FAQs zur DSGVO

Wenn durch die Videoüberwachung Sicherheit, Schutz des Eigentums oder Beweissicherung bezweckt werden soll, fällt die Datenverarbeitung unter die DSGVO, weil die Aufnahmen in solch einem Fall auch an einen unbestimmten Kreis von Dritten (z.B. Behörden, Versicherung) weitergegeben würden.

Fix installierte Kameras, die auch öffentlich zugänglichen Raum (z. B. Strasse, Bürgersteig) erfassen, sind ausserdem nie von der Haushaltsausnahme erfasst.

Weitere Informationen zur Videoüberwachung im Nachbarschaftsbereich finden Sie hier. 

Eine datenschutzkonforme Ausgestaltung einer Videoüberwachung im bzw. des Verkehrs im öffentlichen Raum ist derzeit praktisch unmöglich.

Weitere Informationen zu Dashcams finden Sie hier. 

Die Anwendbarkeit der DSGVO ist nicht von der Art der Kamera abhängig, sondern von der Art und Weise, wie diese genutzt wird. Werden daher durch Wildtierkameras (auch) personenbezogene Daten verarbeitet, fällt diese Verarbeitung grundsätzlich unter die DSGVO.

Weitere Informationen zu Wildtierkameras finden Sie hier. 

Für die Zwecke einer Webcam ist es im Allgemeinen nicht notwendig, dass einzelne Personen auf den Aufnahmen identifizierbar sind. Wären bestimmte Personen erkennbar, könnten deren Aufnahmen via Internet von einem unbestimmten Personenkreis eingesehen und abgerufen werden. Dies würde einen erheblichen Eingriff in die Privatsphäre der Betroffenen darstellen. Somit ist bei der Installation und Ausgestaltung einer Webcam stets darauf zu achten, dass auf den Aufnahmen keine Personen identifizierbar sind. Auch Nachbargrundstücke, Häuser, Wohnungen etc. sind dabei heikel und möglichst nicht zu erfassen, weil auch sie der Identifizierung von sich dort aufhaltenden Personen dienen können.

Bezweckt eine Webcam aber gerade die Übermittlung von Aufnahmen bestimmter Personen, ist dies lediglich mit deren Einwilligung oder einem entsprechenden Vertrag möglich.

Weitere Informationen zur Videoüberwachung finden Sie hier. 

Weitere Informationen zur Einwilligung finden Sie hier.

Ja, gemäss der Definition in Art. 4 Ziffer 1 DSGVO. Demnach gelten ebenso IP-Adressen als personenbezogene Daten. Der Betreiber einer Webseite kann somit gar nicht verhindern, dass er personenbezogene Daten seiner Besucher erhält.

Es kommt darauf an, ob die Verarbeitung eigenständig (nein) oder im Auftrag (ja) vorgenommen wird. Die individuelle Ausgestaltung macht den vorgenannten Unterschied.

Hier die wichtigsten Neuerungen:

• Umfassender Verarbeitungsbegriff (Art. 4 Ziffer 2): Aufhebung der Dreiteilung (Erhebung, Verarbeitung, Übermittlung)
• Auftragsverarbeiter (Art. 4 Ziffer 8: keine Beschränkung mehr auf Auftragsverarbeitung im EWR)
• Profiling (Art. 4 Ziffer 4)
• Einwilligung (Art. 4 Ziffer 11): Die Anforderungen an die informierte, freiwillige Einwilligung wurden graduell erhöht.
• Besondere Arten von Daten: Die DSGVO enthält neu Definitionen für „biometrische Daten“ und „genetische Daten“ (Art. 4 Ziffern 12 und 13).

