Das Datenschutzrecht ist derzeit stark im Umbruch. Auf nationaler Ebene ist die Revision des Datenschutzgesetzes des Bundes (DSG) im Gange. Auf europäischer Ebene gelten bereits ab dem 25. Mai 2018 die Vorschriften der neuen Datenschutzgrundverordnung (EU-DSGVO). Was im Zusammenhang mit der EU-DSGVO auf den ersten Blick erstaunen mag: Obwohl die Schweiz nicht Mitglied der EU ist, erstreckt sich ihr Geltungsbereich unter bestimmten Voraussetzungen auch auf Unternehmen, die hierzulande Personendaten verarbeiten. Deshalb sind Unternehmen mit Sitz in der Schweiz, gerade auch im Bereich des öffentlichen Verkehrs, gut beraten, die Augen vor den neuen Vorschriften nicht zu verschliessen.
Weiter Begriff der «Verarbeitung»
Die Vorschriften der EU-DSGVO kommen nur dann zum Tragen, wenn Personendaten (als solche gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen) «verarbeitet» werden. Das EU-Recht definiert den Begriff der «Verarbeitung» jedoch äusserst weit. Darunter fallen etwa das Erheben oder das Organisieren personenbezogener Daten, aber auch deren Veränderung oder deren blosse Abfrage (vgl. Art. 4 Ziff. 2 EU-DSGVO).
Räumlicher Anwendungsbereich
Nicht jede «Verarbeitung» von Personendaten ist automatisch nach Massgabe der neuen EU-DSGVO zu beurteilen. Damit die europarechtlichen Vorschriften zur Anwendung kommen, muss vielmehr einer der folgenden drei Voraussetzungen vorliegen (Art. 3 DSGVO):
-
Das Unternehmen, das Personendaten verarbeitet, verfügt über eine Niederlassung in der EU.
-
Das Unternehmen (ohne Niederlassung in der EU) bietet seine Waren oder Dienstleistungen gezielt auch an potenzielle Kunden in der EU an.
-
Das Unternehmen (ohne Niederlassung in der EU) beobachtet das Verhalten potenzieller Kunden aus der EU. Eine solche Verhaltensbeobachtung liegt insbesondere vor, wenn ein Unternehmen auf seiner Website das sogenannte Web-Tracking (beispielsweise Google Analytics) einsetzt, um das Verhalten von Besuchern seiner Website zu verfolgen und auszuwerten.
Ist keine dieser Voraussetzungen erfüllt, bestimmt sich die Zulässigkeit der Verarbeitung – auch nach dem 25. Mai 2018 – grundsätzlich nach dem schweizerischen Datenschutzgesetz.
Verbot mit Erlaubnisvorbehalt
Anders als das geltende Datenschutzgesetz des Bundes (DSG) verbietet die EU-DSGVO die Verarbeitung von Personendaten; die Rede ist vom Verbotsprinzip (Art. 6 EU-DSGVO). Dieses Verbot ist aber nicht absolut. Vielmehr sieht die EU-DSGVO selbst Ausnahmen und damit Konstellationen vor, in denen eine Verarbeitung von Personendaten rechtmässig erfolgen kann (sogenannter Erlaubnisvorbehalt). Rechtmässig ist eine Verarbeitung beispielsweise in jenen Fällen, in denen die betroffene Person ihre Einwilligung zur Verarbeitung «ihrer» Personendaten gibt, wobei die EU-DSGVO auch Angaben darüber enthält, wie eine solche Einwilligung ausgestaltet sein muss, um rechtlich gültig zu sein (Art. 7 EU-DSGVO). Vorangekreuzte Kästchen gelten beispielsweise nicht als gültige Einwilligung.
Eine Verarbeitung von Personendaten ist (nebst den Fällen der Einwilligung) auch rechtmässig, wenn sie «für die Erfüllung eines Vertrags», zur «Erfüllung einer rechtlichen Verpflichtung», zum Schutz «lebenswichtiger Interessen» oder «für die Wahrnehmung einer Aufgabe» erforderlich ist, «die im öffentlichen Interesse liegt». Schliesslich können auch die «berechtigten Interessen» eines Unternehmens dazu führen, dass eine Verarbeitung von Personendaten rechtmässig ist. Dabei dürfen aber die Interessen des Unternehmens an der Verarbeitung die Interessen der betroffenen Person am Schutz ihrer Daten nicht überwiegen.
Im Einzelnen bleibt abzuwarten, in welche Richtung die Aufsichtsbehörden eine Praxis entwickeln, um die zahlreichen abstrakten Begriffe, wie sie die EU-DSGVO enthält, zu schärfen.
Weitreichende Pflichten für Unternehmen
Von der EU-DSGVO betroffene Unternehmen werden zahlreiche Verhaltenspflichten auferlegt. Bereits erwähnt wurde, dass spezifische Anforderungen an die Einwilligung gemacht werden. Weitere wichtige Pflichten bestehen in folgenden Bereichen:
-
Datenschutz durch Technik (Privacy by Design)
-
Datenschutz durch datenschutzfreundliche Voreinstellungen (Privacy by Default)
-
Ernennung eines Vertreters in der EU
-
Verzeichnis von Verarbeitungstätigkeiten
-
Meldepflicht (Data Breach Notification)
-
Datenschutz-Folgenabschätzung
Mögliche Sanktionen
Für Verstösse gegen die Vorschriften der EU-DSGVO sind Geldbussen bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten, weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr möglich. Ob und inwieweit die Aufsichtsbehörden diesen Rahmen ausschöpfen werden, ist derzeit kaum abschätzbar. Nebst aufsichtsrechtlichen Sanktionen enthält die EU-DSGVO auch eine Bestimmung über die zivilrechtliche Haftung für den Fall, dass einer Person wegen eines Verstosses gegen die EU-DSGVO Schaden entsteht (Art. 82 EU-DSGVO).
Spezifische Fragen im Umfeld des öffentlichen Verkehrs
Der Verband öffentlicher Verkehr (VöV) verfolgt die Entwicklungen im Bereich des Datenschutzes weiterhin eng, um seine Mitglieder auf branchenspezifische Besonderheiten hinweisen zu können. Im Auge behält der VöV zum einen die Rechtsentwicklung auf europäischer Ebene, daneben aber auch die laufende Revision des Datenschutzgesetzes des Bundes.
Stellen sich in Ihrem Unternehmen mit Blick auf die neue EU-DSGVO Fragen, die spezifisch den öffentlichen Verkehr betreffen? Dann senden Sie diese an recht@voev.ch. Die Anzahl und Art der eingehenden Fragen werden ausschlaggebend sein für den Entscheid des VöV, in welcher Form er seine Mitglieder sinnvollerweise weiter unterstützen kann.
(Der Inhalt dieses Newsletter-Artikels ist keine Rechtsauskunft und vermag eine individuelle Beratung nicht zu ersetzen.)
Links
Text der EU-DSGVO
KMU-Portal des Bundes
EDÖB: Die EU-Datenschutzgrundverordnung und ihre Auswirkungen auf die Schweiz
Datenschutz Self Assessment Tool (DSAT) zur Selbstbeurteilung der Datenschutz-Compliance durch Unternehmen
|