DSGVO
Dieser Beitrag ordnet die Regulierung faktisch ein und ersetzt keine Rechtsberatung im Einzelfall. Ob und wie die DSGVO eine konkrete Verarbeitung erfasst, hängt von der jeweiligen Konstellation ab und ist anhand des Verordnungstextes und gegebenenfalls fachlicher Beratung zu klären.
Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, "DSGVO") ist das zentrale Datenschutzrecht der Europäischen Union. Sie regelt die Verarbeitung personenbezogener Daten natürlicher Personen, gilt seit dem 25. Mai 2018 unmittelbar in allen EU- und EWR-Staaten und reicht über ihren räumlichen Anwendungsbereich auch zu Akteuren ausserhalb der EU. Sie ist nicht zu verwechseln mit dem Schweizer revidierten Datenschutzgesetz, das ein eigenes, paralleles Regime ist.
DSGVO und Schweizer Datenschutz: zwei Regime
Diese Seite beschreibt das EU-Recht. Das Schweizer Pendant, das revidierte Datenschutzgesetz (nDSG / nFADP), ist ein eigenständiges Gesetz mit eigener Seite. Beide nähern sich inhaltlich an, sie sind aber rechtlich getrennt: Die DSGVO ist eine unmittelbar geltende EU-Verordnung, das revidierte DSG ist nationales Schweizer Recht. Für ein Schweizer Unternehmen können beide gleichzeitig greifen, das eine über den Sitz und die Verarbeitung in der Schweiz, das andere über den räumlichen Anwendungsbereich der DSGVO. Wo diese Seite Artikel nennt, sind das DSGVO-Artikel; die DSG-Artikel stehen auf der nFADP-Seite.
Geltungsbereich: wen die DSGVO erfasst
Der Anwendungsbereich der DSGVO endet nicht an der EU-Aussengrenze. Massgeblich ist nicht allein der Sitz, sondern der Bezug der Verarbeitung zur EU. Die Verordnung erfasst nach ihrem räumlichen Anwendungsbereich (Art. 3) im Kern zwei Konstellationen:
- Niederlassung in der EU. Wer als Verantwortlicher oder Auftragsverarbeiter eine Niederlassung in der EU hat, fällt mit der dortigen Datenverarbeitung unter die DSGVO, unabhängig davon, wo die Verarbeitung technisch stattfindet.
- Marktortprinzip. Auch ein Verantwortlicher oder Auftragsverarbeiter ohne EU-Niederlassung wird erfasst, wenn er betroffenen Personen in der EU Waren oder Dienstleistungen anbietet oder ihr Verhalten beobachtet, soweit dieses Verhalten in der EU stattfindet.
Genau dieses Marktortprinzip ist der entscheidende Mechanismus für Schweizer Leserinnen und Leser. Ein Schweizer Anbieter, der sich gezielt an Kundinnen und Kunden in der EU richtet, kann in den Anwendungsbereich fallen, ohne je eine EU-Niederlassung zu haben. Diese Seite referiert nur den Tatbestand; ob er im Einzelfall erfüllt ist, hängt von der konkreten Konstellation ab. Die Logik ähnelt dem extraterritorialen Auslöser des EU AI Act, der über den Ort der Wirkung greift; beide Regime können nebeneinander einschlägig sein.
Die Grundsätze der Verarbeitung
Die DSGVO stellt die Verarbeitung personenbezogener Daten unter eine Reihe von Grundsätzen (Art. 5). Sie sind der Massstab, an dem jede Verarbeitung gemessen wird:
- Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz. Jede Verarbeitung braucht eine Rechtsgrundlage und muss für die betroffene Person nachvollziehbar sein.
- Zweckbindung. Daten werden für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer damit unvereinbaren Weise weiterverarbeitet.
- Datenminimierung. Erhoben wird nur, was für den Zweck erforderlich ist.
- Richtigkeit. Unrichtige Daten sind zu berichtigen oder zu löschen.
- Speicherbegrenzung. Daten werden nicht länger in identifizierbarer Form aufbewahrt, als es der Zweck erfordert.
- Integrität und Vertraulichkeit. Angemessene technische und organisatorische Sicherheit gegen unbefugte Verarbeitung, Verlust oder Schädigung.
Quer dazu steht die Rechenschaftspflicht: Der Verantwortliche muss die Einhaltung dieser Grundsätze nicht nur sicherstellen, sondern auch nachweisen können. Dieser Nachweisgedanke ist der Punkt, an dem Datenschutz und Technik sich treffen, von der Dokumentation der Verarbeitungstätigkeiten bis zur technischen Umsetzung in der Compliance-Architektur.
Rechtsgrundlagen statt pauschaler Einwilligung
Ein verbreitetes Missverständnis setzt rechtmässige Verarbeitung mit Einwilligung gleich. Tatsächlich kennt die DSGVO mehrere gleichrangige Rechtsgrundlagen (Art. 6), darunter die Einwilligung, die Erfüllung eines Vertrags, eine rechtliche Verpflichtung und das berechtigte Interesse. Die Einwilligung ist nur eine davon und an Bedingungen geknüpft: Sie muss freiwillig, informiert und widerrufbar sein. Für besondere Kategorien personenbezogener Daten, etwa Gesundheits- oder biometrische Daten, gelten zusätzliche Voraussetzungen (Art. 9). Welche Grundlage trägt, ist eine Frage des konkreten Verarbeitungszwecks, nicht eine Standardannahme.
