Martin Steiger: "Blogger sind auch nur Bearbeiter von Personendaten"
Ab dem 25. Mai gilt ein verschärftes Datenschutzrecht in der Europäischen Union, das auch hierzulande beträchtliche Auswirkungen haben kann. Der Schweizer Rechtsanwalt Martin Steiger nimmt Stellung.
Sie haben sich in der Vergangenheit kritisch zum neuen Datenschutzrecht der Europäischen Union geäussert und von einer ausufernden Bürokratie geschrieben. Was läuft aus Ihrer Sicht falsch?
Martin Steiger: Die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist in weiten Teilen der Versuch, das bestehende Datenschutzrecht mit zahlreichen Anreizen durchzusetzen. Bislang ist das Datenschutzrecht ein Papiertiger, obwohl in Europa die Privatsphäre als Menschenrecht verankert ist. Allerdings merkt man der DSGVO an, dass sie das Werk von 28 beteiligten Mitgliedstaaten und zahlreichen weiteren Beteiligten – auch vielen Lobbyisten der Wirtschaft – mit unterschiedlichen Interessen ist. Die DSGVO ist deshalb teilweise weitschweifig und widersprüchlich. Die Gefahr besteht, dass der Datenschutz vor lauter Bürokratie gar nicht verbessert wird. Es wird sich zeigen, wie Aufsichtsbehörden und Gerichte mit der DSGVO umgehen werden. Gleichzeitig hat die DSGVO aber bereits dazu geführt, dass der Datenschutz deutlich an Bedeutung gewonnen hat, was mich – gerade auch als Mitglied der Digitalen Gesellschaft – freut.
Aus Gründen der Transparenz ist zu erwähnen, dass Sie beruflich und finanziell von der Verschärfung des EU-Datenschutzrechts profitieren. Sie bieten mit einem Geschäftspartner eine kostenpflichtige Dienstleistung an, die angeblich schon bald sehr viele Schweizer Firmen und auch Privatpersonen brauchen werden: einen so genannten «Datenschutz-Vertreter» in der EU. Stimmt das so?
Ja, das stimmt. Die DSGVO ist unter bestimmten Bedingungen auch in Drittstaaten wie der Schweiz anwendbar, zum Beispiel bei beabsichtigten Angeboten an Personen in der EU. In diesem Fall ist fast immer ein Datenschutz-Vertreter in der EU notwendig. Der Vertreter ist eine Anlaufstelle für Aufsichtsbehörden und betroffene Personen rund um den EU-Datenschutz. Ob man Personendaten als einzelne Person oder als Unternehmen bearbeitet, spielt dafür keine Rolle. Mein Freund Andreas Von Gunten und ich stellten fest, dass wir als Unternehmer einen solchen Datenschutz-Vertreter in der EU benötigen, wurden aber nicht fündig. Wir gründeten deshalb unsere eigene Datenschutz-Vertretung in der EU und stellen diese anderen zur Verfügung. Wir ermöglichen anderen Unternehmern und sonstigen Datenbearbeitern mit unserem «Datenschutzpartner»-Angebot, zu fairen Bedingungen den benötigten Datenschutz-Vertreter zu benennen. In beruflicher Hinsicht als Anwalt für Recht im digitalen Raum möchte ich einen deutschen Anwaltskollegen zitieren: «Die DSGVO ist gesundheitsgefährlich». Gemeint ist, dass es ungesund sein kann, sich während Wochen fast Tag und Nacht mit Datenschutzrecht zu befassen. Jene, die erst jetzt kurz vor Ablauf der zweijährigen Übergangsfrist die DSGVO entdecken, stellen fest, dass alle Fachpersonen, die halbwegs etwas von Datenschutzrecht verstehen, ausgelastet sind.
Ab dem 25. Mai können EU-Bürger gemäss DSGVO von Schweizer Webseiten-Betreibern Auskunft über die «verarbeiteten» Daten verlangen. Wie muss man sich solche Datenschutz-Anfragen konkret vorstellen?
Die DSGVO ist für Schweizer Websites unter anderem anwendbar, wenn sie das Verhalten von Personen in der EU so beobachten, dass ein Profil erstellt werden kann. Gemeint ist beispielsweise, dass versucht wird, die persönlichen Verhaltensweisen oder Vorlieben zu analysieren oder vorherzusagen. Betroffene Personen haben – übrigens auch gemäss dem Schweizer Datenschutzrecht – ein Recht auf Auskunft. Der Aufwand für die Beantwortung von Auskunftsbegehren hängt davon ab, in welchem Umfang man überhaupt Personendaten bearbeitet. Wenn man beispielsweise Google Analytics einsetzt, gerade auch mit anonymisierten beziehungsweise markierten IP-Adressen, wird es häufig gar keine Personendaten geben, die man einer anfragenden Person zuordnen und damit Auskunft erteilen kann. In einem solchen Fall bleibt es bei allgemeinen Informationen gemäss Datenschutzerklärung. Gemäss DSGVO besteht nicht allein ein Recht auf Auskunft, sondern auch ein Recht auf Datenübertragbarkeit: Betroffene Personen haben grundsätzlich das Recht, ihre Personendaten in einem gängigen, maschinenlesbaren und strukturierten Format zu erhalten. Inzwischen haben das viele Entwickler erkannt und erweitern ihre Software. Für Word Press beispielsweise sind entsprechende Exportfunktionen vorgesehen.
Droht uns eine Flut von DSGVO-Anfragen?
