Datenschutz 2020 von Martin Egli. 

Selten war das Thema Datenschutz 2020 so präsent wie derzeit. Datenschutz ist aber nicht ein reines Online Thema. Auch Karteikarten, welche persönliche Informationen über Kunden enthalten, fallen unter die Rubrik des Datenschutzes. Doch war es wohl noch nie so einfach via Internet an so viele und grosse Datenvolumen zu gelangen wie heute. Datenschutz 2020 ist ein Grundrecht eines jeden Menschen (UNO 1953). Die Menschen wünschen sich bestmöglichen Datenschutz und Wahrung der Persönlichkeit. Doch so hoch der Wunsch nach Schutz auch sein mag, genauso hoch scheint das Bedürfnis sich online und öffentlich zu präsentieren und aus zu tauschen. Wir sind also bereit sehr viel unserer persönlichen Informationen via Facebook, Instagram, WhatsApp, Snapchat und dergleichen im Internet preis zu geben. Dennoch möchten wir verhindern, dass persönliche Daten missbraucht oder entgegen des eigenen Willens genutzt werden. Aus Sicht der Unternehmen und Wirtschaft sind persönliche Daten von grossem Interesse. Erlauben Sie den Unternehmen doch eine bestmögliche Kundenwertsteigerung und damit einhergehend natürlich auch Gewinnsteigerungen. Mit Hilfe von genauen Nutzer-/Kundenprofilen lassen sich nicht nur gezielte Werbekampagnen lancieren, sondern auch mögliche künftige Trends und Bedürfnisse ableiten. Es gilt also verschiedene Interessen zu Berücksichtigen und persönliche Informationen zu schützen. Dazu werden bereits seit längerem Online Plattformen von Unternehmen genaustens überprüft und die Firmen in die Pflicht genommen. Es gibt Gesetze zum Schutz der Persönlichkeit und der Daten welche Firmen über Ihre Nutzer erfassen. Firmen müssen sich mehr denn je überlegen, welche Daten zu welchen Zwecken erhoben werden. Der Leitsatz je mehr Daten desto besser ist definitiv der falsche Ansatz. Gezielte und gute Daten sollen den Unternehmen helfen sich bestmöglich am Markt zu platzieren und im besten Fall erlauben, Ihren Kunden einen Mehrwert zu generieren. Denn durch genau diesen Mehrwert können sich Unternehmen im Wettbewerb abheben und bestehen. Denn unlängst ist es den meisten Kunden auf einfachste Weise möglich die verschiedenen Angebote zu vergleichen und entsprechend zu agieren.

Persönliche Daten

Schnell lässt man sich zu Aussagen hinreissen; ich habe doch nichts zu verbergen. Doch würden wir einfach so einem Fremden unseren Lohnausweis oder die Steuerunterlagen zeigen. Oder weshalb nicht einem wartenden an der Bushaltestelle mal eben das Handy zur Einsicht überlassen? Jeder hat seinen persönlichen Bereich, den man nicht teilen möchte oder eben nur mit gewissen Institutionen oder Personen teilen möchte.  Als persönliche Daten gelten insbesondere sämtliche Informationen welche identifizierte oder identifizierbare Informationen zu natürlichen Personen beinhalten. Im Wesentlichen unterscheidet man zwei Sparten von Persönlichen Daten (Die Auflistungen sind beispielhaft und nicht abschliessend):

Direkte Persönliche Daten

• Name Vorname, Adresse, Geburtsdatum, Telefonnummer, E-Mailadressen etc.
• AHV-Nummer
• Biometrische Daten
• Login/Online-Identifikatoren

Indirekte Persönliche Daten

• • Ökonomische Daten (z.B. Kreditkartennummer)
  • IP-Adresse, Pseudonymisierte Daten, Geo-Daten
  • Kulturelle oder soziale Informationen, Konfession

Einige Daten gelten zudem als besonders schützenswert und sensibel. Hier einige Beispiele dazu:

• Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
• Daten über die Gesundheit, die Intimsphäre, sexuelle Orientierung oder die Zugehörigkeit zu einer Rasse oder Ethnie
• genetische Daten
• biometrische Daten, die eine natürliche Person eindeutig identifizieren
• Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen
• Daten über Massnahmen der sozialen Hilfe
• Daten von Kindern unter 16 Jahren

Rechtslage zum Datenschutz 2020

Die Rechtslage gestaltet sich häufig schwierig und es ist entscheidend in welchen Märkten die jeweiligen Unternehmen tätig sind. In der Schweiz operierende Unternehmen können sich in erster Linie an den DSG 2020/2021 (Datenschutzgesetz 2020/2021) orientieren. Doch schnell kommt man in Berührung mit den DSGVO 2018 (EU-Datenschutz-Grundverordnung 2018). Sowohl in der EU wie auch in der Schweiz gelten zudem spezielle «Shield Abkommen» mit den U.S. Behörden. Die jeweiligen Datenschutzabkommen stammen aus den Zeiträumen 1994/1995 und erfuhren beide mehrerer Revisionen und Überarbeitungen. Aktuell laufen neue Überarbeitungen. In jüngerer Vergangenheit kam es bereits zu grösseren aufgedeckten Verstössen. Dies auch bei namhaften Unternehmen mit sehr umfänglichen Bussgeld Zahlungen. Die Firmen müssen Ihre Prozesse im Umgang mit Kundendaten genau überprüfen und gegebenenfalls auch Anpassungen vornehmen. Für den Verbraucher aktuell am deutlichsten zu spüren, ist wohl die neuerdings sehr umfänglich eingeforderten Bestätigungen/Freigaben beim Besuch von Homepages und Online Shops. Der User muss aktiv bestätigen, dass er mit der Erhebung von Persönlichen Daten einverstanden ist. Es dürfen auch keine Abfragen mit voreingestellten Einverständnis-Erklärungen mehr eingesetzt werden. Bei Verstössen gegen die DSGVO (EU) muss mit Bussen von bis zu 20 Mio. Euro oder 4% des Jahresumsatzes gerechnet werden. Speziell zu erwähnen ist hier wohl auch, dass die Unternehmen eine Meldepflicht haben. Sollte es zu Datenlecks kommen muss innert 72h eine Meldung bei den entsprechenden Behörden erfolgen. Es besteht zudem eine Informations- und Auskunftspflicht innert 30 Tagen und das Recht auf Löschung der persönlichen Daten. In der Schweiz ist mit Bussen von bis zu 250´000 CHF zu rechnen. Hier gilt es zudem speziell zu erwähnen, dass der Datenschutzverantwortliche persönlich haftbar gemacht werden kann.