Personenbezogene Daten müssen gemäss Art. 5 Abs. 1 Bst. e DSGVO gelöscht werden, wenn sie für die Erreichung der mit ihrer Verarbeitung verfolgten Zwecke nicht mehr erforderlich sind (Speicherbegrenzung). Die DSGVO schreibt jedoch nicht vor, wie die Datenlöschung bzw. -vernichtung konkret auszugestalten ist. Grundsätzlich gilt auch hier der risikobasierte Ansatz, d.h. je sensibler die zu vernichtenden Daten sind, desto höhere Schutzmassnahmen bzw. Schutzstufen, z.B. nach DIN 66399, sind zu ergreifen.

Weitere Informationen zu speziellen gesetzlichen Löschfristen finden Sie hier. 

Ist die Aufzeichnung von Telefongesprächen zu Evaluierungszwecken erlaubt?

Die Aufzeichnung von Telefongesprächen (z.B. bei Kundenhotlines) bedarf einer Einwilligung des betroffenen Kunden. Die Einwilligung muss vor der Aufnahme erteilt werden und hat sämtliche Voraussetzungen für eine gültige Einwilligung gemäss Art. 4 Ziff. 11 DSGVO zu erfüllen.

Weitere Informationen zur Einwilligung finden Sie hier. 

Es ist keine zusätzliche Einwilligung erforderlich. Art. 6 Abs. 1 DSGVO enthält sechs gleichwertige Zulässigkeitstatbestände, wobei es ausreicht, wenn einer erfüllt ist.

Ist ein Cookie-Banner bzw. die Einholung der Einwilligung auf einer Internetseite zwingend notwendig?

In Liechtenstein ist aufgrund der rechtlichen Gegebenheiten im EWR der Einsatz eines Cookie-Banners derzeit an sich nicht notwendig. Es kommt jedoch darauf an, um was für eine Art von Cookies es sich handelt und welcher Zweck damit erreicht werden soll. Je nachdem kann ihre Verwendung auf das berechtigte Interesse des Verantwortlichen gestützt werden oder es muss dennoch eine Einwilligung dafür eingeholt werden.

Weitere Informationen zu Cookies finden Sie hier. 

Ist E-Mail-Werbung gemäss Art. 6 Abs. 1 Bst. f DSGVO auch ohne Einwilligung der Betroffenen aufgrund eines „berechtigten Interesses“ des Werbetreibenden zulässig?

ErwG 47 bestätigt, dass Direktwerbung als „berechtigtes Interesse“ im Sinne der DSGVO angesehen werden kann. Hinzu kommt, dass aber auch hier die berechtigten Interessen des Unternehmers mit den Interessen des Betroffenen abzuwägen sind. Dabei darf das Interesse des Betroffenen am Schutz seiner personenbezogenen Daten nicht gegenüber den Interessen des Unternehmens überwiegen. Ebenso ist zu berücksichtigen, inwieweit der Betroffene mit der Datenerhebung und -verarbeitung zu den konkreten Werbezwecken rechnen muss. Auf das berechtigte Interesse lässt sich eine E-Mail-Werbung daher nur bei bereits bestehenden Kunden stützen. Für Neukunden-Werbung per E-Mail braucht es deren Einwilligung gemäss Art. 6 Abs. 1 Bst. a DSGVO.

Weitere Informationen zur E-Mail-Werbung finden Sie hier.

Weitere Informationen zum berechtigten Interesse finden Sie hier. 

Ist es zulässig, Daten für eine Dauer von zehn Jahren aufzubewahren mit der Begründung, dass Geschäftspartner/Kunden etc. innerhalb dieser Zeit gerichtlich gegen den Verantwortlichen vorgehen können?

Vielfach ist die Aufbewahrung von personenbezogenen Daten für eine Dauer von zehn Jahren auch aufgrund gesetzlicher Verjährungsfristen gerechtfertigt (z.B. PGR). Ist dies im konkreten Fall nicht gegeben, kann eine so lange Aufbewahrung ausnahmsweise auch mit der Möglichkeit eines gerichtlichen Verfahrens begründet werden. Die Aufbewahrung ist jedoch nur in Einzelfällen gestattet, in denen das berechtigte Interesse an der Verteidigung in solch einem Verfahren auch glaubhaft nachgewiesen werden kann. Das heisst, es müssen konkrete Anhaltspunkte für die Annahme eines künftigen Verfahrens bestehen.

