Interview
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
epa04191819 A picture made available on 05 May 2014 shows a woman walking up to the passport control point for citizens of the European Union at Dusseldorf Airport which uses the new automatic easy-pass control system in Duesseldorf, Germany, 02 May 2014. Passengers place their passports on a reader which compares a camera photo with the photo in the passport. If the biometric data matches and the passenger is not on a wanted list, the border gate opens.  EPA/FEDERICO GAMBARINI

Wer im Internet mit EU-Bürgern «verkehrt», sollte besser die neuen Datenschutz-Regeln kennen. Bild: EPA/dpa

Interview

Was Schweizer Internet-User über den neuen EU-Datenschutz wissen müssen

Ab dem 25. Mai 2018 gilt ein verschärftes Datenschutzrecht in der Europäischen Union, das auch hierzulande beträchtliche Auswirkungen haben kann. Der Schweizer Rechtsanwalt Martin Steiger nimmt Stellung.



«Bislang ist das Datenschutzrecht ein Papiertiger, obwohl in Europa die Privatsphäre als Menschenrecht verankert ist.»

Rechtsanwalt Martin Steiger

Der Beitrag gliedert sich zwei Teile:

  1. Im Experten-Interview erklärt Rechtsanwalt Martin Steiger, was sich mit dem verschärften EU-Datenschutzrecht ändert, wer profitiert und wer in der Schweiz betroffen ist.
  2. Im Anschluss an die ausführlichen Antworten gibt's das Wichtigste in Kürze zur neuen DSGVO.

Das sagt der Rechtsanwalt zu den wichtigsten Fragen rund um die neue DSGVO

Herr Steiger, Sie haben sich in der Vergangenheit kritisch zum neuen Datenschutzrecht der Europäischen Union geäussert und von einer ausufernden Bürokratie geschrieben. Was läuft aus Ihrer Sicht falsch?
Martin Steiger:
Die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist in weiten Teilen der Versuch, das bestehende Datenschutzrecht mit zahlreichen Anreizen durchzusetzen. Bislang ist das Datenschutzrecht ein Papiertiger, obwohl in Europa die Privatsphäre als Menschenrecht verankert ist. Allerdings merkt man der DSGVO an, dass sie das Werk von 28 beteiligten Mitgliedstaaten und zahlreichen weiteren Beteiligten – auch vielen Lobbyisten der Wirtschaft – mit unterschiedlichen Interessen ist. Die DSGVO ist deshalb teilweise weitschweifig und widersprüchlich. Die Gefahr besteht, dass der Datenschutz vor lauter Bürokratie gar nicht verbessert wird.

Es wird sich zeigen, wie Aufsichtsbehörden und Gerichte mit der DSGVO umgehen werden. Gleichzeitig hat die DSGVO aber bereits dazu geführt, dass der Datenschutz deutlich an Bedeutung gewonnen hat, was mich – gerade auch als Mitglied der Digitalen Gesellschaft – freut.

Bild

Martin Steiger. bild: twitter

Aus Gründen der Transparenz ist zu erwähnen, dass Sie beruflich und finanziell von der Verschärfung des EU-Datenschutzrechts profitieren. Sie bieten mit einem Geschäftspartner eine kostenpflichtige Dienstleistung an, die angeblich schon bald sehr viele Schweizer Firmen und auch Privatpersonen brauchen werden: einen so genannten «Datenschutz-Vertreter» in der EU. Stimmt das so?
Ja, das stimmt. Die DSGVO ist unter bestimmten Bedingungen auch in Drittstaaten wie der Schweiz anwendbar, zum Beispiel bei beabsichtigten Angeboten an Personen in der EU. In diesem Fall ist fast immer ein Datenschutz-Vertreter in der EU notwendig. Der Vertreter ist eine Anlaufstelle für Aufsichtsbehörden und betroffene Personen rund um den EU-Datenschutz. Ob man Personendaten als einzelne Person oder als Unternehmen bearbeitet, spielt dafür keine Rolle.

