Ein Jahr post DSGVO

Der Wirbel letztes Jahr war gross, insbesondere im Bereich des Digital Marketing. Der Grund dafür: Die neue Datenschutz-Grundverordnung, kurz DSGVO der Europäischen Union ist genau am 25. Mai 2018 in Kraft getreten. Doch was ist daraus geworden, was hat sich tatsächlich verändert und wie zeigt sich die Situation heute? Wir haben mit unserer Expertin für Digitalisierung und Recht, Claudia Keller darüber gesprochen.

Wir erinnern uns alle an die Welle aus Newslettern, die darum baten, das Abo aufgrund der nahenden Umsetzung der DSGVO erneut zu bestätigen – zu Beginn vielleicht noch eine clevere Idee, weil die Möglichkeit zur Kontaktaufnahme genutzt wurde, aber nach dem fünften Mail dann doch eher nervig. Lang waren die Diskussionen darüber, was insbesondere auf Unternehmen zukommt, was es in welchen Fällen zu beachten gilt und inwieweit die in der Verordnung enthaltenen Regelungen nun sinnhaft seien oder nicht.

Mittlerweile ist einige Zeit vergangen und die Diskussionen scheinen verebbt. Was ist also aus den heiss diskutierten Konsequenzen der neuen Datenschutz-Grundverordnung geworden? Wie zeigen sie sich im Alltag und wie hat sich die Situation für Schweizer Unternehmen nach fast einem Jahr nach der Umsetzung verändert? Ein Gespräch dazu mit Claudia Keller, der Expertin zur Digitalisierung und Recht von Wenger & Vieli Rechtsanwälte.

Claudia, welches sind die wichtigsten Veränderungen, die durch die Datenschutzgrundverordnung eingetreten sind? Welche Daten sind denn nun wirklich betroffen?

Die wichtigste Veränderung liegt darin, dass in den EU und EFTA Staaten nun ein einheitliches Datenschutzrecht gilt, wenn auch nach wie vor mit der Möglichkeit gewisser Abweichungen auf nationaler Ebene (beispielsweise bei der Pflicht, eine/-n Datenschutzbeauftragte/-n zu benennen). In materieller Hinsicht sicherlich die Einführung  von bzw. Verschärfung der Sanktionsmöglichkeiten, sprich Bussen in potentiell Millionenhöhe. Administrativ hat die DSGVO zur Erhöhung der Dokumentationspflichten geführt, sprich Datenbearbeitende müssen Datenbearbeitungsvorgänge nunmehr detailliert und umfassend dokumentieren. Betroffene Personen wiederum haben mehr Rechte in Bezug auf Auskunft, Recht auf Löschung und Recht auf Datenübertragung bekommen.

Wen betreffen diese Änderungen insbesondere?

Die Änderungen betreffen grundsätzlich jeden oder jede, der oder die Personendaten automatisiert verarbeitet oder Persondendaten bearbeitet, die in einem Dateisystem erfasst sind.  

Gelten die neuen Bestimmungen der DSGVO vollumfänglich auch für Schweizer Unternehmen?

Die DSGVO ist für Schweizer Unternehmen nur in qualifizierten Fällen anwendbar, nämlich dann, wenn entweder die Datenbearbeitung im Rahmen der Tätigkeiten einer Niederlassung oder eines Auftragsverarbeiters in der EU erfolgt oder aber, wenn ein Schweizer Unternehmen natürlichen Personen in der EU Waren oder Dienstleistungen anbietet (gegen Entgelt oder kostenlos) oder im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an natürliche Personen in der EU Massnahmen zur Verhaltensbeobachtung (Stichwort Tracking/Targeting) implementiert. In diesen Fällen unterliegt die betroffene Datenbearbeitung der DSGVO.

Für wie sinnvoll hältst du die neuen Verordnungen als Social Media affine Rechtsanwältin?

