Strengere Datenschutzregeln als Knacknuss für die Medienbranche

Die neue Datenschutz-Grundverordnung der EU betrifft auch Schweizer Firmen. Medienunternehmen, die Personendaten bearbeiten, müssen sich an strengere Bestimmungen halten. Neben dem absehbaren Aufwand, bieten die neuen Regeln auch Vorteile: Vertrauen und Glaubwürdigkeit können gestärkt werden.

Am 27. April 2016 hat das Europäische Parlament und der Rat die neue EU-Datenschutz-Grundverordnung, auch DSGVO genannt, beschlossen. Spätestens am 25. Mai 2018 ist sie anwendbar und löst damit die bestehende Datenschutz-Richtlinie ab. Obschon die neue Verordnung noch keine Wirkung entfaltet, ist sie bereits in aller Munde – vermehrt auch in der Schweiz, da sie auch bei Unternehmen zur Anwendung kommt, die ihren Sitz ausserhalb der EU haben, sofern sie Daten von EU-Bürgern verarbeiten. Insbesondere bei Unternehmen ist sie berüchtigt, die intensiv Daten bearbeiten, wie zum Beispiel Medienhäuser. Denn die DSGVO enthält im Vergleich zum heutigen Schweizer Recht beachtliche Neuerungen und Verschärfungen. Es stellt sich für Medienunternehmen die Frage, wie Personendaten zu bearbeiten sind und dabei gleichzeitig den neuen europäischen Datenschutzregeln zu genügen.

Eine Einwilligung in die Datenbearbeitung ist nur dann gültig, wenn sie freiwillig, mit einer unmissverständlichen Handlung erfolgte und der Kunde dabei ausreichend über seine Rechte informiert wurde.

Neu gelten auch die sogenannten Cookies als Personendaten, die zum Beispiel von Online-Medien für personalisierte Werbung eingesetzt werden. Bei der Erhebung und Verwertung von Cookies müssen Medienunternehmen daher die Datenbearbeitungsgrundsätze der DSGVO beachten. Auch bedürfen sie zur Erhebung und Bearbeitung nun einer gesetzlichen Grundlage, wie zum Beispiel mittels Einwilligung. Diese darf aber neuerdings nicht mehr vorschnell angenommen werden. So dürfen beispielsweise Unternehmen für das Abonnieren ihres Newsletters nicht mehr Check-Boxen setzen, die schon angekreuzt sind. Solche Opt-Out-Lösungen, wo der Kunde für seinen Datenschutz erst aktiv werden muss, sind damit nicht mehr möglich. Vielmehr ist eine Einwilligung in die Datenbearbeitung nur dann gültig, wenn sie freiwillig, mit einer unmissverständlichen Handlung erfolgte und der Kunde dabei ausreichend über seine Rechte und über die Datenbearbeitung informiert wurde.

Die Informationspflicht der datenbearbeitenden Unternehmen ist dabei sehr umfangreich. Unter anderem muss über Zweck, Umfang und Dauer der Datenbearbeitung selbst, sowie über das Recht auf Löschung, Berichtigung, Widerspruch, Auskunft und Beschwerde hingewiesen werden – und das in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache. Transparenz heisst das neue Stichwort. Bevor nun aber die DSGVO pauschal als grosses Übel für die Medienbranche abgestempelt wird, ist eine differenzierte Betrachtungsweise notwendig.

Es ist kein Geheimnis, dass in Europa generell ein Misstrauen gegen Datenerhebungen von Bürgern besteht.

Es ist kaum zu übersehen, dass sich im Bereich Datenschutz in den letzten Jahren einiges getan hat, die DSGVO ist dabei nur symptomatisch für den Wandel und das neue Bewusstsein in der Bedeutung des Datenschutzes in Europa. Es ist kein Geheimnis, dass in Europa generell ein Misstrauen gegen Datenerhebungen von Bürgern besteht. Gründe dafür gibt es zum einen in der Geschichte. Im vergangenen Jahrhundert bauten totalitäre Staaten ihr Schreckensregime auf der Bespitzelung ihrer Untertanen auf. Zum anderen spielen auch die Enthüllungen der letzten Jahre eine wichtige Rolle, die das tatsächliche Ausmass der Datensammlung durch staatliche Behörden und immer mehr auch durch Tech-Giganten wie Google, Facebook und Co. ans Tageslicht brachten.

