Datenschutz für Unternehmen – Ergänzung der 9 Schritte

Die europäische Datenschutz-Grundverordnung (DSGVO) beinhaltet eine Reihe von Verpflichtungen für Unternehmen, die von ihnen zu erfüllen sind und für deren Einhaltung sie rechenschaftspflichtig sind. Die Datenschutzstelle unterstützt Unternehmen auf dem Weg zur DSGVO-Konformität auf ihrer Internetseite anhand einer Zusammenstellung von 9 Schritten, wie Unternehmen die wichtigsten Verpflichtungen erfüllen können.

Darüber hinaus ergeben sich aber je nach Unternehmen auch andere Situationen in Zusammenhang mit der Verarbeitung personenbezogener Daten, welche wichtige datenschutzrechtliche Verpflichtungen nach sich ziehen. Die wichtigsten davon wurden nun in 6 ergänzenden Schritten in die Zusammenstellung auf der Internetseite aufgenommen:

- Meldung von Datenschutzverletzungen (Art. 33 und 34 DSGVO)
- Internationaler Datentransfer (Art. 44 ff. DSGVO)
- Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)
- Beschäftigtendatenschutz
- Videoüberwachung
- Direktwerbung

Die ergänzte Zusammenstellung mit den wichtigsten datenschutzrechtlichen Verpflichtungen von Unternehmen kann hier auf der Internetseite der Datenschutzstelle eingesehen werden.

Detaillierte Ausführungen zu den einzelnen Themen wie auch zu anderen wichtigen Bereichen des Datenschutzes finden sich auf der Internetseite der Datenschutzstelle unter Themen A-Z.

Ungültigerklärung des EU-U.S. Privacy Shields durch den Europäischen Gerichtshof

Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) in seinem Urteil zum Schrems II-Fall das Datenabkommen EU-U.S. Privacy Shield zwischen den USA und der EU für ungültig erklärt (Urteil EuGH C-311/18). Der EU-U.S. Privacy Shield entsprach einem sektoriellen Angemessenheitsbeschluss der EU-Kommission, aufgrund dessen Daten aus dem EU/EWR-Raum an viele Unternehmen in den USA rechtssicher übermittelt werden konnten. Der Jurist Max Schrems hatte jedoch - wie schon gegen das Vorgängermodell Safe Harbour - gegen eine Datenübermittlung durch Facebook an den Mutterkonzern in den USA geklagt, weil der U.S. Privacy Shield in den USA nicht ein vergleichbar hohes Datenschutzniveau wie im EU/EWR-Raum garantiere. So hätten insbesondere staatliche Behörden in den USA weitgehende Zugriffsmöglichkeiten auf die Daten, gegen die sich Betroffene aus dem EU/EWR-Raum nicht angemessen wehren könnten. Der EuGH ist dieser Argumentation nun grösstenteils gefolgt.

Allerdings stellte der Europäische Gerichtshof in seinem Urteil auch klar, dass Daten nach wie vor aufgrund anderer geeigneter Garantien nach Art. 46 ff. DSGVO in die USA übermittelt werden können, insbesondere auch aufgrund von Standarddatenschutzklauseln. Zumindest mittelfristig, bis allenfalls durch die EU-Kommission ein neues Abkommen mit den USA zur Datenübermittlung geschlossen werden kann, müssen sich Verantwortliche nun auf solche Instrumente stützen. Die Datenschutzstelle hat auf ihrer Internetseite eine Zusammenstellung der Voraussetzungen und der verschiedenen geeigneten Garantien für Datenübermittlungen in Drittstaaten veröffentlicht. Der Beitrag kann hier nachgelesen werden.

Im Übrigen wird die Datenschutzstelle die Entscheidung des EuGH und ihre Konsequenzen für Datenübermittlungen in Drittstaaten analysieren und demnächst nähere Anleitungen dazu veröffentlichen.

Verfahrensbeschreibung für Datenschutzüberprüfungen

Die Datenschutzstelle ist als unabhängige Aufsichtsbehörde im Fürstentum Liechtenstein zuständig für die Überwachung und Aufsicht über die von öffentlichen und nicht-öffentlichen Stellen vorgenommenen Verarbeitungen personenbezogener Daten. Zur Erfüllung dieser Aufgabe bedient sie sich umfangreicher Kontroll-, Anordnungs- und Sanktionsbefugnisse.

Im Sinne der Transparenz hat die Datenschutzstelle die damit zusammenhängenden Verfahrensschritte von der Kontaktaufnahme bis zum Abschluss einer Datenschutzüberprüfung in einem Dokument zusammengefasst und stellt dieses der Öffentlichkeit zur Verfügung. Sie finden dieses hier auf der Internetseite der Datenschutzstelle.

Digitaler Nachlass

Fast jeder Mensch verfügt heute über zahlreiche Online-Konten im Internet, angefangen von E-Mail-Konten, über soziale Medien, kostenpflichtige Abonnemente von Online-Zeitungen oder Streaming-Diensten, bis hin zu Benutzerkonten bei Online-Shops oder E-Banking etc. Dabei kann schnell der Überblick verloren gehen. Umso schwieriger gestaltet sich die Verwaltung (und Auflösung) dieser digitalen Konten- und Datensammlung im Ernstfall für Angehörige oder Bevollmächtigte, wenn oftmals nicht einmal feststeht, über welche Online-Konten der/die Betroffene verfügt (hat), geschweige denn, wie die Zugangsdaten dazu lauten.

Im Sinne einer besseren Organisation der eigenen digitalen Datenverwaltung sowie der Vorsorge für die Verwaltung des digitalen Nachlasses empfiehlt es sich daher, hierzu eine Übersicht zu erstellen, allfällige Wünsche rechtzeitig festzulegen und den zentralen Akteuren für den Ernstfall Zugang zu den Online-Konten zu ermöglichen.

Mehr zum Thema Digitaler Nachlass kann hier auf der Internetseite der Datenschutzstelle nachgelesen werden. Ebenso finden sich dort Checklisten und weiterführende Informationen für Betroffene sowie Hinterbliebene bzw. Bevollmächtigte.

Videoüberwachung im Nachbarschaftsbereich

Anfänglich wurden Videoüberwachungen fast ausschliesslich von grösseren Unternehmen und öffentlichen Einrichtungen eingesetzt. Nach und nach sind jedoch weitere Möglichkeiten hinzugekommen und auch die Technik an sich ist günstiger geworden. So hat mittlerweile schon eine Vielzahl von Unternehmen eine Videoüberwachung installiert und immer häufiger auch private Wohnhäuser. Doch gerade bezüglich Videoüberwachungen im privaten Bereich haben sich in letzter Zeit Beschwerden bei der Datenschutzstelle gehäuft. Dabei handelt es sich vornehmlich um Kameras, welche in nachbarschaftlicher Umgebung eingesetzt werden. Dieser Anstieg hat die Datenschutzstelle dazu bewogen, umfassendere Informationen bezüglich der Voraussetzungen und der Zulässigkeit solcher Kameras bereitzustellen.

Da eine offizielle Beschwerde ein Schritt ist, welcher einer guten Nachbarschaft nicht immer förderlich ist, stellt die Datenschutzstelle neu auch ein Schreiben zur Verfügung, welches dem/der Kamerabetreiber/-betreiberin anonym, oder auch unterzeichnet, übergeben werden kann. Dieses soll darauf hinwirken, dass die Videoüberwachung mit datenschutzrechtlichen Vorgaben abgeglichen und allenfalls angepasst wird.

Die Informationen zu einer zulässigen "nachbarschaftlichen" Videoüberwachung finden Sie hier