Aus heutiger Sicht weiss niemand, wie viele Auskunftsbegehren zu erwarten sind. Ich vermute, dass vor allem bekannte und exponierte Unternehmen mit vielen Auskunftsbegehren rechnen müssen. Ein solches Unternehmen kann auch ein KMU sein. WhatsApp beispielsweise war vor der Übernahme durch Facebook ein KMU, bearbeitete aber dennoch die Personendaten von hunderten von Millionen Menschen in aller Welt.
Von der DSGVO sind nicht nur Firmen betroffen, sondern auch Selbstständige und private Webseiten-Betreiber. Und zwar immer dann, wenn sich Besucher registrieren müssen, um kostenlose Angebote zu beziehen, richtig?
Das Datenschutzrecht schützt Sie und mich, wenn unsere Personendaten bearbeitet werden. Es spielt keine entscheidende Rolle, ob jemand unsere Personendaten als Einzelperson oder als Unternehmen bearbeitet. Wenn sich eine Einzelunternehmerin mit ihrer Website an Personen in der EU richtet und diesen zum Beispiel Freebies wie Newsletter oder Whitepaper anbietet, dann ist die DSGVO in dieser Hinsicht anwendbar.
Wie ist das, wenn EU-Bürger meine private Website ansurfen und ich die Besuche zu statistischen Zwecken auswerte? Falle ich dann auch schon unter die DSGVO?
Die Staatsbürgerschaft spielt keine Rolle, sondern es geht um alle Personen in der EU – und, nicht zu vergessen, im Europäischen Wirtschaftsraum (EWR) einschliesslich Fürstentum Liechtenstein. Die Abrufbarkeit einer Website allein genügt nicht für die Anwendbarkeit der DSGVO. Allerdings zählen viele private Schweizer Websites gerne auf ein Publikum aus der EU, in der Deutschschweiz zum Beispiel aus Deutschland und Österreich. Wer auf Nummer sicher gehen möchte, setzt die DSGVO um oder verzichtet auf Tracking.
Stichwort Wordpress: Worauf müssen sich Blogger gefasst machen?
Blogger sind auch nur Bearbeiter von Personendaten. Sie erfassen Besucherinnen und Besucher beispielsweise in Server-Logdateien, können online kontaktiert werden, nutzen Spamfilter, ermöglichen das Veröffentlichen von Kommentaren, versenden Newsletter und setzen Tracking ein. Blogger benötigen deshalb immer eine Datenschutzerklärung und müssen teilweise auch Einwilligungen einholen. Bei Einwilligungen ist zu beachten, dass die Anforderungen an die Gültigkeit hoch sind und eine erteilte Einwilligung jederzeit widerrufen werden kann. Es ist deshalb bei einem Kontaktformular häufig weder notwendig noch sinnvoll, eine Einwilligung vorzusehen. Es ist ein populärer Irrtum, dass die DSGVO immer eine Einwilligung verlangt. Man kann die Bearbeitung von Personendaten beispielsweise mit der Vertragserfüllung oder mit den eigenen überwiegenden berechtigten Interessen – dazu zählen Direktwerbung und Informationssicherheit – rechtfertigen. Bei Word Press sind verschiedene Anpassungen zur Umsetzung der DSGVO vorgesehen.
Dürfen private Webseiten-Betreiber überhaupt noch einen Facebook-Like-Button platzieren?
Ja, aber ist es notwendig? Das Teilen ist inzwischen eine Smartphone-Standardfunktion und die meisten Websites haben keine Anzahl Likes, die man anzeigen müsste … Aus heutiger Sicht muss man über Social Media-Plugins mindestens in der Datenschutzerklärung informieren.
Wie läuft das juristisch, wenn ich mich nicht an die DSGVO halte und von einem EU-Bürger verklagt werde?
Betroffene Personen in der EU können grundsätzlich an ihrem Wohnsitz klagen, denn dafür genügt die Abrufbarkeit einer schweizerischen Website in einem Mitgliedstaat der EU. Das gilt übrigens heute schon. Unklar ist noch, ob es zu Abmahnwellen kommt, wie wir sie im Urheberrecht kennen. Die DSGVO erwähnt ausdrücklich einen Anspruch auf Schadenersatz bei Datenschutzverletzungen. Ich gehe davon aus, dass spezialisierte Unternehmen versuchen werden, kostenpflichtige Abmahnungen bei Datenschutzverletzungen zu etablieren.
In der Schweiz wird das Datenschutzrecht derzeit revidiert und soll auch verschärft werden. Welche Fehler sollten wir nicht machen, bzw. was können wir besser machen als die EU?
Die EU setzt mit der DSGVO den neuen weltweiten Standard für Datenschutz. Viele Unternehmen in der Schweiz müssen die DSGVO umsetzen, auch aufgrund der wirtschaftlichen Verknüpfung mit der EU. Wir sollten den Datenschutz genauso ernst nehmen, denn ansonsten riskieren wir nicht nur, dass die EU unser Datenschutzrecht nicht mehr als angemessen beurteilt, sondern wir Einwohnerinnen und Einwohner der Schweiz unterliegen in Europa einem Datenschutz zweiter Klasse. Das bedeutet nicht, dass wir die DSGVO übernehmen sollten, was ja auch nicht geplant ist, aber wir sollten in einem schweizerischen Rahmen die Durchsetzbarkeit des Datenschutzrechts gewährleisten. Dazu muss man insbesondere den betroffenen Personen ermöglichen, sich dort, wo der Datenschutz tatsächlich verletzt wird, wirksam zu wehren. Heute lohnen sich die entsprechenden rechtlichen Schritte nur für Personen in der Schweiz, die über viel Ausdauer, erhebliche finanzielle Mittel und über eine gute Anwältin oder einen guten Anwalt verfügen.