudem einen besonderen Schutz für Kinder und Jugendliche vor, da davon auszugehen ist, dass diese sich den Risiken und Folgen ihrer Rechte bei der Verarbeitung personenbezogener Daten weniger bewusst sind. Nach neuem Gesetz dürfen personenbezogene Daten von unter 16-Jährigen nur verarbeitet werden, wenn die Eltern dem zustimmen. (Den EU-Staaten ist es freigestellt die Grenze auf 13 Jahre herunterzusetzen.) Wie diese Zustimmung genau erfolgen soll, ist allerdings noch weitestgehend unklar. Diskutiert wird unter anderem ein spezielles Double-Opt-In-Verfahren. Hier muss der Minderjährige eine zweite Mailadresse (seiner Eltern) angeben, an welche ein Link versendet wird, der wiederum von den Eltern bestätigt werden muss.
