Disclose abonnieren
Philipp Rosenauer
Partner, Head Legal Function & Legal Strategy Advisory, PwC Switzerland
In der Europäischen Union wird sich zur Datenschutz-Grundverordnung (EU DSGVO) in Kürze eine Reihe von neuen Verordnungen gesellen, die auch Schweizer Organisationen betreffen. Diese Rechtsakte schliessen personenbezogene Daten nicht von ihrem Anwendungsbereich aus, aber sie konzentrieren sich in erster Linie darauf, wie Unternehmen mit Daten umgehen und sie nutzen. Bei der Umsetzung der verschiedenen Verordnungen gibt es noch einige Unklarheiten, zum Beispiel in Bezug auf die Durchsetzungsbehörden oder den Grundsatz des Verbots der doppelten Strafverfolgung – denn ein Verstoss gegen eine der neuen Bestimmungen könnte auch einen Verstoss gegen die DSGVO darstellen. Unternehmen sollten sich frühzeitig mit diesen Regularien auseinandersetzen und ihre Exposure evaluieren, damit sie ihre rechtlichen Risiken erkennen und managen können. Dabei ist es wichtig, die neuen Verordnungen nicht isoliert zu betrachten, sondern ein holistisches Verständnis darüber zu entwickeln.
Die Europäische Union steht kurz vor der Verabschiedung einer Reihe von Vorschriften, die sich auf die Art und Weise auswirken werden, wie Daten in der EU gesammelt und weitergegeben werden. Dazu gehören der Data Governance Act, der Data Act, der Digital Services Act, der Digital Markets Act und der Artificial Intelligence Act. Diese Rechtsakte schliessen personenbezogene Daten nicht von ihrem Anwendungsbereich aus, aber sie konzentrieren sich darauf, wie Unternehmen mit Daten umgehen und sie nutzen.
Um ihre rechtlichen Risken zu minimieren, sollten sich Unternehmen frühzeitig mit den verschiedenen Verordnungen auseinandersetzen und ihr Exposure evaluieren. Dabei ist es wichtig, die neuen Regularien nicht isoliert zu betrachten, sondern ein holistisches Verständnis darüber zu entwickeln.
Dieser Beitrag beleuchtet das Verhältnis dieser neuen Regularien zur Datenschutz-Grundverordnung, mit Fokus auf die unterschiedlichen Sanktionen und Verstösse. Zuerst ein Blick auf die verschiedenen Verordnungen:
Die Datenschutz-Grundverordnung der Europäischen Union (EU DSGVO) ist seit dem 25. Mai 2018 in Kraft. Sie betrifft Akteure, die auf dem Gebiet der EU tätig sind und gibt den betroffenen Personen mehr Kontrolle und Rechte über ihre persönlichen Daten. Die DSGVO nimmt zudem die Unternehmen vermehrt in die Verantwortung, während gleichzeitig ihre Meldepflichten abgebaut werden. Die Rolle der Datenschutzbehörden wird gestärkt. Viele Schweizer Unternehmen sind von der Datenschutz-Grundverordnung direkt betroffen, so zum Beispiel Finanzinstitute, die ihre Produkte auch im EU-Raum vertreiben.
Der im Rahmen der europäischen Datenstrategie Ende Mai 2022 veröffentlichte Data Governance Act tritt im September 2023 in Kraft. Die Verordnung ist die Grundlage für ein Datenaustauschmodell, das die gemeinsame Nutzung von Daten über verschiedene Branchen und Länder hinweg erleichtern soll – dies auch vor dem Hintergrund, eine bessere Entwicklung von künstlicher Intelligenz (KI) zu ermöglichen.
Der Data Act soll neben dem Data Governance Act die zweite Säule der neuen europäischen Datenstrategie darstellen. Ziel ist es, durch neue Regelungen das wirtschaftliche Potential der immer grösser werdenden Datenmenge besser zu nutzen. Der am 23. Februar 2022 von der Europäischen Kommission vorgeschlagene Data Act befindet sich derzeit im Konsultationsverfahren. Hervorzuheben ist, dass der Entwurf einen Umsetzungszeitraum von nur zwölf Monaten nach Inkrafttreten vorsieht.