Cookies (ein aktuelles Thema das beschäftigt)

Cookies sind Informationen, welche beim Besuchen von Webseiten auf dem «end User» Gerät gespeichert werden. Diese Daten können von den aufgerufenen Servern auch zu einem späteren Zeitpunkt erneut ausgelesen und wiederverwendet werden. Das Grundsätzliche Problem liegt daran, dass der User durchaus erwartet, dass wenn er eine Seite besucht die entsprechenden Informationen erfasst werden. Es werden aber Cookies auch an andere Unternehmen ausgetauscht. Diese erhalten dann auch zu einem späteren Zeitpunkt (z.B. eine Woche später) Informationen über besuche von spezifischen Seiten.

Der Cookie wird entweder vom Webserver an den Browser gesendet oder im Browser von einem Skript (JavaScript) erzeugt. Der Webserver kann bei späteren, erneuten Besuchen dieser Seite diese Cookie-Information direkt vom Server aus auslesen oder über ein Skript der Website die Cookie-Information an den Server übertragen. Aufgabe dieser Cookies ist beispielsweise die Identifizierung des Surfers (Session ID), das Abspeichern eines Logins bei einer Webanwendung wie Wikipedia, Facebook usw. oder das Abspeichern eines Warenkorbs bei einem Online-Händler. Ein häufiger Einsatzzweck ist das Webtracking von Nutzern (Karsten Neß, Privacy Handbuch)

Das «Cookie-Problem»:

• Die in Cookies gespeicherte Information kann einen Webseitenbesucher eindeutig identifizieren und ist somit eine persönliche Information.
• Cookies können von jedem Webserver gesetzt werden, der ein Stück Webseiteninhalt liefert (Bilder, Texte, JavaScript etc.).
• Mit jedem erneuten Herunterladen eines Inhalts von diesem Webserver wird das vorhandene Cookie an den Webserver zurückgeschickt und das Cookie kann aktualisiert werden.
• Cookies können auch vom Code auf der Webseite gesetzt, gelesen und verändert werden (z.B. mit JavaScript).

Um einwandfrei funktionierende Homepages und Onlinedienstleistungen mit bestmöglicher Nutzerfreundlichkeit bieten zu können sind Cookies essenziell. Aber in Bezug auf den Datenschutz 2020 und die gesetzlichen Leitplanken sind eben diese Cookies heikel und mit Bedacht zu verwenden. Es empfiehlt sich daher folgende Kategorisierung vorzunehmen und diese auch vom User freigeben zu lassen.

• Unbedingt notwendige Cookies
• Funktionale Cookies
• Performance Cookies
• Marketing Cookies

Der User soll auf der Homepage aktiv und nicht nur informativ über den Einsatz der jeweiligen Cookies informiert werden. Und wie bereits erwähnt, soll unbedingt auf den Einsatz von vorausgefüllten Formularen verzichtet werden.  Wo immer möglich sollte zudem eine Anonymisierung auf allen Ebenen vorgesehen werden.

Beim Versenden von Newslettern bedarf es grundsätzlich der Zustimmung des Empfängers und die Quelle der E-Mailadresse muss bekannt sein. Einfacher ist die Handhabung von allgemeinen Firmen-E-Mail-Adressen (z.B. [email protected]). Diese gelten nicht als persönlich und dürfen somit zu Werbezwecken genutzt werden. Sollte der Empfänger ausdrücklich einen Stopp der Newsletter/Werbung verlangen, gilt es dies zu respektieren.

Quellen:

EU-DSGVO Gesetzestext: http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE

EU e-PrivacyDirective 2002: https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:de:HTML

Guidelines für die territoriale Gültigkeitder EU-DSGVO: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en

EU-ePrivacyRegulation Entwurf: http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=42678

Gut verständliche Aufbereitung des EU-DSGVO Gesetzestexts: https://dsgvo-gesetz.de/

Informationen und Antworten zur EU-DSGVO: https://gdprexplained.eu/de/

Sammlung der bisherigen Bussen und Urteile zur EU-DSGVO: https://www.enforcementtracker.com/

Neues Schweizer DSG: https://www.admin.ch/opc/de/federal-gazette/2020/7639.pdf

Webseite des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB): https://www.edoeb.admin.ch/edoeb/de/home.html

Mitteilung des EDÖB zum CH-US Privacy Shield: https://www.edoeb.admin.ch/edoeb/de/home/aktuell/medien/medienmitteilungen.msg-id-80318.html

Weitere Informationen zum DSG von gbf Rechtsanwälte AG: https://www.datenschutzguide.ch/