Personendaten von EU-Bürgern auch in Drittstaaten geschützt
Die neue, harmonisierte Datenschutz-Grundverordnung der EU wurde am 24. Mai 2016 in Kraft gesetzt und ist ab 24. Mai 2018 ohne weitere Übergangsfrist anzuwenden. Für uns ein Grund, die Datenschutz-Grundverordnung in einer Artikelserie näher zu untersuchen.
Was fällt unter den Datenschutz?
Grundsätzlich lässt sich festhalten, dass die Regulierung alle Informationen betrifft, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Inwiefern diese Daten persönlich, verschlüsselt oder sensitiv sind, spielt bei dieser ersten Betrachtung keine Rolle. Alle Daten, die sich nicht auf natürliche Personen beziehen fallen entsprechend für den Datenschutz ausser Betracht. Andere Regulationen wie das Urheberrecht gelten natürlich weiterhin.
Das bedeutet also beispielsweise, dass meteorologische Messwerte wie Temperatur, Niederschlagsmenge usw. im Rahmen des Datenschutzes nicht berücksichtigt werden müssen. Ausserdem geniessen juristische Personen nicht denselben Schutz wie natürliche Personen. Doch nicht alle juristischen Personen sind diesbezüglich gleichgestellt. Ist eine juristische Person eng mit einem bestimmten Gesellschafter verbunden - führt beispielsweise dessen Namen im Firmennamen und beschäftigt keine weiteren Angestellten - ergibt sich plötzlich ein direkter Bezug zwischen den Informationen über die Firma und der natürlichen Person des Gesellschafters. Schon ist diese klare Regel was zu berücksichtigen ist und was nicht teilweise aufgeweicht und auch Daten zu juristischen Personen werden vom Gesetz erfasst.
Zentral bei dieser Betrachtung ist entsprechend, ob Daten einer natürlichen Person zugeordnet werden können. Diese Datenzuordnung zu einer Person kann über eine direkte Verlinkung im Datenmodell (Identifizierung) oder über Umwege (Identifizierbarkeit) möglich sein. Es reicht also das Potential, dass Daten einer bestimmten Person zugeordnet werden könnten. Ob von den Möglichkeiten in der Praxis Gebrauch gemacht wird, ist unerheblich.
Auch in Drittländern sind EU-Bürger geschützt
Eine zentrale Neuerung der EU Datenschutz-Grundverordnung ist, dass die Daten von Personen die sich in der EU aufhalten - unabhängig ihrer Nationalität - auch in Drittländern geschützt werden. Für Firmen zum Beispiel in der Schweiz gilt daher, dass ab 24. Mai 2018 neben der Schweizerischen Datenschutz-Gesetzgebung zusätzlich auch die EU Datenschutz-Grundverordnung auf Daten von EU-Personen anzuwenden ist. Dafür, welche Datenschutzgesetzgebung anzuwenden ist, gilt in erster Linie das Marktort-Prinzip (ähnlich wie bei der Mehrwertsteuer). Bietet eine Firma beispielsweise Produkte an Kunden in einem Webshop an und führt daher die Kontaktdaten von EU-Personen im CRM, reicht dies bereits, dass diese Firmen auch dem EU-Recht unterstehen und mit den hohen Bussen durch die EU belangt werden können. Nicht unter die europäische DSGVO fallen in der Schweiz Dienstleistungen die lokal erbracht werden, wie z.B. bei Coiffuresalons, Zahnärzten usw.
Das who is who der Datenschutz-Grundverordnung: die Beteiligten
Die Datenschutz-Grundverordnung unterscheidet im Wesentlichen zwischen fünf Rollen:
Das Wort Verarbeitung steht in diesem Kontext für "jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang ... im Zusammenhang mit personenbezogenen Daten" (Art. 4 Abs. 2). Insbesondere schliesst dies die Dateneingabe, jegliche Verwertung und Weitergabe ein. Bereits die reine Einsicht stellt eine Verarbeitung dar.
Verantwortliche und Auftragsverarbeiter
Für die kontrollierten Firmen werden zwei Rollen unterschieden: Verantwortliche und Auftragsverarbeiter. Der Verantwortliche ist für die Gesamtheit der Massnahmen rund um den Datenschutz verantwortlich. Zieht er dabei Dritte ein, hat er diesen klare und zweckmässige vertragliche Auflagen und Weisungen bezüglich dem Datenschutz zu erteilen. Der Auftragsverarbeiter steht danach in der Pflicht, diese Vorgaben einzuhalten. Für reine Auftragsverarbeiter gelten einige Erleichterungen.
Doch nicht in jedem Fall ist es offensichtlich, ob eine Unternehmung "bloss" die Rolle eines Auftragsverarbeiters einnimmt. Denn in erster Linie ist für die Bestimmung des Verantwortlichen entscheidend, wer über die Zwecke und Mittel der Verarbeitung personenbezogener Daten beschliesst. Währenddem bezüglich der konkreten technischen Mittel dem Auftragsverarbeiter noch ein gewisser Ermessensspielraum besteht, gibt es diesen bezüglich dem Verarbeitungszweck nicht. Relativ schnell kann die Situation entstehen, dass der Auftragsverarbeiter selbst zum (Mit-)Verantwortlichen wird und dieselben Auflagen zu erfüllen hat. Entsprechend sieht die Regulation auch eine gemeinsame Verantwortung als Variante vor.
Unsere Artikelserie zum Thema
- Im Lead-in Artikel haben wir auf den Handlungsbedarf aufmerksam gemacht.
- In diesem 1. Teil der Serie führen wir die verschiedenen Akteure ein und stecken den Rahmen ab.
- Teil 2 beleuchtet die auf vier Säulen basierenden Prinzipien des Datenschutzes.
- Teil 3 erläuterte die besonderen Auflagen für die Verarbeitung besonderer Kategorien personenbezogener Daten und des als besonders kritisch betrachteten Profiling.
- Teil 4 beleuchtet gesetzlich privilegierte, erwünschte Verarbeitungsverfahren.
- Teil 5 der Serie schliesst mit einem Framework zur pragmatischen und sachgerechten Umsetzung des Datenschutzes in ihrem IT-Projekt.
Über linkyard
linkyard ist spezialisiert auf die Realisierung von Softwarelösungen mit hohen Sicherheitsanforderungen und der professionellen Begleitung von IT-Beschaffungsprozessen. Gerade bei der korrekten und wirtschaftlichen Umsetzung von Datenschutzanforderungen in IT-Systemen erweist sich ein iteratives Zusammenspiel von IT-Sicherheitsspezialisten wie linkyard und einem spezialisierten Rechtsanwalt von Vorteil. Denn die Suche nach der kostengünstigsten und gleichzeitig rechtskonformen Lösung bedingt oft die Ausarbeitung und Beurteilung von verschiedenen Umsetzungsvarianten und die erstbeste Lösung erfährt in der Regel noch einige Anpassungen. Gerne begleiten wir auch ihr Projekt.