Die Datenschutzgrundverordnung (DSGVO) wurde 2018 mit einigem Getöse eingeführt. Sie gilt auch in Liechtenstein.
Nicht nur in der Presse wurde dabei vor allem das sehr strenge Sanktionsregime diskutiert. Denn mit der DSGVO meint es der europäische Gesetzgeber Ernst. Möglich sind Maximalbussen bis EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes (was vor allem für Unternehmen wie Facebook, Google, Amazon usw. gedacht war). Die DSGVO gilt jedoch nicht nur für grosse Unternehmen. Sie gilt auch für Vereine, unter Umständen sogar für Privatpersonen (was weiter bei einer möglichen Sanktion zu berücksichtigen wäre).
Die DSGVO gilt somit vorwiegend für Unternehmen, die Personendaten verarbeiten.
Als Personendaten gelten Angaben, die sich auf eine bestimmte Person beziehen (wie Name, Geburtsdatum, Adresse), aber auch Sachangaben, die in Bezug zu Personen stehen wie z.B. Einkommens- und Vermögensverhältnisse, Ausbildung, Beruf oder Familienstand.
Daneben geht es auch um Angaben, mit denen eine Person bestimmbar wird. Dies sind Angaben, die auf den ersten Blick nicht personenbezogen sind, bei denen jedoch ein zusätzliches Element nötig wird, damit der Personenbezug klar wird. Dies gilt z.B. bei einer Kontonummer, einem Autokennzeichen, einer Personalnummer usw.
In der Praxis wird oft behauptet, man verarbeite gar keine Personendaten. Hierzu ist es wichtig, zu wissen, dass der Begriff der Verarbeitung sehr weit gefasst ist. Unter die Verarbeitung fällt jeder Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Ordnen, die Speicherung, das Abfragen oder die Veränderung von Daten. Erfasst sind somit alle Arten des Umgangs von der Erhebung bis zur Vernichtung. Die Dauer ist da-bei irrelevant. Betroffen ist sowohl eine automatisierte wie eine manuelle Verarbeitung.
Es geht auch nicht nur um die Frage, wie Daten nach aussen geschützt werden. Es geht um viel mehr. Nicht umsonst weist die DSGVO 99 Artikel auf.
Unter die DSGVO fällt somit jede Verarbeitung von Daten. Unterschiede gibt es aber bei der Art der Daten, die verarbeitet werden. So sind Gesundheitsdaten sensibler als Adressdaten. Ebenso gibt es Unterschiede zwischen dem Dienstleistungs- und dem Industriebereich. Je intensiver eine Datenverarbeitung ist, desto stärker fallen die Pflichten aus.
Betroffen ist ein Unternehmen somit, sobald ein Personenbezug besteht. Es reicht, wenn (auch nur wenige) Mitarbeiter angestellt sind. Die DSGVO ist auch in Bezug auf Kunden anwendbar. Dies vor allem, wenn es sich um natürliche Personen handelt. Die DSGVO hat also für Unternehmen eine sehr grosse Bedeutung. Die Wirtschaftskammer in Österreich z.B. beantwortet die Frage «Bin ich von der DSGVO betroffen?» mit «Als Unternehmer – Ja! Immer!» (siehe EU-Datenschutz-Grundverordnung (DSGVO): Die wichtigsten Fragen und Antworten. Was Unternehmen auf jeden Fall wissen und berücksichtigen sollten.). Dies überrascht kaum, denn auch Vereine müssen sich nach der DSGVO richten. Der Anwendungsbereich ist also enorm!
Die DSGVO ist im ganzen EWR ohne Unterschiede anwendbar. Der europäische Gesetzgeber wollte mit der DSGVO den Datenschutz stärken und harmonisieren.
Wichtig ist auch, dass sich Kunden oder Mitarbeiter aus dem EWR-Ausland bei Problemen an «ihre» Datenschutzbehörde wenden können. So kann z.Bsp. ein Arbeitnehmer, der in Österreich wohnhaft und in Liechtenstein tätig ist, sich in Österreich über eine Datenschutzverletzung in Liechtenstein beschweren. Die Datenschutzstelle in Vaduz muss dann diesen Fall zusammen mit dieser ausländischen Behörde lösen (One Stop Shop). Auch hier ist die Harmonisierung der Hintergrund. Es soll kein «forum shopping» mehr möglich sein.
Ebenfalls zur Harmonisierung gehört, dass die Aufsicht mehr Bedeutung bekommen hat. Die Datenschutzstelle hat im November des letzten Jahres mit Kontrollen begonnen.
BWB verfügt über ein langjähriges Knowhow im Datenschutzbereich, das bis ins Jahr 2002 zurückgeht und betreut zahlreiche Kunden.