Das Pauli Magazin

1. Was ist die SDGVO oder GDPR?

Die «Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG», in Deutschland Datenschutz-Grundverordnung DSGVO, im Englischen General Data Protection Regulation GDPR genannt, ist in der Europäischen Union am Freitag dem 25. Mai 2018 in Kraft gesetzt worden. Sie ersetzt die EU-Richtlinie von 1995.  Sie gilt für alle 28 Mitgliedstaaten der EU und lässt diesen keine Möglichkeit mehr für Bewegungsfreiheit einzelnder Länder.

2. Was wird geregelt und wen betrifft es?

In 99 Artikel (hier der Link) legt die neue Verordnung absolut verbindlich fest, wie z.B.

• Unternehmen
• der Staat und seine Behörden
• aber auch Blogger
• selbst Private Betreiber von Whats-App-Gruppen
• Onlineshop-Betreiber
• Reservations- und Buchungssystem-Betreiber

mit personenbezogenen Daten umgehen sollen. (zu den Personenbezogenen Daten gehört auch die IP-Adresse).

Die Verordnung ist kein vollständiger Neubeginn sondern basiert auf der EU-Richtlinie 95/46/EG und auf der «Charta der Grundrechte der Europäischen Union 2010/C 83/02» (hier der Link) in der die Datenschutzrechte beschrieben und festgelegt sind.

3. Was wird jetzt, nach inkraftreten nach dem 25. Mai passieren?

Die DSGVOist am 25. Mai bedingungslos in Kraft getreten und gilt für alle Mitgliedstaaten der Europäischen Union. Theoretisch gilt die Verordnung für die Schweiz (noch) nicht. Doch a) sind Regierungen und Behörden daran, das Schweizer Datenschutzgesetz an die EU-Regelung anzugleichen. Das soll zeitnah im Verlauf des Jahres 2019 geschehen, für den Moment viel entscheidender ist: Das Internet mach an der Grenze nicht halt. Damit unterliegen alle, die auch auf EU-Seite und/oder für EU Bürger in irgendeiner Form arbeiten, bloggen etc. der Verordnung und sind auch haftbar dafür. Die Frage ist hierbei, wieviel Recht die Schweizer Regierung und ihre Behörden der EU einräumen werden, um in der Schweiz Schweizer Bürger und Unternehmen rechtlich zu belangen.

Anzumerken ist, dass in den EU-Staaten selbst bei Juristen Unklarheit herrscht. Die Unklarheit wird von den Gerichten eins ums andere mit Urteilen ausgeräumt. Das wiederum bedeutet, das es Klaren geben wird. Hier findet die amerikanische Schadensersatz-Kultur den Anknüpfungspunkt an Europa. Sicher ist, dass in Deutschland die Abmahnanwälte und Abmahnvereine bereits bereistehen.

Klagen gegen tatsächliche, vermeintliche und Bagatell-Verstösse gegen die DSGVO dürften sehr schnell zu einem lukrativen Geschäftsfeld werden.

4. Was ist das Ziel der «Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG»?

Der Umfassende Schutz der Nutzer und EU-Bürger vor Missbrauch der Personenbezogenen Daten.

Der Nutzer soll keine Eigenverantwortung mehr tragen, auch nicht, wenn unverantwortlich handelt.

Das Bestreben war es, die veraltete, unter anderem Technikneutrale Regelung (1995 gab es noch keine sozialen Netzwerke und keine BiG-Data-Unternehmen)  durch eine zu ersetzten, die für alles und alles gilt. Also für Wirtschaft, Technik und Verbraucher.

Nutzer bzw. Büger erhalten das konkrete Recht, über Ihre Daten, die erhoben, verarbeitet, verbreitet und geschäftlich genutzt werden, Auskunft zu verlangen. Eine Anfrage muss beispielsweise innerhalb eines Monats beantwortet werden.

Weiter wird auch dem «Recht auf Löschung bzw. das Recht auf Vergessenwerden» nachgekommen. EU-Bürger werden nach bestimmten Regeln die Löschung ihrer personenbezogenen Daten ganz oder teilweise verlangen können, z.B. bei unsachgemässem Umgang oder wenn es nicht mehr Notwendig ist, diese zu speichern.

Neu soll der Nutzer aber auch ein Recht auf die Herausgabe seiner Daten haben. Onlinedieste müssen die Daten auf Anfrage in strukturierter maschinenlesbarer Form herausgeben.

5. Was sind personenbezogene Daten?

Wenn zwischen Daten direkt oder indirekt ein Bezug zu identifizierbaren Menschen herstellt wird bzw. diese einander zugeordnet werden können. Das sind z.B.

• Namen
• Physische Merkmale wie Geschlecht, Hautfarbe, Grösse und Gewicht, Schuhgrösse etc.
• Autokennzeichen
• IP-Adressen
• Als Besonders heikel gelten und deshalb besonders streng geregelt werden rassische oder ethnische Zugehörigkeiten sowie politische, religiöse, weltanschauliche Meinungen und Überzeugungen

Als verarbeitet gelten Daten wenn sie erhoben, gespeichert, versendet, weitergeleitet, ausgelesen, ausgewertet, verlinkt abgeglichen oder wie auch immer gehandhabt werden. Auch Löschen gilt als Verarbeitung.