Weitere Informationen zum berechtigten Interesse finden Sie hier. 

Weitere Informationen zu speziellen gesetzlichen Löschfristen finden Sie hier. 

Die Erteilung der Einwilligung erfordert eine freiwillige, spezifisch informierte und eindeutige Handlung wie etwa das Anklicken eines Kästchens auf einer Webseite und die Auswahl technischer Einstellungen bei Online-Diensten.

Keine Einwilligung stellen laut ErwG 32 ein stillschweigendes Einverständnis, standardmässig angekreuzte Kästchen oder Untätigkeit des Betroffenen dar.

Zudem fordert die DSGVO, dass in mehrfache Datenverarbeitungsvorgänge jeweils gesondert eingewilligt werden muss. Andernfalls ist die Freiwilligkeit nicht gegeben (Koppelungsverbot).

Ja, wenn die oben genannten Voraussetzungen erfüllt sind.

Bis zum 25. Mai 2018 konnte die Einwilligung auch mittels Opt-out-Verfahren eingeholt werden. Das heisst, das Häkchen in dem Feld, das der Datenverarbeitung zustimmt, war beim Opt-out bereits gesetzt. Um der Verarbeitung zu widersprechen, musste der Betroffene bisher aktiv das Häkchen entfernen.

Mit der DSGVO wird das Opt-out-Verfahren durch das Opt-in-Verfahren abgelöst: Das zwingt eine Person zum aktiven Ankreuzen des Kontrollkästchens, mit dem in die Verarbeitung der personenbezogenen Daten eingewilligt wird.

Der Adressat der E-Mails muss direkt im Onlineformular, mittels dem er seine Einwilligung gibt, darüber informiert werden,

• zu welchem Zweck die Datenverarbeitung erfolgt (z.B. Newsletter-Versendung, Werbe-Mail-Versendung);
• dass er seine Einwilligung jederzeit widerrufen kann,
• und wer der Verantwortliche ist.

Erforderlich ist dabei das sogenannte Double-Opt-in: Hier setzt der Betroffene das entsprechende Häkchen bei der Einwilligung in die Verarbeitung seiner Daten, beispielsweise im Rahmen einer Newsletter-Anmeldung. Im Anschluss erhält er eine E-Mail oder SMS mit einem Bestätigungslink. Erst das Anklicken oder Bestätigen des Links bewirkt, dass der Betroffene dem E-Mail-Verteiler hinzugefügt wird.

Laut Erwägungsgrund 171 gelten alte Einwilligungen weiter, sofern sie bereits vor dem 25. Mai 2018 die Anforderungen der DSGVO erfüllten.

Im Beschäftigungskontext erlaubt das nationale liechtensteinische Recht die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten, sofern diese Daten für die Entscheidung über die Einstellung des Bewerbers absolut erforderlich sind. Dies ist beispielsweise bei der Anstellung einer Bankmanagerin, Lehrerin oder Richterin der Fall, nicht jedoch bei einem Handwerker.

Weitere Informationen zum Beschäftigtendatenschutz finden Sie hier. 

Kann im Sinne des ErwG 62 festgehalten werden, dass die Informationspflichten nach Art. 13 und 14 DSGVO entfallen, wenn sich die Datenverarbeitung auf das BankG bzw. das SPG abstützt bzw. nach diesen Erlassen die entsprechenden Informationen erfasst werden müssen?

Nein, die Informationspflichten nach Art. 13 und 14 DSGVO würden nur dann entfallen, wenn die gegenständlichen Spezialgesetze, sprich das BankG bzw. das SPG den gleichen Umfang wie die Bestimmungen von Art. 13 und 14 DSGVO aufweisen.

