Wenn Sie auf "Alle Cookies akzeptieren" klicken, stimmen Sie der Speicherung von Cookies auf Ihrem Gerät zu, um die Navigation auf der Website zu verbessern, die Nutzung der Website zu analysieren und unsere Marketingaktivitäten zu unterstützen. Weitere Informationen finden Sie in unserer Datenschutzrichtlinie.

Datenschutzpräferenzen

Wenn Sie Websites besuchen, können diese Daten in Ihrem Browser speichern oder abrufen. Diese Speicherung ist häufig für die Grundfunktionen der Website erforderlich. Die Speicherung kann für Marketing, Analysen und die Personalisierung der Website verwendet werden, z. B. für die Speicherung Ihrer Präferenzen. Der Datenschutz ist uns wichtig, daher haben Sie die Möglichkeit, bestimmte Arten der Speicherung zu deaktivieren, die für die grundlegende Funktion der Website nicht erforderlich sind. Das Blockieren von Kategorien kann Ihre Erfahrung auf der Website beeinträchtigen.

Alle cookies ablehnen Alle cookies zulassen

Zustimmungspräferenzen nach Kategorie verwalten

Essential

Immer aktiv

Diese Elemente sind erforderlich, um die Grundfunktionen der Website zu ermöglichen.

Marketing

Essential

Diese Elemente werden verwendet, um Werbung zu liefern, die für Sie und Ihre Interessen relevanter ist. Sie können auch verwendet werden, um die Anzahl der Werbeeinblendungen zu begrenzen und die Wirksamkeit von Werbekampagnen zu messen. Werbenetzwerke platzieren sie in der Regel mit der Erlaubnis des Website-Betreibers.

Personalization

Essential

Diese Daten ermöglichen es der Website, sich an die von Ihnen getroffenen Entscheidungen zu erinnern (z. B. an Ihren Benutzernamen, Ihre Sprache oder die Region, in der Sie sich befinden) und erweiterte, persönlichere Funktionen anzubieten. Eine Website kann Ihnen zum Beispiel lokale Wetterberichte oder Verkehrsnachrichten anbieten, indem sie Daten über Ihren aktuellen Standort speichert.

Analytics

Essential

Diese Daten helfen dem Website-Betreiber zu verstehen, wie seine Website funktioniert, wie Besucher mit der Website interagieren und ob es möglicherweise technische Probleme gibt. Bei dieser Speicherart werden in der Regel keine Informationen gesammelt, die einen Besucher identifizieren.

Meine Einstellungen bestätigen und schließen

Personendaten von EU-Bürgern auch in Drittstaaten geschützt

Stefan Haller

27.2.2018

Die neue, harmonisierte Datenschutz-Grundverordnung der EU wurde am 24. Mai 2016 in Kraft gesetzt und ist ab 24. Mai 2018 ohne weitere Übergangsfrist anzuwenden. Für uns ein Grund, die Datenschutz-Grundverordnung in einer Artikelserie näher zu untersuchen.

Was fällt unter den Datenschutz?

Grundsätzlich lässt sich festhalten, dass die Regulierung alle Informationen betrifft, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Inwiefern diese Daten persönlich, verschlüsselt oder sensitiv sind, spielt bei dieser ersten Betrachtung keine Rolle. Alle Daten, die sich nicht auf natürliche Personen beziehen fallen entsprechend für den Datenschutz ausser Betracht. Andere Regulationen wie das Urheberrecht gelten natürlich weiterhin.

Das bedeutet also beispielsweise, dass meteorologische Messwerte wie Temperatur, Niederschlagsmenge usw. im Rahmen des Datenschutzes nicht berücksichtigt werden müssen. Ausserdem geniessen juristische Personen nicht denselben Schutz wie natürliche Personen. Doch nicht alle juristischen Personen sind diesbezüglich gleichgestellt. Ist eine juristische Person eng mit einem bestimmten Gesellschafter verbunden - führt beispielsweise dessen Namen im Firmennamen und beschäftigt keine weiteren Angestellten - ergibt sich plötzlich ein direkter Bezug zwischen den Informationen über die Firma und der natürlichen Person des Gesellschafters. Schon ist diese klare Regel was zu berücksichtigen ist und was nicht teilweise aufgeweicht und auch Daten zu juristischen Personen werden vom Gesetz erfasst.

Zentral bei dieser Betrachtung ist entsprechend, ob Daten einer natürlichen Person zugeordnet werden können. Diese Datenzuordnung zu einer Person kann über eine direkte Verlinkung im Datenmodell (Identifizierung) oder über Umwege (Identifizierbarkeit) möglich sein. Es reicht also das Potential, dass Daten einer bestimmten Person zugeordnet werden könnten. Ob von den Möglichkeiten in der Praxis Gebrauch gemacht wird, ist unerheblich.