Die Rechte der betroffenen Person
Die DSGVO räumt der betroffenen Person durchsetzbare Rechte gegenüber dem Verantwortlichen ein. Die zentralen sind:
mindmap
root((Betroffenenrechte))
Auskunft
Welche Daten
Welcher Zweck
Berichtigung
Unrichtige Daten korrigieren
Löschung
Recht auf Vergessenwerden
Einschränkung
Verarbeitung pausieren
Datenübertragbarkeit
Daten mitnehmen
Widerspruch
Gegen bestimmte Verarbeitung
Das Diagramm zeigt die Kernrechte, die die DSGVO der betroffenen Person zuweist. Das Auskunftsrecht (Art. 15) ist der Einstieg; daran schliessen Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21) an. Die Rechte gelten nicht unbegrenzt, sondern unter den jeweils in der Verordnung genannten Voraussetzungen und Ausnahmen.
Bemerkenswert ist hier der Unterschied zum Schweizer Recht: Das Schweizer DSG kennt kein der DSGVO entsprechendes umfassendes Recht auf Löschung und keine eigenständige Datenübertragbarkeit in gleicher Form. Wer beide Regime bedienen muss, kann sich nicht auf den kleinsten gemeinsamen Nenner verlassen; das ist einer der Gründe, die DSGVO und das revidierte DSG getrennt zu betrachten.
Pflichten des Verantwortlichen
Aus den Grundsätzen folgen konkrete Pflichten. Die DSGVO verlangt unter anderem Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Privacy by Design und by Default), ein Verzeichnis von Verarbeitungstätigkeiten, in bestimmten risikoreichen Fällen eine Datenschutz-Folgenabschätzung und die Meldung von Datenschutzverletzungen an die Aufsichtsbehörde, in der Regel binnen 72 Stunden, sowie unter Umständen an die betroffenen Personen. Welche dieser Pflichten greifen, hängt von Art und Risiko der Verarbeitung ab; einige sind für kleinere Organisationen unter Bedingungen eingeschränkt. Die technische Seite dieser Pflichten, von Löschkonzepten bis zur nachweisbaren Kontrolle, behandelt die Seite Compliance und, für die Schweizer Entsprechung, die Seite zum revidierten DSG.
Der Bussgeldrahmen
Die DSGVO verleiht den Aufsichtsbehörden ein abgestuftes Sanktionsinstrument. Geldbussen sollen in jedem Einzelfall wirksam, verhältnismässig und abschreckend sein und richten sich nach einem zweistufigen Rahmen (Art. 83):
- Bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist, für Verstösse etwa gegen die Pflichten von Verantwortlichen und Auftragsverarbeitern.
- Bis 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist, für Verstösse etwa gegen die Grundsätze der Verarbeitung, gegen die Rechte der betroffenen Personen oder gegen die Vorgaben zur Datenübermittlung in Drittländer.
Massgeblich ist jeweils der höhere der beiden Werte. Die tatsächliche Höhe im Einzelfall bemisst sich an einem Katalog von Kriterien, etwa Art, Schwere und Dauer des Verstosses sowie dem Grad des Verschuldens. Dieser Rahmen ist deutlich höher angesetzt als der Bussenrahmen des Schweizer DSG, der an anderer Stelle und gegen andere Adressaten ansetzt; das ist ein weiterer Grund, die beiden Regime nicht zu vermengen.
Kontrolle über die eigenen Datenflüsse
Wo personenbezogene Daten hinfliessen, ist für eine Organisation eine Entwurfsentscheidung, nicht ein Zufall. Sobald Daten die EU verlassen, knüpft die DSGVO die Übermittlung an Bedingungen: Für Länder ausserhalb der EU braucht es einen geeigneten Schutzmechanismus, etwa einen Angemessenheitsbeschluss der EU-Kommission oder geeignete Garantien wie Standardvertragsklauseln. Wer die Datenflüsse bewusst auf souveräne Infrastruktur lenkt, entschärft mehrere dieser Fragen auf einmal und behält die Kontrolle darüber, wer auf die eigenen Daten zugreifen kann. Schwieriger wird es, wenn Daten an US-Anbieter fliessen, wo zusätzlich die Zugriffslogik des US Cloud Act ins Spiel kommt. Für Datenflüsse in die Schweiz spielt zudem deren Angemessenheitsbeschluss eine Rolle, der den Datenfluss aus der EU in die Schweiz erleichtert. Die organisatorische Einordnung dieser Regelwerke in eine einzige Praxis leistet die KI-Governance.
Referenzen
- Europäische Kommission Rechtsrahmen der EU für den Datenschutz. Offizielle Erklärseite zur Verordnung (EU) 2016/679; in Kraft seit 24.05.2016, anwendbar seit 25.05.2018. (25.05.2018). commission.europa.eu/law/law-topic/data-protection/legal-framework-eu-data-protection_en
- EUR-Lex Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung), Volltext. Der massgebliche Rechtstext im Amtsblatt der EU, ABl. L 119 vom 04.05.2016. (04.05.2016). eur-lex.europa.eu/eli/reg/2016/679/oj
Verwandte Themen
- nFADP / DSG, das eigenständige Schweizer Datenschutzregime, klar von der DSGVO zu trennen.
- EU AI Act, der nach ähnlicher Logik extraterritorial greift und parallel einschlägig sein kann.
- Compliance, die technische Sicht auf Nachweis, Löschkonzepte und Kontrolle.
- US Cloud Act, die zweite Rechtsschicht bei Datenflüssen zu US-Anbietern.
- Standards, der Standards-Hub mit ISO 27001, EU-Whistleblower und mehr.
KI fragen
Diese Links öffnen externe KI-Dienste, die Unterhaltung und deren Inhalt werden dabei an den jeweiligen Anbieter übertragen.