Leserfragen zur DSGVO

Leserfragen zur DSGVO

Artikel erschienen in IT Magazine 2018/04
Seite 1
7. April 2018 -  Von Reto C. Zbinden und Michèle Balthasar

Michèle Balthasar und Reto C. Zbinden von Swiss Infosec beantworten die Fragen der Leser von "Swiss IT Magazine" zur DSGVO.
Wann ist die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; DSGVO) in räumlicher Hinsicht anwendbar?
Nach Artikel 3 hängt die Anwendung der DSGVO von den beiden folgenden Kriterien ab:
1. dem Kriterium der Niederlassung: Das Unternehmen verarbeitet personenbezogene Daten im Rahmen der Tätigkeiten einer Niederlassung in der Europäischen Union (EU). In diesem Fall findet die DSGVO automatisch Anwendung, unabhängig davon, ob die Verarbeitung in der EU stattfindet oder nicht.
2. dem Kriterium des Zielmarktes: Das Unternehmen hat keine Niederlassung in der EU, aber die Datenverarbeitung steht im Zusammenhang damit
• betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist oder nicht;
• das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der EU erfolgt. Bei Letzterem bezieht sich die DSGVO vor allem auf die Beobachtung des Verhaltens von Internetnutzerinnen und -nutzern.

Fallen Unternehmen, die Grenzgänger beschäftigen, in den Anwendungsbereich der DSGVO?
Es gibt hierzu unterschiedliche Auffassungen. Unserer Meinung nach fällt die Verarbeitung von personenbezogenen Daten von Grenzgängern, also Personen, die in der Schweiz angestellt sind und im Ausland Wohnsitz haben, nicht in den Anwendungsbereich der DSGVO, sofern die personenbezogenen Daten in der Schweiz verarbeitet werden. Wenn das Unternehmen allerdings das Verhalten von Grenzgängern in der EU beobachtet (zum Beispiel durch GPS, VPN in Verbindung bei Homeoffice), sind diese Tätigkeiten vom Anwendungsbereich der DSGVO erfasst.
Artikel 13 DSGVO schreibt eine Informationspflicht vor. Muss ich jetzt jedem Kunden, der in meinem Online-­Shop etwas bestellt, mitteilen, wer für die Datenverarbeitung verantwortlich ist, zu welchem Zweck die Daten gespeichert werden und auf welcher Rechtsgrundlage dies geschieht?
Ein elementarer Grundsatz der DSGVO ist die Transparenz. Betroffene Personen sollen in die Lage versetzt werden, die Datenerhebung, -verarbeitung bzw. -nutzung zu prüfen. Die DSGVO regelt die Informationspflichten in den Artikeln 13 und 14 in zwei sehr umfangreichen Artikeln. Werden personenbezogene Daten bei betroffenen Personen erhoben, muss das Unternehmen gemäss Artikel 13 f. unter anderem immer auch seine Identität, die Verarbeitungszwecke und die Rechtsgrundlage mitteilen.
Nach Artikel 12 DSGVO sind die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen. Dabei können sie schriftlich oder in elektronischer Form an die betroffene Person übermittelt werden. In elektronischer Form können sie beispielsweise auf einer Webseite bereitgestellt werden (Erwägungsgrund 30 der DSGVO). Empfehlenswert wäre unseres Erachtens, vor dem Abschicken der Bestellung in einem Online-Shop einen Link anzufügen, der direkt auf eine Datenschutzerklärung auf der Webseite des Unternehmens verweist.

Sind Webseitenbetreiber dazu verpflichtet, die Besucher über das Setzen von Cookies und die darin enthaltenen Daten zu informieren?
Die DSGVO findet auch auf die Verwendung von Cookies Anwendung, soweit sie personenbezogene Daten im Sinne der Artikel 4 Nr. 1 DSGVO enthalten, Anwendung. Der Besucher hinterlässt bei personenbezogenen Cookies auf der Webseite Identifikationsmerkmale wie zum Beispiel seine IP-Adresse. Diese Information kann durch den Cookie-Datensatz dem Benutzer zugeordnet werden (Erwägungsgrund 30 der DSGVO). Entsprechend gilt auch hier der Grundsatz der Transparenz und der Webseitenbetreiber, beziehungsweise das Unternehmen ist verpflichtet, den Besucher entsprechend darüber zu informieren.
Neben der DSGVO regelt auch die so genannte "Cookie-Richtlinie" (Richtlinie 2009/136/EG vom 25. November 2009) den Umgang mit Cookies. Diese Richtlinie soll in Zukunft durch die ePrivacy-Verordnung ersetzt werden. Wie genau der konkrete Inhalt dieser Verordnung aussehen wird und wann sie in Kraft treten wird, ist noch nicht klar.
 
Seite 1 von 4
Nächste Seite

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.
Anti-Spam-Frage Was für Schuhe trug der gestiefelte Kater?
Antwort
Name
E-Mail
NEWSLETTER ABONNIEREN
Abonnieren Sie unseren täglichen Newsletter mit den wichtigsten ICT-Meldungen
SWISS IT MAGAZINE - AUSGABE 2018/09
Schwerpunkt: Security 2018
• Cyber-Angriffe entwickeln sich enorm schnell
• Den Tätern auf der Spur
• Viel hilft viel
• "Die eigene Gefährdung wird häufig unterschätzt"
• Marktübersicht: Schweizer Security-Dienstleister
Zum Inhaltsverzeichnis
SPONSOREN & PARTNER