Mein Freund Andreas Von Gunten und ich stellten fest, dass wir als Unternehmer einen solchen Datenschutz-Vertreter in der EU benötigen, wurden aber nicht fündig. Wir gründeten deshalb unsere eigene Datenschutz-Vertretung in der EU und stellen diese anderen zur Verfügung. Wir ermöglichen anderen Unternehmern und sonstigen Datenbearbeitern mit unserem «Datenschutzpartner»-Angebot, zu fairen Bedingungen den benötigten Datenschutz-Vertreter zu benennen.

In beruflicher Hinsicht als Anwalt für Recht im digitalen Raum möchte ich einen deutschen Anwaltskollegen zitieren: «Die DSGVO ist gesundheitsgefährlich». Gemeint ist, dass es ungesund sein kann, sich während Wochen fast Tag und Nacht mit Datenschutzrecht zu befassen. Jene, die erst jetzt kurz vor Ablauf der zweijährigen Übergangsfrist die DSGVO entdecken, stellen fest, dass alle Fachpersonen, die halbwegs etwas von Datenschutzrecht verstehen, ausgelastet sind.

Ab dem 25. Mai können EU-Bürger gemäss DSGVO von Schweizer Webseiten-Betreibern Auskunft über die «verarbeiteten» Daten verlangen. Wie muss man sich solche Datenschutz-Anfragen konkret vorstellen?
Die DSGVO ist für Schweizer Websites unter anderem anwendbar, wenn sie das Verhalten von Personen in der EU so beobachten, dass ein Profil erstellt werden kann. Gemeint ist beispielsweise, dass versucht wird, die persönlichen Verhaltensweisen oder Vorlieben zu analysieren oder vorherzusagen.

Betroffene Personen haben – übrigens auch gemäss dem Schweizer Datenschutzrecht – ein Recht auf Auskunft. Der Aufwand für die Beantwortung von Auskunftsbegehren hängt davon ab, in welchem Umfang man überhaupt Personendaten bearbeitet. Wenn man beispielsweise Google Analytics einsetzt, gerade auch mit anonymisierten beziehungsweise markierten IP-Adressen, wird es häufig gar keine Personendaten geben, die man einer anfragenden Person zuordnen und damit Auskunft erteilen kann. In einem solchen Fall bleibt es bei allgemeinen Informationen gemäss Datenschutzerklärung.

Gemäss DSGVO besteht nicht allein ein Recht auf Auskunft, sondern auch ein Recht auf Datenübertragbarkeit: Betroffene Personen haben grundsätzlich das Recht, ihre Personendaten in einem gängigen, maschinenlesbaren und strukturierten Format zu erhalten. Inzwischen haben das viele Entwickler erkannt und erweitern ihre Software. Für Word Press beispielsweise sind entsprechende Exportfunktionen vorgesehen.

Droht uns eine Flut von DSGVO-Anfragen?
Aus heutiger Sicht weiss niemand, wie viele Auskunftsbegehren zu erwarten sind. Ich vermute, dass vor allem bekannte und exponierte Unternehmen mit vielen Auskunftsbegehren rechnen müssen. Ein solches Unternehmen kann auch ein KMU sein. WhatsApp beispielsweise war vor der Übernahme durch Facebook ein KMU, bearbeitete aber dennoch die Personendaten von hunderten von Millionen Menschen in aller Welt.

«In der Praxis kann das Datenschutzrecht nicht vollständig eingehalten werden. Wesentlich ist daher, dass ein Unternehmen sich der Datenschutzregeln bewusst ist und in vernünftigem Rahmen versucht, sich daran zu halten.»

Zitat aus einem kostenlos verfügbaren Datenschutz-Ratgeber und Online-Tool für Schweizer Firmen quelle: dsat.ch

Von der DSGVO sind nicht nur Firmen betroffen, sondern auch Selbstständige und private Webseiten-Betreiber. Und zwar immer dann, wenn sich Besucher registrieren müssen, um kostenlose Angebote zu beziehen, richtig?
Das Datenschutzrecht schützt Sie und mich, wenn unsere Personendaten bearbeitet werden. Es spielt keine entscheidende Rolle, ob jemand unsere Personendaten als Einzelperson oder als Unternehmen bearbeitet. Wenn sich eine Einzelunternehmerin mit ihrer Website an Personen in der EU richtet und diesen zum Beispiel Freebies wie Newsletter oder Whitepaper anbietet, dann ist die DSGVO in dieser Hinsicht anwendbar.