Weitere Informationen zu den Informationspflichten finden Sie hier. 

Falls spezialgesetzliche Bestimmungen zur Anwendung kommen: Besteht die Auskunftspflicht im Sinne des Art. 15 DSGVO trotzdem?

Die Auskunftspflicht nach Art. 15 DSGVO besteht trotzdem, dies insbesondere auch im Hinblick auf die Rechte nach Art. 16 ff. DSGVO, die sonst verwehrt wären. Ausnahmen bestehen nur bei spezialgesetzlichen Geheimhaltungspflichten (z.B. Anwaltsgeheimnis, Bankgeheimnis, Arztgeheimnis).

Muss ich bei einem Auskunftsrecht auch eine Kopie aller beauskunfteten Daten und Unterlagen bereitstellen?

Vom Auskunftsrecht erfasst sind sämtliche über eine betroffene Person gespeicherten personenbezogenen Daten sowie Angaben über deren Verarbeitung. Diese Daten und Informationen müssen beauskunftet werden. Ein Recht auf Kopie von Unterlagen besteht nur insoweit, als dies für die betroffene Person erforderlich ist, um weitere Betroffenenrechte gemäss Art. 16 ff. geltend zu machen (z.B. Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung).

Weitere Informationen zum Auskunftsrecht finden Sie hier. 

Nicht im EWR niedergelassene Verantwortliche oder Auftragsverarbeiter, welche personenbezogene Daten von Betroffenen im EWR verarbeiten und nicht von den Ausnahmen in Art. 27 Abs. 2 DSGVO erfasst sind, müssen im EWR einen Vertreter benennen. Dieser ist in der Information gemäss Art. 13 und 14 DSGVO offenzulegen.

Ein Vertreter dient als Kontaktpunkt innerhalb des EWR gegenüber den Datenschutzaufsichtsbehörden sowie gegenüber den betroffenen Personen.

Der Vertreter haftet jedoch nicht für den Verantwortlichen oder Auftragsverarbeiter, den er vertritt.

1. Der Verantwortliche muss bei der Wahl des Auftragsverarbeiters gemäss Art. 28 Abs. 1 DSGVO besondere Sorgfalt walten lassen
2. Der Auftragsverarbeiter darf ohne Zustimmung des Verarbeiters keine Subauftragnehmer in Anspruch nehmen
3. Das Vertragsverhältnis zwischen Auftragsverarbeiter und Verantwortlichem unterliegt der schriftlichen Form mit genau vorgegebenen Vertragspunkten gemäss Art. 28 Abs. 2 DSGVO.

Artikel 30 Abs. 5 DSGVO sieht eine Ausnahme von der Erstellung eines Verzeichnisses von Verarbeitungsvorgängen dann vor, wenn ein Unternehmen weniger als 250 Mitarbeiter hat und zusätzlich keiner der nachfolgenden Punkte erfüllt ist:

1. Die Verarbeitung personenbezogener Daten des Unternehmens ist mit Risiken für die Rechte und Freiheiten betroffener Personen verbunden;
2. die Verarbeitung findet regelmässig statt;
3. Es werden sensible Daten (besondere Datenkategorien gemäss Art. 9 Abs. 1 DSGVO) verarbeitet.

Ist einer dieser Punkte gegeben, ist ein Verzeichnis von Verarbeitungsvorgängen gemäss Art. 30 DSGVO auch bei weniger als 250 Mitarbeitern zu führen.

Welche Sicherheitsmassnahmen im konkreten Fall notwendig sind, hängt vom Schutzniveau ab. Basierend auf dem Schutzniveau sind dann unter Berücksichtigung insbesondere des Stands der Technik sowie weiterer Kriterien geeignete technische und organisatorische Massnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Darunter ist jener Entwicklungsstand zu verstehen, der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen lässt. Die Verfahren müssen sich in der Praxis bewährt haben. Die DSS orientiert sich bei der Beurteilung dabei an den aktuellen ISO-Normen sowie am IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik.