Zum neuen Bewusstsein kommt hinzu, dass viele Datenschutzregulierungen in Europa veraltet sind und aus einer Zeit stammen als es noch kein Internet gab. In den letzten zwanzig Jahren haben sich die technologischen Möglichkeiten und sozialen Gegebenheiten jedoch zutiefst geändert. Daten wurden zum Handelsgut und werden heutzutage insbesondere in der Privatwirtschaft gesammelt und verwendet. Mit der neuen Verordnung soll also zum einen eine Anpassung an die technischen Entwicklungen der letzten zwanzig Jahren stattfinden. Zum anderen hat die DSGVO zum Ziel das Datenschutzrecht innerhalb der EU zu harmonisieren und so ein einheitliches Regelwerk zum Schutz von Personendaten zu schaffen.

Datenschutz soll bereits ein Teil des Entwicklungsprozesses sein, indem etwa Voreinstellungen datenschutzfreundlich ausgestaltet sind.

Bisherige Datenbearbeitungsgrundsätze, wie sie auch in der Europäischen Richtlinie und im Schweizerischen Datenschutzgesetz bekannt sind, bleiben der DSGVO erhalten, werden zum Teil jedoch stärker betont. Dennoch sind die weiteren Änderungen beachtlich. Wie so oft, steckt auch hier der Teufel im Detail. Neuerungen findet man insbesondere bei den Voraussetzungen für Datenbearbeitung durch Dritte und der Melde-, Aufzeichnungs- und Folgeabschätzungspflicht. Da sich Technologien schneller als Gesetze entwickeln, setzt die DSGVO den Datenschutz nun mehr mittels technischen Massnahmen um. Hierfür werden mit «Privacy by Design» und «Privacy by Default» zwei neue Grundsätze einführt. Datenschutz soll bereits ein Teil des Entwicklungsprozesses sein, indem etwa Voreinstellungen datenschutzfreundlich ausgestaltet sind, und nicht erst nachträglich berücksichtigt werden.

Wie denn bereits auch angedeutet, trägt die umfangreiche Informationspflicht des Datenbearbeiters einen massgeblichen Teil zum Schutzniveau der DSGVO bei. Kurz: Der Gesetzgeber will, dass sich Datenbearbeiter mit Datenschutz befassen. Wer dies nicht tut, muss mit hohen Geldbussen von bis zu 20 Millionen Euro oder, falls höher, vier Prozent des weltweit erzielten Umsatzes des fehlbaren Unternehmens rechnen.

Nebst den zu erfüllenden Pflichten werden für Medienunternehmen insbesondere die rechtlichen Grundlagen für eine Datenbearbeitung in den Fokus rücken. Nach wie vor gilt das sogenannte Datenbearbeitungsverbot mit Erlaubnisvorbehalt, was bedeutet, dass jegliche Bearbeitung von Personendaten verboten ist, ausser wenn eine gesetzliche Grundlage vorhanden ist. Von besonderer Wichtigkeit sind dabei die Einwilligung und die Wahrung berechtigten Interessen des Datenbearbeiters.

Blosses Schweigen oder Untätigkeit des Kunden dürfen nicht als Einwilligung interpretiert werden.

Erfreute sich die Einwilligung als Voraussetzung zur Datenbearbeitung noch an grosser Beliebtheit, so wird es unter der DSGVO definitiv schwieriger, eine Einwilligung einzuholen. So muss sie vom Datenbearbeiter nachweisbar sein und geht bei Zweifeln zu seinen Lasten. Blosses Schweigen oder Untätigkeit des Kunden dürfen nicht als Einwilligung interpretiert werden. Wenn Unternehmen ihre Datenbearbeitung also auf die Erlaubnis des Kunden stützen, müssen sie sich sicher sein, dass die Einwilligung mit den neuen Regeln konform ist.

Da nun viele Unternehmen befürchten, dass Kunden gegenüber einer aktiven Einwilligung in die Bearbeitung ihrer Daten skeptisch sind und dadurch zum Beispiel das Einsetzen von Cookies nicht mehr im gleichen Umfang möglich sein dürfte, werden sie nach anderen Bearbeitungsgrundlagen suchen. Dafür eignet sich die Bearbeitung auf Grundlage der berechtigten Interessen. Als solche gelten namentlich auch die wirtschaftlichen Interessen des Bearbeiters.

Das Recht auf Datenschutz ist kein uneingeschränktes Recht. Vielmehr ist es ein Grundrecht, das gegen andere Grundrechte, wie zum Beispiel das Recht auf unternehmerische Freiheit, abgewogen werden muss.