Wie ist das, wenn EU-Bürger meine private Website ansurfen und ich die Besuche zu statistischen Zwecken auswerte? Falle ich dann auch schon unter die DSGVO?
Die Staatsbürgerschaft spielt keine Rolle, sondern es geht um alle Personen in der EU – und, nicht zu vergessen, im Europäischen Wirtschaftsraum (EWR) einschliesslich Fürstentum Liechtenstein. Die Abrufbarkeit einer Website allein genügt nicht für die Anwendbarkeit der DSGVO. Allerdings zählen viele private Schweizer Websites gerne auf ein Publikum aus der EU, in der Deutschschweiz zum Beispiel aus Deutschland und Österreich. Wer auf Nummer sicher gehen möchte, setzt die DSGVO um oder verzichtet auf Tracking.

Stichwort Wordpress: Worauf müssen sich Blogger gefasst machen?
Blogger sind auch nur Bearbeiter von Personendaten. Sie erfassen Besucherinnen und Besucher beispielsweise in Server-Logdateien, können online kontaktiert werden, nutzen Spamfilter, ermöglichen das Veröffentlichen von Kommentaren, versenden Newsletter und setzen Tracking ein. Blogger benötigen deshalb immer eine Datenschutzerklärung und müssen teilweise auch Einwilligungen einholen.

Bei Einwilligungen ist zu beachten, dass die Anforderungen an die Gültigkeit hoch sind und eine erteilte Einwilligung jederzeit widerrufen werden kann. Es ist deshalb bei einem Kontaktformular häufig weder notwendig noch sinnvoll, eine Einwilligung vorzusehen. Es ist ein populärer Irrtum, dass die DSGVO immer eine Einwilligung verlangt. Man kann die Bearbeitung von Personendaten beispielsweise mit der Vertragserfüllung oder mit den eigenen überwiegenden berechtigten Interessen – dazu zählen Direktwerbung und Informationssicherheit – rechtfertigen. Bei Word Press sind verschiedene Anpassungen zur Umsetzung der DSGVO vorgesehen. (Word Press informiert in diesem Blogbeitrag, Anmerkung der Redaktion).

Dürfen private Webseiten-Betreiber überhaupt noch einen Facebook-Like-Button platzieren?
Ja, aber ist es notwendig? Das Teilen ist inzwischen eine Smartphone-Standardfunktion und die meisten Websites haben keine Anzahl Likes, die man anzeigen müsste … Aus heutiger Sicht muss man über Social Media-Plugins mindestens in der Datenschutzerklärung informieren.

«Unklar ist noch, ob es zu Abmahnwellen kommt, wie wir sie im Urheberrecht kennen.»

Wie läuft das juristisch, wenn ich mich nicht an die DSGVO halte und von einem EU-Bürger verklagt werde?
Betroffene Personen in der EU können grundsätzlich an ihrem Wohnsitz klagen, denn dafür genügt die Abrufbarkeit einer schweizerischen Website in einem Mitgliedstaat der EU. Das gilt übrigens heute schon. Unklar ist noch, ob es zu Abmahnwellen kommt, wie wir sie im Urheberrecht kennen. Die DSGVO erwähnt ausdrücklich einen Anspruch auf Schadenersatz bei Datenschutzverletzungen. Ich gehe davon aus, dass spezialisierte Unternehmen versuchen werden, kostenpflichtige Abmahnungen bei Datenschutzverletzungen zu etablieren.