Eine Meldung an die Datenschutzstelle hat innerhalb von 72 Stunden nach Bekanntwerden der Datenschutzverletzung zu erfolgen, wenn diese voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Die weitere Information der betroffenen Personen durch den Verantwortlichen hat unverzüglich zu erfolgen, wenn die Datenschutzverletzung voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt.

Bei Zweifeln in Bezug auf die Einschätzung des Risikos ist die Datenschutzstelle gerne behilflich.

Eine Datenschutz-Folgenabschätzung ist immer dann durchzuführen, wenn ein Datenverarbeitungsverfahren voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellt.

Dies ist etwa der Fall bei der Verwendung neuer Technologien oder aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung.

Die betrieblichen Datenschutzbeauftragten müssen in die Datenschutz-Folgenabschätzung eingebunden werden.

Die Datenschutzfolgenabschätzung ist schriftlich zu dokumentieren.

Bei der Durchführung sind die folgenden Schritte wesentlich:

1. In einem ersten Schritt ist zu prüfen, ob ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Hauptanwendungsgebiete sind bei Technologien, die automatisiert, systematisch und umfassend Daten erfassen, verarbeiten und bewerten, gegeben.
2. Besteht ein solches Risiko, ist zu beurteilen, welche Abhilfemassnahmen und Sicherheitsvorkehrungen nötig sind, um den Schutz der Daten zu gewährleisten. Zudem ist zu gewährleisten, dass die DSGVO eingehalten und den Interessen der Betroffenen Rechnung getragen wird.
3. Bleibt trotz dieser möglichen Massnahmen ein hohes Risiko bestehen, muss in Schritt 3 die Aufsichtsbehörde kontaktiert werden (Art. 36 DSGVO). Diese spricht dann innerhalb von 8 Wochen (Fristverlängerung möglich) eine schriftliche Empfehlung zur Risikominimierung aus; sie darf die Datenverarbeitung aber auch vollständig untersagen.

Bei der durch eine Bank betriebenen Kerntätigkeit werden zwangsläufig regelmässig auch personenbezogene Daten verarbeitet. Die klassische Kerntätigkeit einer Bank kann daher nicht isoliert von der gleichzeitig erfolgenden Verarbeitung von personenbezogenen Daten gesehen werden.

Aus diesem Grund hat auch die Artikel-29-Datenschutzgruppe festgestellt, dass die Verarbeitung von Kundendaten im regulären Bankgeschäft die Bestellung eines Datenschutzbeauftragten notwendig machen.

Wie kann ein DSB hinsichtlich seiner fachlichen Qualifikationen vom Unternehmen kontrolliert werden, wenn er weisungsungebunden und nicht in einem Hierarchieverhältnis innerhalb des Unternehmens steht?

Dies kann über externe Audits oder im Rahmen der internen Revision geschehen.

Welche beruflichen Qualifikationenmuss ein DSB haben und wo kann sich der zukünftige DSB die dafür erforderlichen Kenntnisse aneignen?

Derzeit gibt es noch kein einheitliches Curriculum, wo ein angehender DSB die erforderlichen Kenntnisse erlangen kann. Auch das Anforderungsprofil, sprich die beruflich notwendigen Qualifikationen eines DSB, ist vom konkreten Fall abhängig. Das Anforderungsprofil an einen DSB im Einzelfall richtet sich nach den durchgeführten Datenverarbeitungsprozessen in einem Unternehmen und dem erforderlichen Schutz der verarbeiteten personenbezogenen Daten. In einem Unternehmen mit komplexen Datenverarbeitungstätigkeiten oder einem Unternehmen, in welchem in grossem Umfang sensible Daten verarbeitet werden, muss der DSB unter Umständen ein höheres Mass an Fachkompetenz besitzen wie in einem Unternehmen mit weniger komplexen Datenverarbeitungstätigkeiten.

