MME-Event zur EU-DSGVO

Die Welt ist nicht untergegangen

Uhr

Die Kanzlei MME hat einen Monat nach Einführung des neuen europäischen Datenschutzgesetzes (EU-DSGVO) zu einem Praxisbericht und Get-together geladen. Das Unternehmen informierte über aktuelle Tendenzen bei der Anwendung und Umsetzung. In der Schweiz seien bisher keine Bussgelder verhängt worden.

Martin Eckert gibt einen Ausblick auf den ersten Monat mit EU-DSGVO. (Source: Netzwoche)
Martin Eckert gibt einen Ausblick auf den ersten Monat mit EU-DSGVO. (Source: Netzwoche)

Die Zürcher Kanzlei MME Legal, Tax, Compliance hat einen Monat nach der Einführung der EU-DSGVO zu einem Get-together im Firmensitz geladen. Themen waren aktuelle Tendenzen bei der Anwendung beziehungsweise Umsetzung der EU-DSGVO und ein Ausblick in die Zukunft. "Die Welt ist nicht untergegangen", gab Martin Eckert, Legal Partner bei MME, gleich zu Beginn sein Fazit zur Einführung der neuen Datenschutzrichtlinien. Es sei jedoch an der Zeit, ein paar Erfahrungen dazu auszutauschen.

Es habe sich gezeigt, dass die Behörden einiger Länder für die Durchsetzung der EU-DSGVO noch nicht bereit gewesen seien. Schon Mitte Mai habe sich abgezeichnet, dass es noch an Mitteln, Personal und nationalen Vorschriften fehle. Bei Inkrafttreten der EU-DSGVO am 25. Mai reichte die Datenschutz-Plattform Noyb (None of your Business) sogleich in vier EU-Staaten gegen Facebook und Google Beschwerde ein. In der Schweiz dagegen sei es ruhig geblieben. Es seien bisher auch keine Bussgelder verhängt worden.

Herausforderungen der E-Privacy-Verordnung

Während der Fokus bis zum 25. Mai komplett auf der EU-DSGVO gelegen habe, verschob er sich danach in Richtung E-Privacy-Verordnung (EPVO). Diese sollte ursprünglich gleichzeitig mit der EU-DSGVO in Kraft treten, berichtete Eckert.

Die EPVO soll den Umgang mit Online-Nutzerdaten und die Vertraulichkeit beziehungsweise Sicherheit in der elektronischen Kommunikation sicherstellen. Die Verordnung soll auf der europäischen Verordnungsstufe die bestehenden E-Privacy- und Cookie-Richtlinien ablösen. Diese Richtlinien müssen von den einzelnen Ländern in ihrem nationalen Recht erst umgesetzt beziehungsweise integriert werden. Die momentane Diskussion im Europarat und dem Europäischen Parlament thematisiere hauptsächlich, was in der Verordnung stehen soll und wann sie in Kraft trete, erklärte Eckert. Der Zweck der EPVO soll die Vereinheitlichung der Vorgaben in anderen Ländern sein. Neuerungen und Verschärfungen, etwa bei der Verwendung von Cookies, sollen hinzukommen.

Option "Daten gegen Service" fällt weg

Eine erste Herausforderung der EPVO sei einerseits das strenge Koppelungsverbot, erklärt Philipp Stadler, Legal Associate bei MME. Es seien Diskussionen im Gange, in welchem Bereich und wie streng dieses Koppelungsgesetz umgesetzt werden solle. Mit der EPVO soll der momentane Standard "Daten gegen Service" wegfallen. Website-Betreiber, die auf Basis von Cookies persönliche Werbung schalten, sollen das nach Einführung der EPVO in Zukunft nicht mehr tun dürfen. Jedes auf Daten basierende Produkt oder jeder Service und jegliche Art von elektronischer Kommunikation müsse zukünftig genauer unter die Lupe genommen werden, sagte Stadler. Das bedeute, dass Kunden nicht mehr unbedingt Daten liefern müssten, um ein entsprechendes Produkt oder einen Service nutzen zu können. Problem dabei sei, dass Serviceanbieter damit künftig keine personalisierte Werbung mehr schalten dürften.

