Auch in der Schweiz relevant Die neuen EU-Datenschutz-Regeln betreffen uns alle

dj

17.5.2018

Nächste Woche tritt die Datenschutz-Grundverordnung der EU in Kraft. Wir zeigen, wie dadurch Ihre persönlichen Daten geschützt werden.

Bestimmt haben Sie in den letzten Monaten vermehrt E-Mails von Unternehmen bekommen, in denen Sie aufgefordert wurden, neuen Datenschutzbestimmungen zuzustimmen. Grund dafür ist die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die am 25. Mai in Kraft treten wird.

Diese soll für einen besseren Schutz persönlicher Daten in Europa sorgen und verpflichtet Unternehmen zu einer Reihe von neuen Massnahmen. Welche das sind, zeigen wir folgend:

Wen betrifft die DSGVO?

Die EU-Datenschutz-Grundverordnung ist für jedes Unternehmen und jede Institution bindend, die personenbezogene Daten von Einwohnern der EU  sammelt und verarbeitet. Unabhängig davon, ob sie einen oder 10'000 Mitarbeiter haben und unabhängig davon, ob sich ihr Sitz in Berlin, Zürich oder San Francisco befindet. Betroffen ist also der Ein-Personen-Online-Shop genauso wie Amazon, der Fussballverein mit Newsletter genauso wie Facebook.

Rein theoretisch werden Schweizer Einwohner nicht von den neuen Regeln geschützt. In der Praxis wird aber zum einen kaum ein in Europa aktives Unternehmen für die kleine Schweiz ein anderes Procedere anwenden, der Aufwand wäre viel zu gross. So haben etwa Facebook und WhatsApp bereits angekündigt, die EU-Regeln auch in der Schweiz anzuwenden. Und zum anderen läuft gerade die Revision des Schweizer Datenschutzgesetz, die alsbald die hiesigen Gesetze dann auch de jure in Einklang mit den EU-Vorschriften bringen dürfte.

Mark Zuckerbergs Facebook muss sich an die DSGVO halten, aber ebenso Kleinstunternehmen.
Mark Zuckerbergs Facebook muss sich an die DSGVO halten, aber ebenso Kleinstunternehmen.
Keystone

Welche Daten werden geschützt?

Alle «personenbezogenen Daten» sind von der DSGVO betroffen. Dazu gehören Informationen die sich auf «identifizierte oder identifizierbare natürliche Person beziehen», wie es in der Verordnung heisst.

Darunter fällt dann eine Vielzahl von Daten, etwa Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse, Steueridentifikationsnummer, Kontonummer, IP-Adresse, Standortorten und vieles mehr. Kurz gesagt, jede Art von Information, die zumindest theoretisch Rückschlüsse über eine bestimmte Person zulässt, fällt unter die DSGVO.

Welche Rechte habe ich?

Die DSGVO gibt Nutzern eine Vielzahl von konkreten Rechten gegenüber Datensammlern:

Informationsrecht: Bevor ein Unternehmen irgendwelche personenbezogenen Daten sammeln kann, muss es Betroffene genau darüber informieren, welche Daten es wie lange speichern möchte. Dann muss die explizite Einwilligung des Betroffenen eingeholt werden und das in klar verständlicher Sprache. Unternehmen dürfen die entsprechenden Vereinbarungen zum Datenschutz nun also nicht mehr in hundertseitigen AGBs verstecken. Die Einwilligung darf zudem jederzeit widerrufen werden.

Auskunftsrecht: Hat nun ein Unternehmen nun bereits personenbezogene Daten gespeichert, haben Betroffene das Recht zur Ankunft. Auf Aufforderung müssen Unternehmen Nutzern unentgeltlich genau darlegen, welche Daten von ihnen gespeichert worden. Diese Auskunft muss unverzüglich, in der Regel innerhalb eines Monats erfolgen. Zudem müssen Unternehmen eine Verletzung des Schutz von personenbezogenen Daten (etwa durch einen Hack) innerhalb von 72 Stunden der Aufsichtsbehörde melden. Das Verschweigen eines Datenlecks (siehe Facebook und Cambridge Analytica) ist nun rechtswidrig.

Recht auf Datenübertragung: Potenziell hohen Nutzen für Verbraucher hat das Recht auf Datenübertragung. Auf Aufforderung müssen Daten von einem Dienst zu einem anderen übertragen werden. Theoretisch müsste es dann beispielsweise möglich sein, alle jemals auf Facebook hochgeladenen Daten einfach zu einem konkurrierenden sozialen Netzwerk mitzunehmen. Noch ist unklar, wie das in der Praxis funktionieren wird.

Recht auf Löschung: Zum einen müssen Unternehmen selbstständig personenbezogene Daten löschen wenn der Zweck, für den sie erhoben wurden, weggefallen ist. Ein anlassloses Horden der Daten ist also nicht zulässig. Zum anderen müssen auf Aufforderung eines Betroffenen sämtliche über ihn gespeicherte Daten gelöscht werden.

Will man es, müssen Unternehmen über einen gespeicherte Daten wieder löschen.
Will man es, müssen Unternehmen über einen gespeicherte Daten wieder löschen.
iStock

Was passiert, wenn Unternehmen die DSGVO brechen?

Bei Verletzungen der DSGVO müssen Unternehmen in extremen Fällen mit Bussgeldern von bis zu 20 Millionen Euro (24 Millionen Franken) oder alternativ bis zu 4% ihres weltweiten Jahresumsatzes rechnen. Bei Giganten wie Facebook oder Google käme man so schon in den Milliarden-Bereich. Zusätzlich können Betroffene noch Schadensersatz und gegebenenfalls Schmerzensgeld erzwingen.

Zurück zur Startseite