· Datenschutz

Datenschutz – DSGVO & GDPR

Natürlich liegt uns der Datenschutz auch sehr am Herzen…

Ja, das sagen sie alle. Diese Aussage trifft auch auf uns voll und ganz zu. Obwohl wir keine Juristen sind, möchten wir hier kurz auf ein paar Grundlagen eingehen. Unser Ziel ist es, dir eine Grundidee der rechtlichen Lage rund um den europäischen Datenschutz zu vermitteln. Das kann sowohl im geschäftlichen als auch im privaten Alltag nie schaden. Wagen wir zusammen einen ersten Einblick in die DSVGO. Die Datenschutz-Grundverordnung (DSVGO) der Europäischen Union reglementiert und schützt die Verarbeitung von personenbezogenen Daten innerhalb und im Austausch mit der EU. Seit 2018 ist sie Teil des gemeinsamen Datenschutzrahmens. Nachfolgend fassen wir den Sachverhalt kurz zusammen.

Schutz von personenbezogenen Daten

Grundsätzlich hat die Verordnung das Ziel, Daten natürlicher Personen zu schützen. Dabei geht es insbesondere um personenbezogene Daten. Das sind gleichzeitig auch die wertvollsten Daten aus Sicht der betroffenen Personen – aber auch aus Sicht diverser Unternehmen.

Unter personenbezogenen Daten versteht man Daten, welche einzeln oder in Kombination mit weiteren Informationen auf eine Person zurückzuführen sind.

Es sind also Daten gemeint, welche direkt oder über Umwege zu einer Einzelperson führen. Dazu gehören einige offensichtliche, aber auch eher überraschende Informationen. Schauen wir uns ein paar Beispiele für personenbezogene Daten an:

  • Name und Vorname
  • Wohnadresse
  • E-Mail Adresse
  • Pass- oder ID-Nummer
  • Standortinformationen
  • Cookie- oder Werbekennung
  • Medizinisches Dossier eines Arztes oder Spitals

Oft sind wir uns gar nicht bewusst, dass solche Informationen von uns gesammelt werden:

  • Die Standortfreigabe kann bereits auf der Ebene des Betriebssystems stattfinden. So wird der Standort geteilt ohne eine spezifisch App zu nutzen.
  • Viele Applikationen auf Smartphones verlangen die Standortfreigabe ohne offensichtlichen Grund.
  • Trackingdienste, wie beispielsweise Google Analytics, verwenden eindeutige Nutzerkennung für die Analyse von seitenübergreifenden und wiederkehrenden Analysen.

Angebote von Waren und Dienstleistungen

Ein wichtiger Punkt, gerade für Online Shops, ist das Marktortprinzip: Die DSGVO gilt für das Angebot von Waren und Dienstleistungen an natürliche Personen im europäischen Wirtschaftsraum. Sie gilt unabhängig von der jeweiligen Staatsbürgerschaft und auch für kostenlose Angebote. Hat ein Online Shop aus der Schweiz die Absicht Produkte auch in Deutschland zu verkaufen, gilt die DSGVO. In Einzelfällen muss geprüft werden, ob auf Seite des Betreibers ein beabsichtigtes Angebot vorliegt oder nicht.

EU-Datenschutz-Vertretung

Grundsätzlich gilt die Pflicht für eine EU-Datenschutz-Vertretung, sofern die DSGVO Anwendung findet. Die Vertretung dient als Anlaufstelle für Behörden und Betroffene. Als Vertretung kann eine natürliche oder juristische Person eingesetzt werden. Im Rahmen der Informationspflicht ist die Vertretung zu dokumentieren und auf der Website zu veröffentlichen.

Situation in der Schweiz

Zusammengefasst gilt die DSGVO in vielen Fällen auch für Firmen in der Schweiz. Besteht ein Angebot für Kunden aus dem europäischen Wirtschaftsraum oder gibt es ein Tracking derselben, fällt das Unternehmen, zumindest teilweise, unter die DSVGO. Insbesondere Kunden aus Deutschland und dem Fürstentum Lichtenstein spielen hier eine entscheidende Rolle.

Wichtigste Regelungen

Nachfolgend möchten wir auf einige, aus unserer Sicht, zentrale Regelungen der DSGVO eingehen. Es ist entscheidend, dass datenverarbeitende Systeme auf diese Anforderungen ausgelegt sind. Ist dies nicht der Fall, kann es zu grossem manuellem Aufwand oder gar juristischen Konsequenzen führen.