Erforderlich sind

1. genügend zeitliche Ressourcen zur Erfüllung seiner Aufgaben,
2. Zugang zu den für die Erfüllung seiner Aufgaben notwendigen Informationen und Systemen,
3. Unterstützung seitens des leitenden Managements,
4. genügende Finanzmittel, Infrastruktur, Personal in Abhängigkeit von der Komplexität der Aufgaben des DSB und
5. Möglichkeit kontinuierlicher Weiterbildung.

Dies ist gemäss Art. 38 Abs. 3 und Art. 38 Abs. 6 DSGVO ausgeschlossen, da der Datenschutzbeauftragte hier Interessenkonflikte hätte. Art. 38 Abs. 3 DSGVO legt fest, dass der DSB unmittelbar der höchsten Management-Ebene des Verantwortlichen oder des Auftragsverarbeiters berichten muss. Art. 38 Abs. 6 DSGVO legt generell fest, dass der DSB zwar andere Aufgaben und Pflichten im Unternehmen wahrnehmen kann, aber nicht solche, die zu einem Interessenkonflikt führen. Auch eine für die IT-Abteilung verantwortliche Person kann daher nicht gleichzeitig DSB eines Unternehmens sein.

Eine Haftung von Datenschutzbeauftragten ist nur in Ausnahmefällen möglich, wenn einem Datenschutzbeauftragten grobe Fahrlässigkeit oder vorsätzlicher Missbrauch seiner Pflichten nachgewiesen werden kann.

Personenbezogene Daten dürfen grundsätzlich nur dann in ein Drittland übermittelt werden, wenn dieses oder der Empfänger ein vergleichbar hohes Datenschutz-Niveau wie dasjenige im EU/EWR-Raum gewährleistet. Dazu wird entweder eine entsprechende Adäquanzbescheinigung der EU-Kommission (Angemessenheitsbeschluss) oder sonstige geeignete Garantien, wie EU-Standarddatenschutzklauseln oder verbindliche interne Datenschutzvorschriften (BCR) etc., verlangt.

Ausnahmsweise dürfen einzelne Datentransfers auch ohne solche Gewährleistungen erfolgen, wenn die Bestimmungen von Art. 49 DSGVO erfüllt sind und etwa eine Einwilligung der betroffenen Person dafür vorliegt, die Übermittlung für eine Vertragserfüllung erforderlich ist, ein wichtiges öffentliches Interesse besteht oder sie zur Geltendmachung von Rechtsansprüchen erforderlich ist (Art. 49 DSGVO).

Die Datenschutzstelle ist gemäss Art. 52 DSGVO und Art. 11 DSG völlig unabhängig und weisungsfrei. Sie unterliegt nur der Finanzaufsicht durch die Finanzkontrolle als Hilfsorgan des Landtages.

Gegen Entscheidungen der Datenschutzstelle (z.B. Verfügungen) steht jedoch gemäss Art. 78 DSGVO und Art. 20 DSG binnen vier Wochen ab Zustellung der Beschwerdeweg an die Beschwerdekommission in Verwaltungsangelegenheiten und in weiterer Folge an den Verwaltungsgerichtshof des Fürstentums Liechtenstein offen.

Weitere Informationen zum Beschwerderecht finden Sie hier. 

Im Falle einer Beschwerde kontaktiert die Datenschutzstelle den für die Verarbeitung Verantwortlichen, sobald sie davon überzeugt ist, ausreichende Nachweise und Unterlagen für die Beschwerde von der betroffenen Person erhalten zu haben. Ist dies der Fall (und hat die betroffene Person allfällige fehlende Informationen oder Dokumente noch nachgereicht), setzt sich die Datenschutzstelle mit dem für die Verarbeitung Verantwortlichen in Verbindung und fordert ihn auf, zur Beschwerde bzw. der beanstandeten Datenverarbeitung Stellung zu nehmen.