Personendaten von EU-Bürgern auch in Drittstaaten geschützt

Die neue, harmonisierte Datenschutz-Grundverordnung der EU wurde am 24. Mai 2016 in Kraft gesetzt und ist ab 24. Mai 2018 ohne weitere Übergangsfrist anzuwenden. Für uns ein Grund, die Datenschutz-Grundverordnung in einer Artikelserie näher zu untersuchen.

Was fällt unter den Datenschutz?

Grundsätzlich lässt sich festhalten, dass die Regulierung alle Informationen betrifft, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Inwiefern diese Daten persönlich, verschlüsselt oder sensitiv sind, spielt bei dieser ersten Betrachtung keine Rolle. Alle Daten, die sich nicht auf natürliche Personen beziehen fallen entsprechend für den Datenschutz ausser Betracht. Andere Regulationen wie das Urheberrecht gelten natürlich weiterhin.

Das bedeutet also beispielsweise, dass meteorologische Messwerte wie Temperatur, Niederschlagsmenge usw. im Rahmen des Datenschutzes nicht berücksichtigt werden müssen. Ausserdem geniessen juristische Personen nicht denselben Schutz wie natürliche Personen. Doch nicht alle juristischen Personen sind diesbezüglich gleichgestellt. Ist eine juristische Person eng mit einem bestimmten Gesellschafter verbunden – führt beispielsweise dessen Namen im Firmennamen und beschäftigt keine weiteren Angestellten – ergibt sich plötzlich ein direkter Bezug zwischen den Informationen über die Firma und der natürlichen Person des Gesellschafters. Schon ist diese klare Regel was zu berücksichtigen ist und was nicht teilweise aufgeweicht und auch Daten zu juristischen Personen werden vom Gesetz erfasst.

Zentral bei dieser Betrachtung ist entsprechend, ob Daten einer natürlichen Person zugeordnet werden können. Diese Datenzuordnung zu einer Person kann über eine direkte Verlinkung im Datenmodell (Identifizierung) oder über Umwege (Identifizierbarkeit) möglich sein. Es reicht also das Potential, dass Daten einer bestimmten Person zugeordnet werden könnten. Ob von den Möglichkeiten in der Praxis Gebrauch gemacht wird, ist unerheblich.

Auch in Drittländern sind EU-Bürger geschützt

Eine zentrale Neuerung der EU Datenschutz-Grundverordnung ist, dass die Daten von Personen die sich in der EU aufhalten – unabhängig ihrer Nationalität – auch in Drittländern geschützt werden. Für Firmen zum Beispiel in der Schweiz gilt daher, dass ab 24. Mai 2018 neben der Schweizerischen Datenschutz-Gesetzgebung zusätzlich auch die EU Datenschutz-Grundverordnung auf Daten von EU-Personen anzuwenden ist. Liefert eine Firma beispielsweise Produkte an Kunden in der EU und führt daher Kontaktdaten von EU-Personen im CRM, reicht dies bereits, dass diese Firmen auch dem EU-Recht unterstehen und mit den hohen Bussen durch die EU belangt werden können.

Das who is who der Datenschutz-Grundverordnung: die Beteiligten

Die Datenschutz-Grundverordnung unterscheidet im Wesentlichen zwischen fünf Rollen:

Rolle
Erläuterung
Aufsichtsbehörde Eine unabhängige, staatliche Stelle, welche die Umsetzung überwacht und Einhaltung der Datenschutz-Grundverordnung sicherstellt. In Deutschland sind dies beispielsweise die Landesdatenschutzbeauftragten. Eine wesentliche Erleichterung zum bisherigen Recht ist, dass innerhalb der ganzen EU im Sinne eines One-Stop-Shops neu nur noch eine Aufsichtsbehörde pro Firma zuständig ist, auch wenn in mehreren EU-Staaten geschäftet wird.
Betroffener Eine identifizierte oder identifizierbare Person, auf die sich verarbeitete Informationen beziehen.
Verantwortlicher Die natürliche oder juristische Person, Behörde usw., die für die Umsetzung des Datenschutzes im Rahmen der ausgeführten Verarbeitungen verantwortlich ist.
Auftragsverarbeiter Die natürliche oder juristische Person, Behörde usw., die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Empfänger Die natürliche oder juristische Person, Behörde usw., der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich dabei um einen Dritten handelt oder eine Stelle innerhalb der Unternehmung des Verantwortlichen.

Das Wort Verarbeitung steht in diesem Kontext für „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang … im Zusammenhang mit personenbezogenen Daten“ (Art. 4 Abs. 2). Insbesondere schliesst dies die Dateneingabe, jegliche Verwertung und Weitergabe ein. Bereits die reine Einsicht stellt eine Verarbeitung dar.

Verantwortliche und Auftragsverarbeiter

Für die kontrollierten Firmen werden zwei Rollen unterschieden: Verantwortliche und Auftragsverarbeiter. Der Verantwortliche ist für die Gesamtheit der Massnahmen rund um den Datenschutz verantwortlich. Zieht er dabei Dritte ein, hat er diesen klare und zweckmässige vertragliche Auflagen und Weisungen bezüglich dem Datenschutz zu erteilen. Der Auftragsverarbeiter steht danach in der Pflicht, diese Vorgaben einzuhalten. Für reine Auftragsverarbeiter gelten einige Erleichterungen.

Doch nicht in jedem Fall ist es offensichtlich, ob eine Unternehmung „bloss“ die Rolle eines Auftragsverarbeiters einnimmt. Denn in erster Linie ist für die Bestimmung des Verantwortlichen entscheidend, wer über die Zwecke und Mittel der Verarbeitung personenbezogener Daten beschliesst. Währenddem bezüglich der konkreten technischen Mittel dem Auftragsverarbeiter noch ein gewisser Ermessensspielraum besteht, gibt es diesen bezüglich dem Verarbeitungszweck nicht. Relativ schnell kann die Situation entstehen, dass der Auftragsverarbeiter selbst zum (Mit-)Verantwortlichen wird und dieselben Auflagen zu erfüllen hat. Entsprechend sieht die Regulation auch eine gemeinsame Verantwortung als Variante vor.

Unsere Artikelserie zum Thema


Über linkyard

linkyard ist spezialisiert auf die Realisierung von Softwarelösungen mit hohen Sicherheitsanforderungen und der professionellen Begleitung von IT-Beschaffungsprozessen. Gerade bei der korrekten und wirtschaftlichen Umsetzung von Datenschutzanforderungen in IT-Systemen erweist sich ein iteratives Zusammenspiel von IT-Sicherheitsspezialisten wie linkyard und einem spezialisierten Rechtsanwalt von Vorteil. Denn die Suche nach der kostengünstigsten und gleichzeitig rechtskonformen Lösung bedingt oft die Ausarbeitung und Beurteilung von verschiedenen Umsetzungsvarianten und die erstbeste Lösung erfährt in der Regel noch einige Anpassungen. Gerne begleiten wir auch ihr Projekt.