Ergänzend dazu hat die Kommission von der Leyen den Digital Services Act und den Digital Markets Act vorgeschlagen – beide wurden im Juli 2022 vom EU-Parlament verabschiedet und sollten noch Ende 2022 in Kraft treten. Der Digital Services Act soll die mächtigen, digitalen Plattformen (Gatekeeper-Plattformen) wie YouTube, TikTok, Facebook und Instagram transparenter machen und sie für die Risiken zur Rechenschaft zu ziehen, die von ihnen für die Gesellschaft ausgehen. Dazu gehören zum Beispiel klare Regeln und verpflichtende Massnahmen für den Umgang mit illegalen Inhalten oder mehr Transparenz bei der Online-Werbung. Der Digital Markets Act, ebenfalls ein EU-weiter Verhaltenskodex für grosse Digitalunternehmen, soll Fairness und gleiche Wettbewerbsbedingungen für die Akteure auf den digitalen Märkten in der EU sichern.
Der Artificial Intelligence Act, ein risikobasierter Ansatz zur Regulierung von künstlicher Intelligenz, hat das Potenzial, weltweit die Debatte, um die Handhabung von künstlicher Intelligenz voranzutreiben. Der Artificial Intelligence Act wäre die weltweit erste rechtlich bindende horizontale Regulierung von KI-Systemen. Der Entwurf wird zurzeit im EU-Parlament diskutiert – unter Einbezug von Gesellschaft, Politik und Wissenschaft –, und der EU-Rat will im Dezember 2022 eine Einigung erzielen.
Es ist nicht das Ziel dieser Regularien, den Schutz personenbezogener Daten, den die DSGVO bietet, zu schmälern, und im Falle eines Widerspruchs haben die Bestimmungen der DSGVO Vorrang. Nach Ansicht der Europäischen Kommission sollte es allerdings keine Diskrepanz zwischen der DSGVO und diesen Rechtsakten geben, da letztere auf der DSGVO aufbauen und sie ergänzen. Diese Auffassung wird jedoch nicht von allen geteilt, wie die Stellungnahmen des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten zu den Vorschlägen der Europäischen Kommission für diese Rechtsakte zeigen.
Die Tatsache, dass einige der Bestimmungen auf Grundsätzen der DSGVO aufbauen, bedeutet auch, dass ein Verstoss gegen diese Rechtsakte einen Verstoss gegen die DSGVO darstellen kann. Wenn beispielsweise grosse Online-Plattformen, die als Gatekeeper tätig sind, personenbezogene Daten von mehreren ihrer Plattformen kombinieren und übergreifend nutzen, könnten sie gegen den Data Act und auch gegen die DSGVO verstossen. Das Gleiche gilt für Gatekeeper, die gegen die Datenportabilitätsanforderung der DSGVO verstossen. Ein weiteres Beispiel betrifft den Digital Services Act: Werden die Verbote missachtet, gezielte Werbung an Minderjährige zu senden oder besondere Datenkategorien zu Werbezwecken zu verarbeiten, könnte dies auch einen Verstoss gegen die DSGVO darstellen.
Der Artificial Intelligence Act enthält ebenfalls mehrere Bestimmungen, die mit der DSGVO interagieren, zum Beispiel Vorschriften über die Profilerstellung oder die Verwendung der Gesichtserkennung. Ein Verstoss gegen eine dieser Bestimmungen könnte auch einen Verstoss gegen die DSGVO sein.
Dies schafft eine herausfordernde Situation. Jeder dieser Rechtsakte hat seine eigenen Regeln und zuständigen Behörden für die Durchsetzung, die nicht unbedingt übereinstimmen. Mit Ausnahme des Digital Markets Act, für dessen Durchsetzung die Europäische Kommission verantwortlich ist, ist vorgesehen, dass die Mitgliedstaaten nationale zuständige Behörden benennen, die mit der Überwachung und Durchsetzung der Verordnungen betraut werden.