Auch in Drittländern sind EU-Bürger geschützt

Eine zentrale Neuerung der EU Datenschutz-Grundverordnung ist, dass die Daten von Personen die sich in der EU aufhalten - unabhängig ihrer Nationalität - auch in Drittländern geschützt werden. Für Firmen zum Beispiel in der Schweiz gilt daher, dass ab 24. Mai 2018 neben der Schweizerischen Datenschutz-Gesetzgebung zusätzlich auch die EU Datenschutz-Grundverordnung auf Daten von EU-Personen anzuwenden ist. Dafür, welche Datenschutzgesetzgebung anzuwenden ist, gilt in erster Linie das Marktort-Prinzip (ähnlich wie bei der Mehrwertsteuer). Bietet eine Firma beispielsweise Produkte an Kunden in einem Webshop an und führt daher die Kontaktdaten von EU-Personen im CRM, reicht dies bereits, dass diese Firmen auch dem EU-Recht unterstehen und mit den hohen Bussen durch die EU belangt werden können. Nicht unter die europäische DSGVO fallen in der Schweiz Dienstleistungen die lokal erbracht werden, wie z.B. bei Coiffuresalons, Zahnärzten usw.

Das who is who der Datenschutz-Grundverordnung: die Beteiligten

Die Datenschutz-Grundverordnung unterscheidet im Wesentlichen zwischen fünf Rollen:

Rolle	Erläuterung
Aufsichtsbehörde	Eine unabhängige, staatliche Stelle, welche die Umsetzung überwacht und Einhaltung der Datenschutz-Grundverordnung sicherstellt. In Deutschland sind dies beispielsweise die Landesdatenschutzbeauftragten. Eine wesentliche Erleichterung zum bisherigen Recht ist, dass innerhalb der ganzen EU im Sinne eines One-Stop-Shops neu nur noch eine Aufsichtsbehörde pro Firma zuständig ist, auch wenn in mehreren EU-Staaten geschäftet wird.
Betroffener	Eine identifizierte oder identifizierbare Person, auf die sich verarbeitete Informationen beziehen.
Verantwortlicher	Die natürliche oder juristische Person, Behörde usw., die für die Umsetzung des Datenschutzes im Rahmen der ausgeführten Verarbeitungen verantwortlich ist.
Auftragsverarbeiter	Die natürliche oder juristische Person, Behörde usw., die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Empfänger	Die natürliche oder juristische Person, Behörde usw., der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich dabei um einen Dritten handelt oder eine Stelle innerhalb der Unternehmung des Verantwortlichen.

Das Wort Verarbeitung steht in diesem Kontext für "jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang ... im Zusammenhang mit personenbezogenen Daten" (Art. 4 Abs. 2). Insbesondere schliesst dies die Dateneingabe, jegliche Verwertung und Weitergabe ein. Bereits die reine Einsicht stellt eine Verarbeitung dar.

Verantwortliche und Auftragsverarbeiter

Für die kontrollierten Firmen werden zwei Rollen unterschieden: Verantwortliche und Auftragsverarbeiter. Der Verantwortliche ist für die Gesamtheit der Massnahmen rund um den Datenschutz verantwortlich. Zieht er dabei Dritte ein, hat er diesen klare und zweckmässige vertragliche Auflagen und Weisungen bezüglich dem Datenschutz zu erteilen. Der Auftragsverarbeiter steht danach in der Pflicht, diese Vorgaben einzuhalten. Für reine Auftragsverarbeiter gelten einige Erleichterungen.

Doch nicht in jedem Fall ist es offensichtlich, ob eine Unternehmung "bloss" die Rolle eines Auftragsverarbeiters einnimmt. Denn in erster Linie ist für die Bestimmung des Verantwortlichen entscheidend, wer über die Zwecke und Mittel der Verarbeitung personenbezogener Daten beschliesst. Währenddem bezüglich der konkreten technischen Mittel dem Auftragsverarbeiter noch ein gewisser Ermessensspielraum besteht, gibt es diesen bezüglich dem Verarbeitungszweck nicht. Relativ schnell kann die Situation entstehen, dass der Auftragsverarbeiter selbst zum (Mit-)Verantwortlichen wird und dieselben Auflagen zu erfüllen hat. Entsprechend sieht die Regulation auch eine gemeinsame Verantwortung als Variante vor.

Unsere Artikelserie zum Thema

Im Lead-in Artikel haben wir auf den Handlungsbedarf aufmerksam gemacht.
In diesem 1. Teil der Serie führen wir die verschiedenen Akteure ein und stecken den Rahmen ab.
Teil 2 beleuchtet die auf vier Säulen basierenden Prinzipien des Datenschutzes.
Teil 3 erläuterte die besonderen Auflagen für die Verarbeitung besonderer Kategorien personenbezogener Daten und des als besonders kritisch betrachteten Profiling.
Teil 4 beleuchtet gesetzlich privilegierte, erwünschte Verarbeitungsverfahren.
Teil 5 der Serie schliesst mit einem Framework zur pragmatischen und sachgerechten Umsetzung des Datenschutzes in ihrem IT-Projekt.

Über linkyard

linkyard ist spezialisiert auf die Realisierung von Softwarelösungen mit hohen Sicherheitsanforderungen und der professionellen Begleitung von IT-Beschaffungsprozessen. Gerade bei der korrekten und wirtschaftlichen Umsetzung von Datenschutzanforderungen in IT-Systemen erweist sich ein iteratives Zusammenspiel von IT-Sicherheitsspezialisten wie linkyard und einem spezialisierten Rechtsanwalt von Vorteil. Denn die Suche nach der kostengünstigsten und gleichzeitig rechtskonformen Lösung bedingt oft die Ausarbeitung und Beurteilung von verschiedenen Umsetzungsvarianten und die erstbeste Lösung erfährt in der Regel noch einige Anpassungen. Gerne begleiten wir auch ihr Projekt.