Eine zweite Herausforderung sei, dass jede Einwilligung für eine Datenverarbeitung, die im Rahmen der EPVO geschehe, dokumentiert werden müsse, so Stadler. Diese Einwilligung soll auch noch nach drei Monaten auf Verlangen vorgelegt werden können. Grundsätzlich herrsche noch einige Unsicherheit zum Thema E-Privacy-Verordnung und es gebe noch viel Diskussionsbedarf, lautete das Fazit von Stadler. Es sei davon auszugehen, dass es zwar keine zentralen Änderungen mehr an der EPVO geben werde, aber wichtige Themen noch einmal diskutiert würden. Vor dem Hintergrund sei es nicht sinnvoll, jetzt schon konkrete Projekte zu starten. Ratsam sei, die Entwicklungen im Auge zu behalten und vorerst „nicht weiter zu schiessen, als man sieht“, riet Stadler. Einen Plan B zu haben, wie man in einem eventuellen Worst Case reagieren könnte, sei allerdings überlegenswert.

Status quo in der Schweiz

Das Schweizerische Datenschutzgesetz wird im Zuge der EU-DSGVO revidiert. Um den Datenfluss zwischen der Schweiz und der EU zu gewährleisten, brauche die Schweiz ein angemessenes Schutzniveau, und das werde durch die EU-Kommission beurteilt, erklärte Stadler weiter. Bisher begutachtete die Kommission den Datenschutz der verschiedenen Länder. Wurde er als angemessen beurteilt, gab es einen sogenannten Angemessenheitsbeschluss. Das sei aktuell in zwölf Ländern so, darunter auch in der Schweiz. Die EU-DSGVO verpflichte nun die EU-Kommission, diese zwölf Angemessenheitsbeschlüsse neu zu überprüfen. Entspreche der Datenschutz eines Landes nicht den Richtlinien der DSGVO, stehe der Angemessenheitsbeschluss auf dem Spiel, sagte Stadler.

Die Vernehmlassung der Schweizer Datenschutz-Revision wurde im April 2017 verabschiedet, der Bundesrat stellte im September 2017 einen Entwurf vor. Anfang dieses Jahres hatte die Staatspolitische Kommission des Nationalrats überraschenderweise einen Antrag an die Räte gestellt, die Beratung der Revision zu teilen, was vor rund zwei Wochen vom Nationalrat akzeptiert wurde und nun noch an den Ständerat geht.

Der Grund dafür ist, dass das zukünftige Schweizer Datenschutzgesetz (DSG) aus drei Teilen besteht: einem allgemeinen, einem für die Bundesverwaltung und einem für Privatpersonen. Was die Bundesverwaltung angeht, müssen die Anpassungen aufgrund des Schengen-Abkommens erfolgen. Die Revision des SDSG (Schengen-DSG) soll bis Ende des Jahres abgeschlossen werden. Es werde also noch eine Weile dauern, sagte Michael Kunz, Legal Associate bei MME. Vermutlich werde sich aber am Schweizerischen Datenschutz nicht allzu viel ändern. Nicht übernommen werde der Bussgeldkatalog der EU-DSGVO. Der Betrag werde aber trotzdem von den aktuellen 10'000 Euro auf 250'000 Euro erhöht. Die Datenschutz-Folgeabschätzung sei dann notwendig, wenn eine Datenbearbeitung ein grosses Risiko und Folgen auf das Recht von Personen habe, ergänzte Kunz.

Es gibt jetzt "schwarze und weisse Listen"

Der Europäische Datenschutz-Ausschuss habe gewisse Konkretisierungen an Artikel 29 vorgenommen. Eine der Konkretisierungen laute, dass Länder neu "weisse" und "schwarze Listen" erstellen könnten. Eine schwarze Liste soll alle Aktivitäten beinhalten, die eine Datenschutz-Folgeabschätzung verlangten. Auf einer weissen Liste sollen alle Aktivitäten stehen, die frei von einer Datenschutz-Folgeabschätzung seien. Die Leitlinien sollen festlegen, wann eine Datenschutz-Folgeabschätzung zwingend notwendig sei. Das sei immer der Fall bei sozialen Netzwerken, bei Kontakt- oder Bewertungsportalen, Referenzen, Gesundheitsdaten oder die automatische Arbeitszeitüberwachung von Mitarbeitern, so Kunz.

Auch wenn seit Inkrafttreten der EU-DSGVO am 25. Mai in der Schweiz alles ruhig verlaufe, brauche es noch einige Zeit und viele Diskussionen, um die Unsicherheiten bei der Anwendung der neuen Datenschutzgesetze zu beseitigen.

Weitere Informationen zur EU-DSGVO und zur Revision des Schweizer Datenschutzgesetzes finden Sie im Dossier der Netzwoche.

Webcode
DPF8_99050