Dass das Datenschutzrecht durch die DSGVO mehr in den Fokus der Öffentlichkeit geraten ist, erachte ich für eine gute Sache. Es ist wahrscheinlich noch zu früh um zu beurteilen, inwieweit die DSGVO wirklich die mit ihr verfolgten Ziele von Stärkung der informationellen Selbstkontrolle verwirklichen wird. Ich verfolgte die Diskussionen bspw. auch auf Twitter, wo mit dem Hashtag #dsgvowirkt auf aktuelle Entwicklungen aufmerksam gemacht wird.

Gibt es bestimmte Regelungen, die deiner Einschätzung nach eher “suboptimal” sind?

Ich denke, das grundlegende Problem der DSGVO liegt schon mal darin, dass sie als Regelungswerk komplex und schwer verständlich ist. Sodann macht es den Anschein, dass die neuen Regeln vor allem für die grossen Datenverarbeiter wie Google, Facebook, etc.  gedacht waren, konkret aber eben auch kleinere Unternehmen betreffen, denen technisches Know-How und auch Ressourcen für eine buchstabengetreue Umsetzung fehlen. Umfragen bei Unternehmen haben gezeigt, dass vor allem die durch die erweiterten Dokumentations- und Informationspflichten erhöhten Aufwände insbesondere für kleinere und mittlere Unternehmen schwer zu stemmen sind.

Ist es seit der Änderung im Mai 2018 zu vielen Rechtsfällen in Bezug auf die DSGVO gekommen?

In verschiedenen EU bzw. EFTA – Staaten laufen bereits zahlreiche Verfahren und es wurden schon etliche Bussen ausgesprochen. Viele nationale Datenschutzbehörden melden, dass sie mit Beschwerden überhäuft werden. In der Schweiz gab es meines Wissens erst einen Fall vor einem Berner Gericht, bei welchem das Auskunftsrecht Thema war und das Gericht das konkrete Auskunftsbegehren sowohl nach Schweizer Datenschutzgesetz wie auch DSGVO begutachtet hat.

Wie erlebst du persönlich die post DSGVO-Zeit?

Ich würde nicht von post DGVO sprechen. Ich denke, die Welle der Hysterie, die das Ende der Umsetzungfrist letzten Mai ausgelöst hat, ist mittlerweile abgeebbt und Behörden wie auch Unternehmen sind daran, die neuen Regelungen in der Praxis umzusetzen. Ich bin aus Schweizer Sicht vor allem gespannt, was die derzeit laufende Revision des Schweizer Datenschutzgesetzes konkret für Änderungen im Schweizer Datenschutzrecht bringen und wie weit wirklich eine Angleichung an die DSGVO stattfinden wird.

Overall betrachtet: DSGVO, gute Idee oder nicht?

Overall betrachtet eine gute Idee, denn diverse Vorfälle wie bspw. der Missbrauch von Facebook-Daten durch Cambridge Analytica sowie durch Facebook selber haben gezeigt, dass eine schärfere Regulierung wohl notwendig ist. In einem Vortrag letztes Jahr hat eine Datenschutzverantwortliche gesagt, mit der DSGVO sei das Thema Datenschutz bei ihnen endlich vom Hinterzimmer in die Chefetage befördert worden, from the backroom to the boardroom. Das finde ich eine sehr schöne Aussage. Die DSGVO – mit all ihren Schwächen – hat dem Thema Datenschutz zu einem breiteren Publikum verschafft. Datenschutz geht uns alle etwas an und ich wünsche mir auch eine breitere Diskussion weg von der rein rechtlichen Ebene hin zu einer gesellschaftlichen Gesamtbetrachtung, was denn ein verantwortungsvoller Umgang mit Daten beinhalten soll. Nicht alles, was technisch machbar ist, ist rechtlich zulässig aber gleichzeitig ist nicht alles, was rechtlich zulässig ist gesellschaftlich unbedingt wünschenswert. Um diese Diskussionen weiterzuführen braucht es neben einer angemessenen rechtlichen Regulierung auch die Vermittlung von Wissen und Kompetenz, um Nutzen und Risiken von datengesteuerten Angeboten informiert beurteilen zu können.