In der Schweiz wird das Datenschutzrecht derzeit revidiert und soll auch verschärft werden. Welche Fehler sollten wir nicht machen, bzw. was können wir besser machen als die EU?
Die EU setzt mit der DSGVO den neuen weltweiten Standard für Datenschutz. Viele Unternehmen in der Schweiz müssen die DSGVO umsetzen, auch aufgrund der wirtschaftlichen Verknüpfung mit der EU. Wir sollten den Datenschutz genauso ernst nehmen, denn ansonsten riskieren wir nicht nur, dass die EU unser Datenschutzrecht nicht mehr als angemessen beurteilt, sondern wir Einwohnerinnen und Einwohner der Schweiz unterliegen in Europa einem Datenschutz zweiter Klasse.

Das bedeutet nicht, dass wir die DSGVO übernehmen sollten, was ja auch nicht geplant ist, aber wir sollten in einem schweizerischen Rahmen die Durchsetzbarkeit des Datenschutzrechts gewährleisten. Dazu muss man insbesondere den betroffenen Personen ermöglichen, sich dort, wo der Datenschutz tatsächlich verletzt wird, wirksam zu wehren. Heute lohnen sich die entsprechenden rechtlichen Schritte nur für Personen in der Schweiz, die über viel Ausdauer, erhebliche finanzielle Mittel und über eine gute Anwältin oder einen guten Anwalt verfügen.

Die Fragen wurden per E-Mail beantwortet.

Das Wichtigste in Kürze

Die Vorgeschichte

So reagiert WhatsApp

Das könnte dich auch interessieren:

Diese App soll Schweizer Arbeitsplätze verteidigen

Video: srf

«Hate Speech» bei Facebook – was toleriert wird, und was nicht

So lief Tag 1 nach Bekanntgabe der «ausserordentliche Lage» für die Schweiz

Link zum Artikel

Die Fallzahlen steigen wieder leicht an – so sieht's in deinem Kanton aus

Link zum Artikel

Der Mann, der es wagt, Trump zu widersprechen

Link zum Artikel

Wie ansteckend sind Kinder wirklich? Was die Wissenschaft bis jetzt dazu weiss

Link zum Artikel

Tiger Woods in schweren Autounfall verwickelt

Link zum Artikel

4 Gründe, weshalb die Corona-Zahlen des BAG wenig mit der Realität zu tun haben

Link zum Artikel

Magic Johnson vs. Larry Bird – ein College-Final als Beginn einer grossen Sportrivalität

Link zum Artikel

Ein Virus beendet Jonas Hillers Karriere: «Es gäbe noch viel schlimmere Szenarien»

Link zum Artikel

Wie ich nach 3 Stunden Möbelhaus von Wolke 7 plumpste

Link zum Artikel

Die Schweiz befindet sich im Notstand – die 18 wichtigsten Antworten zur neuen Lage

Link zum Artikel

Das iPad kriegt Radar? Darum ist der Lidar-Sensor eine kleine Revolution

Link zum Artikel

Corona International: EU beschliesst Einreisestopp ++ Italien mit 345 neuen Todesopfern

Link zum Artikel

Lasst meinen Sex in Ruhe, ihr Ehe- und Kartoffel-Fanatiker!

Link zum Artikel
Alle Artikel anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Analyse

Threema ist das neue WhatsApp – und schlägt die Konkurrenz um Längen

Wer hätte gedacht, dass die weltbeste Messenger-App nicht aus dem Silicon Valley kommen würde, sondern vom Zürichsee. Eine persönliche Analyse.

Seit acht Jahren befasse ich mich mit dem sicheren Schweizer Messenger Threema. Den ersten Artikel dazu publizierte ich im Dezember 2012. Titel: «Die Schweizer Antwort auf WhatsApp». Die damalige erste App gab's nur fürs iPhone, und sie war zum Start gratis. Im Interview versprach der Entwickler, Manuel Kasper, die baldige Veröffentlichung einer von vielen Usern geforderten Android-Version. Und:

Er hielt Wort. Im Gegensatz zu WhatsApp.

Einige dürften sich erinnern, dass es ein gleiches …

Artikel lesen
Link zum Artikel