Recht auf Löschung

Ein grosses Thema im Zusammenhang mit der DSGVO ist das Recht auf Löschung oder auch „Recht auf Vergessenwerden“ genannt. Dies ist im Artikel 17 der DSGVO geregelt. Dieses Recht erlaubt Personen zu verlangen, dass die betroffene Firma die personenbezogenen Daten unverzüglich löscht.
Die Firma ist in folgenden Fällen (nicht abschliessend) verpflichtet, die Daten zu löschen:

  • Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig.
  • Die Person widerruft ihre Einwilligung für die Datenerhebung und es gibt keine andere Rechtsgrundlage für die Verarbeitung.
  • Die Daten wurden unrechtmäßig verarbeitet.

Auskunftsrecht

Das Auskunftsrecht erlaubt es einer Personen zu erfragen, ob eine Firma personenbezogene Daten von ihr verarbeitet werden.

Ist dies der Fall, hat sie das Recht auf Auskunft über diese Daten. Weiter hat sie das Recht auf folgende zusätzlichen Informationen (nicht abschliessend):

  • Die Verarbeitungszwecke
  • Die Empfänger oder Kategorien von Empfängern, gegenüber denen die Daten offengelegt worden sind oder noch offengelegt werden. Dies gilt insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen.
  • Alle verfügbaren Informationen über die Herkunft der Daten, wenn diese nicht bei der betroffenen Person erhoben wurden.
  • Ob die Daten für automatisierte Entscheidungsfindungen und/oder Profiling verwendet werden. Wenn ja: Aussagekräftige Informationen über die involvierte Logik sowie die Tragweite.

Recht auf Einschränkung der Verarbeitung

Das Recht auf Einschränkung der Verarbeitung erlaubt es betroffenen Personen unter bestimmten Voraussetzungen zu verlangen, dass ihre Daten nur wie folgt verarbeitet werden dürfen:

  • Mit der Einwilligung der betroffene Person
  • Zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
  • Zum Schutz der Rechte einer anderen natürlichen oder juristischen Person
  • Aufgrund eines wichtigen öffentlichen Interesses der EU oder eines Mitgliedstaates

Voraussetzung dafür sind:

  • Die Richtigkeit der Daten wird von der betroffenen Person bestritten
  • Die Verarbeitung der Daten ist unrechtmässig und die Person verlangt anstelle einer Löschung die Einschränkung der Verarbeitung.
  • Die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt, es ist aber noch nicht klar ob die Gründe berechtigt sind.
  • Der Verantwortliche der Datensammlung möchte die Daten löschen, da sie nicht mehr benötigt werden.

Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit verpflichtet dazu, personenbezogene Daten auf Anfrage in strukturierter, gängiger und maschinenlesbaren Form bereitzustellen. Weiter erlaubt es den Personen ihre Daten einer anderen Firma zu übermitteln, sofern die Daten automatisiert erfasst wurden und sie auf einer Einwilligung oder einem Vertrag beruht. Die betroffene Person darf auch verlangen, dass ihre Daten direkt von der einen zur anderen Firma übermittelt werden, wenn dies technisch machbar ist.

Widerspruchsrecht

Das Widerspruchsrecht erlaubt es betroffenen Personen jederzeit Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einzulegen. Die Verantwortlichen dürfen dann die Daten nur noch verarbeiten, wenn sie zwingende schutzwürdige Gründe hinsichtlich der Interessen, Rechte oder Freiheit der betroffenen Person nachweisen können. Das Recht gilt insbesondere auch für Daten die für Direktwerbung, zu wissenschaftlichen oder historischen Forschungszwecken, oder zu statistischen Zwecken gesammelt werden. Einzige Ausnahme ist es, wenn die Daten für eine Aufgabe erforderlich sind, die im öffentlichen Interesse liegt.

Fazit

Die DSGVO schützt die personenbezogenen Daten von natürlichen Personen. Sobald ein Schweizer Unternehmen ein Angebot für Kunden aus dem europäischen Wirtschaftsraum hat, oder diese Personen trackt gilt die DSGVO auch für dieses Unternehmen (unabhängig seines Standorts). Die vorgestellten Regelungen zeigen, dass die DSGVO spezifische Anforderungen an Unternehmen stellt, die personenbezogene Daten verarbeiten. Ein proaktiver Umgang mit der Thematik und daraus folgende Design-Entscheidungen für Software-Systeme können dabei viel Ärger ersparen.

  • Datenschutz
Share:
Zurück zum Blog