Bild: iStock
WERBUNG

In gut 100 Tagen tritt die neue EU-Datenschutzverordnung in Kraft. In Liechtenstein ist praktisch jedes Unternehmen davon betroffen. Nur kann im Moment noch niemand wirklich sagen, was zu tun ist. Der Aufklärungsbedarf ist gross.

Ab 25. Mai 2018 gilt die EU-Datenschutz Grundverordnung (DSVGO). Diese neue Grundverordnung wird auch in Liechtenstein anwendbar sein. Deshalb muss auch Liechtenstein das Datenschutzgesetz einer Totalrevision unterziehen. Bis zum 28. Februar 2018 läuft die Vernehmlassung für dieses Revision. Der Landtag soll sich im Juni in erster Lesung mit der nationalen Umsetzung der Verordnung befassen und das sportliche Ziel ist es, dass das Gesetz bis zum 1. Januar 2019 in Kraft tritt. Das Problem: Die EU-Verordnung ist bereits anwendbar und gemäss Insidern gibt es bereits eine Armada von Anwälten, welche hier ein neues Geschäftsfeld für Klagen sieht. Doch nicht nur Liechtenstein ist im Rückstand. Ausser Deutschland und Österreich hat noch kein EU-oder EWR-Mitgliedsstaat die notwendigen nationalen Gesetze verabschiedet. Und trotzdem muss jedes Unternehmen ab dem 25. Mai 2018 nach der neuen Verordnung handeln. Bei Verstössen drohen Bussgelder von bis zu 20 Millionen Euro. Für Unternehmen können sogar bis zu vier Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres fällig werden.

Höhere Ziele, unklare Umsetzung

Die EU-Kommission verfolgt mit dem neuen Datenschutzrecht durchaus hehre Ziele. «Unsere digitale Zukunft kann nur auf Vertrauen fussen. Wir müssen die Privatsphäre aller Bürger schützen. Ab 25. Mai werden die strengeren EU-Datenschutzbestimmungen Realität sein. Sie sind ein wichtiger Schritt nach vorne, und wir werden dafür sorgen, dass sie ein voller Erfolg werden», erklärte am letzten Mittwoch Andrus Ansip, der für den digitalen Binnenmarkt zuständige Vizepräsident der Europäischen Kommission. Doch selbst der Kommission scheint bewusst zu sein, dass es noch viel Informationsbedarf gibt. «Es muss insbesondere mehr getan werden, um KMU besser zu informieren und sie in ihren Bemühungen zu Einhaltung der Vorschriften zu unterstützen», heisst es in einer Aussendung der Kommission. Aus diesem Grund wurde letzte Woche ein «Online-Tool» präsentiert, welches «Bürgern, Organisationen, Unternehmen und insbesondere KMU dabei helfen soll, die neuen Datenschutzbestimmungen einzuhalten und sie richtig zu nutzen». Das neue Tool sieht zwar ansprechend aus, aber wirklich erhellend für Praxisfragen ist es nicht. Den neuen EU-Regeln fehlt es an Rechtsklarheit und Anwendungsfreundlichkeit. Matthias Wahl, Präsident des deutschen Bundesverbandes Digitale Wirtschaft, erklärte dazu gegenüber dem «Handelsblatt»: «Selbst Datenschutzbeauftragte sind der Meinung, dass eine 100-prozentige Umsetzung unmöglich sein wird.» Unternehmen, denen die Auswirkungen der Datenschutzverordnung unklar seien, müssten sich daher «intensiv» juristisch beraten lassen. «So sollte Recht eigentlich nicht funktionieren», kritisiert Wahl im «Handelsblatt» und fügt ernüchternd hinzu: «Ausreden werden bei Verstössen trotzdem nicht zählen.»

Und in Liechtenstein?