Dies ist möglich, da die DSGVO eben nicht nur ein hohes Schutzniveau, sondern auch einen möglichst freien Verkehr der Personendaten zwischen den Mitgliedstaaten will. Auch ist das Recht auf Datenschutz kein uneingeschränktes Recht. Vielmehr ist es ein Grundrecht, das gegen andere Grundrechte, wie zum Beispiel das Recht auf unternehmerische Freiheit, abgewogen werden muss. Die DSGVO anerkennt, dass weder die digitale Wirtschaft noch der Datenschutz per se einen Vorrang geniessen. Die Interessen der Unternehmen sind somit stets mit denen des Nutzers am Schutz seiner Daten abzuwägen. Diese Abwägung wird dabei insbesondere als Rechtsgrundlage für die Verwendung von Cookies für personalisierte Werbung eine wichtige Rolle spielen. Je mehr ein Unternehmen Schutzmassnahmen wie zum Beispiel die Pseudonymisierung der Daten oder eine transparente Datenschutzerklärung trifft, und wenn der Nutzer typischerweise mit einer solchen Datenbearbeitung rechnen muss, desto mehr sinkt auch das Schutzinteresse des Nutzers.

Nutzer und deren Daten würden durch die neue DSGVO klar besser geschützt werden. Die erweiterten Informations- und Auskunftspflichten, sowie das Recht auf Vergessenwerden und Widerspruch wurden von Datenschützer bereits seit geraumer Zeit verlangt. Wie streng aber die Regelungen der DSGVO von Datenschutzbehörden durchgesetzt und ob sich die Nutzer gegen eventuelle Verletzungen auch zur Wehr setzen und diese nicht einfach im Sinne einer rationalen Apathie hinnehmen werden, bleibt noch offen.

Es ist zu erwarten, dass die Schweiz mit der anstehenden Revision des Datenschutzgesetzes die Angleichung an das europäische Datenschutzrecht anstrebt.

Nebst den zahlreichen Hürden, welche die Medienbranche zu nehmen hat, birgt die DSGVO auch Chancen für die Unternehmen. Zum einen lohnt sich die Investition in den Datenschutz deshalb, da es das Vertrauen der Kunden in das Unternehmen und damit auch dessen Image fördert. Zum anderen ist zu erwarten, dass auch die Schweiz mit der anstehenden Revision des Datenschutzgesetzes die Angleichung an das europäische Datenschutzrecht anstrebt und die besagten Rechte und Pflichten auch in der Schweizerischen Gesetzgebung ihren Niederschlag finden werden.

Daten werden je länger je mehr unseren Alltag bestimmen, was Transparenz in der Datenbearbeitung verlangt. Daher ist besagte Angleichung nicht nur aus der Perspektive der Rechtsdogmatik wünschenswert, sondern sowohl im Sinne der schweizerischen Wettbewerbsfähigkeit als auch der Schweizer User.

Trotz der Chancen und teilweise berücksichtigten Interessen der Unternehmen, bedeutet die DSGVO aber vor allem Fleissarbeit, die je nach dem zeit- und kostenintensiv sein kann. Nebst den Änderungen in den Erlaubnisgrundlagen und Bussgeldern, sind vor allem die erhöhten Dokumentations- und Nachweispflichten von den Unternehmen ins Auge zu fassen. Datenbearbeiter müssen jederzeit Nachweis über ihre Datenverarbeitungsprozesse erbringen können, dass deren Zwecke, Art und Umfang und technische Massnahmen zur Risikominimierung dokumentiert und die Zulässigkeit der Datenbearbeitung geprüft worden sind. Für viele Unternehmen stellt dies eine Herausforderung dar, die sich oftmals nur dann meistern lässt, wenn die Datenstrategie grundlegend überarbeitet wird. Standardkonditionen wie AGB, Datenschutzerklärungen sowie auch Verträge mit gewissen Geschäftspartnern müssen daraufhin geprüft werden, ob sie dem Schutzniveau der DSGVO noch genügend Rechnung tragen. Das gilt auch für Schweizer Unternehmen, deren Angebote und Dienstleistungen in der EU genutzt werden können. Dennoch kann gesagt werden, dass die DSGVO vor allem für diejenigen ein mühsames Unterfangen sein wird, die sich bis zum jetzigen Zeitpunkt wenig Gedanken zum Datenschutz gemacht haben.