Trotz entsprechender Appelle des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten ist es ungewiss, ob die Mitgliedstaaten die derzeitigen Datenschutzbehörden als zuständige Stellen für die Durchsetzung benennen werden. Deshalb ist es möglich, dass Unternehmen für denselben Verstoss mit zwei getrennten Untersuchungen konfrontiert werden.
Duale Verfahren per se sind kein neues Phänomen. In der Vergangenheit gab es zahlreiche Fälle, in denen Unternehmen wegen desselben Sachverhalts doppelt bestraft wurden. In vielen dieser Fälle beriefen sich die Unternehmen zu ihrer Verteidigung auf den Grundsatz «ne bis in idem» (nicht zweimal in derselben Sache). Dieser Grundsatz ist im Wesentlichen das Äquivalent zum Verbot der doppelten Strafverfolgung in den Rechtsordnungen des Common Law, das sich auf Präzedenzfälle stützt[1]. Er verbietet, dass ein Angeklagter zweimal für dieselbe Straftat verurteilt wird. Allerdings ist dieser Grundsatz auf strafrechtliche Sanktionen limitiert. Die meisten Verstösse gegen die DSGVO dürften jedoch nicht strafrechtlich sanktioniert werden.
Es stellt sich deshalb die Frage, ob der Grundsatz des Verbots der doppelten Strafverfolgung in Fällen eines doppelten Verfahrens nach der DSGVO und einem der Rechtsakte geltend gemacht werden kann. Voraussichtlich wird dies der Fall sein. In der aktuellen Rechtspraxis wird der Grundsatz – ungeachtet seines Wortlauts – auch in Fällen geltend gemacht, in denen es nicht um Strafrecht im engeren Sinne geht, sondern um schwerwiegende Sanktionen mit Strafcharakter. Diese zielen nicht nur auf die Wiedergutmachung von Schäden ab, sondern wollen auch eine Abschreckungswirkung erzielen. Die Abschreckung ist dabei im Sinne der negativen Generalprävention zu verstehen. In anderen Worten sollten die Sanktionen dazu beitragen, dass die regulatorischen Vorschriften eingehalten werden.
Die Sanktionen im Rahmen der DSGVO und die Sanktionen, die von den Mitgliedstaaten im Rahmen der Rechtsakte verhängt werden, dürften diesen Test, also dass keine doppelte Strafverfolgung erfolgt, bestehen. Ob und in welchen Konstellationen dies der Fall sein wird, ist derzeit aber noch ungewiss.
[1] Common Law bezeichnet das Rechtssystem, das in den meisten englischsprachigen Ländern (u.a. in Grossbritannien und den USA) vorherrscht. Obgleich das Common Law auf Gesetzen basiert, spielen die richterlichen Urteile (s.g. Präzedenzfälle) eine wichtigere Rolle. Demnach basiert die Rechtsfindung auf Analogien zwischen bereits entschiedenen Einzelfällen.
Es stellt sich deshalb die Frage, ob der Grundsatz des Verbots der doppelten Strafverfolgung in Fällen eines doppelten Verfahrens nach der DSGVO und einem der Rechtsakte geltend gemacht werden kann. Voraussichtlich wird dies der Fall sein. In der aktuellen Rechtspraxis wird der Grundsatz – ungeachtet seines Wortlauts – auch in Fällen geltend gemacht, in denen es nicht um Strafrecht im engeren Sinne geht, sondern um schwerwiegende Sanktionen mit Strafcharakter. Diese zielen nicht nur auf die Wiedergutmachung von Schäden ab, sondern wollen auch eine Abschreckungswirkung erzielen. Die Abschreckung ist dabei im Sinne der negativen Generalprävention zu verstehen. In anderen Worten sollten die Sanktionen dazu beitragen, dass die regulatorischen Vorschriften eingehalten werden.
Die Sanktionen im Rahmen der DSGVO und die Sanktionen, die von den Mitgliedstaaten im Rahmen der Rechtsakte verhängt werden, dürften diesen Test, also dass keine doppelte Strafverfolgung erfolgt, bestehen. Ob und in welchen Konstellationen dies der Fall sein wird, ist derzeit aber noch ungewiss.
#social#