In Liechtenstein blickt man meist ebenfalls in ratlose Gesichter, wenn man fragt, was ein Unternehmen für Vorkehrungen treffen muss, um der neuen EU-Verordnung gerecht zu werden. Klar ist nur: Betroffen ist jeder, der einen Mitarbeiter aus einem EU-Staat beschäftigt oder in irgendeiner Art Handel mit EU betreibt und in diesem Zusammenhang «personenbezogene Daten» verarbeitet. Auf der Seite der Datenschutzstelle auf llv.li sind seit dem 1. November 2017 drei Dokumente aufgeschaltet: eine Medienmitteilung vom 23. Mai 2017, ein Fragebogen zur Umsetzung und ein Schreiben. Doch ohne juristische Kenntnisse werden die meisten KMU schon beim Fragebogen anstehen. Auch bei der Wirtschaftskammer kann man den KMU noch keine Ratschläge erteilen. Alle erhoffen sich mehr Informationen von der Tagung zur Umsetzung der DSVGO in Liechtenstein am 20. Februar sowie vom Intensivkurs «Datenschutz-Grundverordnung – Schulung für Datenschutzbeauftragte» vom 14. bis 16 März an der Universität Liechtenstein.

Heikle Gratulationen

Doch nicht nur der Gesetzgeber und die Unternehmen sind noch im Rückstand. Auch die Informatik ist für die neue EU-Richtlinie noch nicht vorbereitet. «Die meisten Datensysteme können die neuen Vorschriften noch nicht umsetzen», so ein liechtensteinischer Spezialist, der nicht namentlich genannt werden will. Die neue Richtlinie sieht unter anderem vor, dass jeder Bürger ein Recht auf Vergessen hat. Das heisst, dass seine Daten gelöscht werden. «Das Problem ist, dass die heutigen elektronischen Archivsysteme ge­nau darauf ausgerichtet sind, dass man einen Eintrag eben nicht löschen kann», so der Insider. Auch andere Punkte sind noch völlig unklar. So unterstehen etwa Juristen und Ärzte der Verschwiegenheit. Der externe IT-Dienst­leister sieht jedoch gewisse Daten im Rahmen seiner Tätigkeit oder ist für die Archivierung oder Datensicherung zuständig. Kann nun der Staat bei einer Datenschutzverletzung auf den IT-Dienstleister zurückgreifen? «Das ist völlig unklar», so der IT-Spezialist. Sein Urteil ist klar: «Weil gewisse Unternehmen übertrieben haben, müssen jetzt alle etwas umsetzen, was gegen jede Vernunft geht. Die Verordnung ist hoch unrealistisch.» Diese Erkenntnis wird nur wenig bringen. So müssen in Zukunft Unternehmen, Parteien und Vereine künftig im Vorfeld die Erlaubnis einholen, bevor sie jemandem zum Geburtstag gratulieren. Dies, da es sich bei der Verknüpfung von Name und Geburtsdatum bereits um sensible Daten handelt. Doch unabhängig davon, wie weit die Staaten und Unternehmen sind: Ab dem 25. Mai 2018 kann geklagt werden. Ganz so überzeugt scheint auch die EU-Kommission nicht zu sein. So schreibt sie in ihrer jüngsten Mitteilung: «2019, ein Jahr nach Geltungsbeginn der Verordnung, wird die Kommission eine Veranstaltung organisieren, um Bilanz der Erfahrungen unterschiedlicher Akteure bei der Anwendung der Verordnung zu ziehen. Die Ergebnisse werden auch in den Bericht über die Bewertung und Überprüfung der Verordnung einfliessen, den die Kommission bis Mai 2020 vorlegen muss.»

Datenschutz: Es geht nicht nur um Lohndaten und Buchhaltung

Viele KMU haben das Gefühl, dass sich die sensiblen Daten nur in der Buchhaltung befinden. Ein Trugschluss. Alle «personenbezogenen Daten» unterstehen dem Datenschutz. Personenbezogende Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Verschiedene Teil­informationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen ebenfalls personenbezogene Daten dar. Die EU-Verordnung schützt personenbezogene Daten unabhängig von der zur Datenverarbeitung verwendeten Technik – sie ist «technologieneutral» und gilt für die automatisierte wie die manuelle Verarbeitung, sofern die Daten nach bestimmten Kriterien (z. B. alphabetische Reihenfolge) geordnet sind. Es ist ebenfalls nicht entscheidend, wie die Daten gespeichert werden – in einem IT-System, mittels Videoüberwachung oder auf Papier. In all diesen Fällen fallen die personenbezogenen Daten unter die in der Datenschutz-Grundverordnung dargelegten Datenschutzklauseln.