6. Und jetzt? Wie weiter? Was müssen sie tun?

Alle Firmen und Institutionen der EU-Mitgliedstaaten (empfiehlt sich auch eher für jene in der Schweiz, sofern sie Daten von EU-Bürgern verarbeiten) aber auch Einzelpersonen wie Betreiber von Bloggs oder kleinen Websites müssen sich an die Regeln halten und diese befolgen. Das Problem ist, dass die Verordnung allgemein formuliert sind und sowohl Experten als auch Juristen sich bei viele Dingen nicht sicher und sich schon gar nicht einig sind, was jetzt erlaubt ist und was nicht.

Als Paradebeispiel wird die Kunstfreiheit angeführt. Fotografen z.B. müssen, so steht es in den Regeln der Verordnung, eine Einwilligung jeder Person, die auf dem Bild ist, einholen. Wenn also ein Fotoreporter im Stadion einen Fussballer fotografiert und im Hintergrund erkennbar Personen mitabgelichtet werden, darf das Bild ohne die Einwilligung dieser nicht publiziert werden. Das gilt für die Fernsehkameras genauso wie für Konzert- und Hochzeitsfotografen. Entgegen dem Gesetzt versucht die deutsche Bundesregierung zu beschwichtigen und sagt, das sei kein Problem. Was dann gelten wird oder nicht steht in den Sternen.

7. Was sie tun sollten (das wird in der Schweiz nämlich auch bald kommen):

Alle Betreiber einer Webseite, eines Online-Shops, einer Reservations- oder Buchungsplattform, eines Bloggs, eines Newsletters und so weiter müssen sie jeden Besucher darüber aufklären, welche Personenbezogenen Daten sie zu welchem Zweck erheben und wie lange sie gespeichert werden.

Besonders heikel ist es bei Daten von Usern unter 16 Jahren, hier braucht es die Einwilligung der Eltern.

Was sich für alle empfiehlt, sicher für alle die mit Daten eh nichts anfangen wollen, ganz auf das Speichern zu verzichten.

Wenn sie eine private Homepage, Blogg oder dergleichen betreiben und von einem Gericht Fotos machen und das für Freunde und Familie posten, ist das Privat und nicht der Verordnung unterworfen. Wer aber nur schon z.B. irgendeine kleine Gastronomische Dienstleistung anbietet, ist der Verordnung unterworfen – ABER ACHTUNG: Wer dann dafür schon nur eine Whats-App-Gruppe unterhält speichert und verarbeitet Personenbezogene Daten.

Neu ist man auch (mit) verantwortlich für Drittanbieter auf der eigenen Site, z.b. wenn auf der eigenen Home-Page Werbung, Affiliate-Links, Word-Press-Plug-ins die Nutzerdaten erfassen platziert sind oder auch Nutzer in Kommentaren-Funktionen ihren Namen hinterlassen.

Handeln sie:

a) Bringen sie in Erfahrung ob auf und mit ihrem  Online-Angeobt in irgendeiner Weise Nutzerdaten gespeichert und verarbeitet werden.

b) Listen Sie detailliert auf, welche Plag-Ins von Drittanbietern imHintergrund laufen

c) Bringen sie in Erfahrung was sie gemäss der Verordnung tun müssen und tun sie es.

d) Alle Plug-ins und Social-Media-Links und Buttons die nicht wichtig sind, sofort löschen da diese oft nur schon die IP-Adressen erheben und sind bereits persönliche Daten.

e) Dann muss zum und im Impressum eine DSGVO-konforme Datenschutzerklärung aufgeschaltet werden. Unter diesem Link finden sie eine Site auf der Private und Kleinunternehmer Kostenlos eine Datenschutzerklärung automatisch generieren können.

f) Sie benötigen eine klärung und anschliessend eine Vereinbarung mit dem Hoster ihrer Homepage oder ihres Bloggs darüber, wie er welche Daten verarbietet oder nicht.

g) Idealerweise bereits jetzt Juristische Hilfe suchen und allenfalls sogar einen Anwalt mit dem Notfallszenario beauftragen, der allfälligen Klagen, Abmahnungen und Verwarnungen mit den richtigen Schritten entgegentritt

Ansonsten ... die Konsequenzen sind brutal...

8. Wie gross ist das Strafmass bei einem Verstoss?

Bis dato war eine allfällige Strafe auf maximal 300'000 Euro begrenzt.  Diese Grenze wurde aufgehoben. Neu können Strafen bis zu 20 Millionen Euro ausgesprochen werden oder dann 4 Prozent auf den Vorjahresumsatz – dies für Unternehmen, die eine 20 Millionen Euro Strafe aus dem Portokässli bezahlen können. Dabei wird immer diejenige Berechnung angewendet, die den höheren Bussgeld-Betrag für eine Unternehmen oder eine Institution nach sich zieht. Und - Verantwortliche haften je nach dem auch mir ihrem Privatvermögen.