Beispiele für personenbezogene Daten:

• Name und Vorname

• eine Privatanschrift

• eine E-Mail-Adresse wie vorname.name@unternehmen.com

• eine Ausweisnummer

• Standortdaten

• eine IP-Adresse

• Daten, die in einem Krankenhaus oder bei einem Arzt vorliegen, die zur eindeutigen Identifizierung einer natürlichen Person führen könnten.

Die «Verarbeitung» schliesst eine Vielzahl unterschiedlicher mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgänge zur Verarbeitung personenbezogener Daten ein. Sie umfasst das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung duch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten. Die Datenschutz-Grundverordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung in einem Datensystem. (Quelle: Europäische Kommission)

WERBUNG

2 Kommentare

  1. Als ehemaliger Datenschutzbeauftragter Liechtensteins habe ich nicht nur während meinem letzten Jahr meiner Amtszeit versucht, in Sachen Datenschutzgrundverordnung zu sensibilisieren. Dies hatte nicht den gewünschten Erfolg. Nun beginnt die heisse Phase, die Grundverordnung gilt ab dem 25. Mai 2018.

    Positiv ist, dass Ligital diesem Thema eine ganze Seite widmet und darüber informiert. Wenig hilfreich sind jedoch gewisse Aussagen, dass die Grundverordnung gegen jede Vernunft gehe und hoch unrealistisch sei. Die Aussage, dass zu einer Geburtstagsgratulation eine vorherige Erlaubnis nötig sei, grenzt an Panikmache. Und die Aussage, dass eine Verknüpfung von Name und Geburtstsdatum als sensible Daten gelten, ist schlichtweg falsch.

    Den Aussagen der Kommission zu den Zielen kann nur beigestimmt werden. Die Grundverordnung ist zugegebenermassen nicht leicht verständlich. Sie verankert einen risikobasierten Ansatz. Danach ist das wichtig, was zu einer Verletzung von Persönlichkeitsrechten führen kann. Die in Liechtenstein kaum akzeptierte gesetzliche Pflicht zur Anmeldung aller Datensammlungen wird zum Beispiel abgeschafft. Damit werden Unternehmen entlastet.

    Beim Versand einer Geburtstagskarte geht es um etwas, das so banal ist, dass sich kaum eine Datenschutzbehörde in Europa damit befassen wird. Es geht um ganz andere Themen, wie das erwähnte Recht auf Vergessen, die mit Busse bedrohten Tatbestände, aber auch zum Beispiel Probleme um Big Data, die Banalisierung biometrischer Daten z.B. durch Amazons Alexa oder Fragestellungen im Zusammenhang mit der aufkommenden Blockchain-Technologie.

    Da nun die heisse Phase beginnt und da auch hohe Sanktionen drohen, tauchen immer wieder neue Beratungsfirmen auf, die sich als Experten ausgeben. Das Risiko bei solchen Unternehmen ist, dass auch sie ähnlich gelagerte Falschaussagen machen können. Eine gute Beratung setzt Sachkenntnis und Erfahrung voraus.

    Gefordert sind wir alle. Die Unternehmen, aber auch der Gesetzgeber und die Datenschutzstelle.

  2. Danke für den ausführlichen Artikel. Ich kann dem Kommentar von Philipp nur beipflichten. Panik ist überhaupt nicht angebracht. Die DSGVO bringt von ihrem Ansatz wenig Neues, was es nicht schon bisher gegeben hat. Im Gegenteil. Und das Recht auf Löschung ist auch nicht schrankenlos verwirklicht. Daten sind nur zu löschen, wenn es keinen legitimen Grund gibt, sie weiter aufzubewahren. Usw. Es gibt im Netz genug ausführliche Leitfäden und Ratgeber, wo man sich eingehend informieren kann. Daher: Aufregung ist vorerst nicht angebracht.

Kommentieren Sie den Artikel

Geben Sie hier bitte Ihren Kommentar ein
Bitte geben Sie hier Ihren Namen ein