Das Interesse an den durch die Datenschutz-Grundverordnung einhergehenden Änderungen ist bemerkenswert; rund 270 Teilnehmerinnen erschienen zur vom Propter Homines Lehrstuhl für Bank- und Finanzmarktrecht der Universität Liechtenstein in Kooperation mit der Rechtsanwaltssozietät Batliner Wanger Batliner und dem Research Institute Wien organisierten Tagung «Umsetzung der Datenschutz-Grundverordnung (DSGVO) in Liechtenstein» am 20.Februar 2018. Um dem enormen Zustrom gerecht zu werden, wurde eigens das SAL Veranstaltungszentrum angemietet. Den Datenschutzneuerungen und den hochkarätigen Vortragenden wurde so ein angemessenes Forum geboten, um – wie es Rektor Dr. Jürgen Brücker in seinen einleitenden Worten festhielt – einen zentralen Beitrag zu leisten um sowohl Verwirrungen vorzubeugen als auch zur Aufklärung beizutragen.
Positiviertes Zielmarktprinzip
Das bestehende Sekundärrecht zum Datenschutz ist veraltet. Aus dem Diskettenzeitalter stammend, hinkt es den modernen Anforderungen hinterher. Das soll sich ab 25. Mai 2018 ändern. Dieses Datum werde eine Zäsur im europaweiten Datenschutz bedeuten, so Univ.-Prof. Dr. Nicolas Raschauer in seinen einleitenden Worten. Alle Unternehmen werden zukünftig dazu verpflichtet, personenbezogene Daten von Bürgern mit Aufenthalt in der EU DSGVO-konform zu verarbeiten. Durch das nunmehr positivierte Zielmarktprinzip kann die EU-Verordnung auch ausserhalb des EWR teilweise unmittelbar anwendbar werden, wenngleich sie (noch) nicht zum EWR-Rechtsbestand zählt. Als durchaus «eigenwillig» beschrieb die Leiterin der EWR-Stabsstelle, Dr. Andrea Entner-Koch die Rechtslage bis zur Übernahme ins EWR-Übereinkommen. Bis es soweit ist, wird die derzeit gültige Datenschutzrichtlinie zumindest teilweise weiter gelten.
Totalrevision in Liechtenstein
Bereits vor Übernahme ins EWR-Abkommen dürften die neuen EU-Standards in einer Totalrevision des Datenschutzgesetzes in Liechtenstein Berücksichtigung finden, so Dr. Bernd Hammermann, Leiter des Amtes für Justiz, der auf den 240 Seiten starken Vernehmlassungsbericht der Regierung und den darin beschriebenen Katalog von so genannten Öffnungsklauseln verwies. Als Rezeptionsgrundlage für das neue Datenschutzrecht in Liechtenstein werde auf das deutsche Recht zurückgegriffen. «Datenschutz hat mit Vertrauen zu tun», die Rechtsübernahme aus dem «Mutterland des Datenschutzes» solle eine solche Vertrauensgrundlage schaffen, so Hammermann.
Etwa 250 Materiengesetze dürften in weiterer Folge in Anpassung an die neue Rechtslage geändert werden. Ein abschliessender Befund dazu sei aus heutiger Sicht noch nicht möglich. Eine Behandlung des Datenschutzgesetzes könne bestenfalls im Juni-Landtag erfolgen; mit einer Fertigstellung sei daher frühesten im 4. Quartal zu rechnen.
Scharfe Zähne für Aufsichtsbehörden
Die Neuerungen tragen jedenfalls zu einer Stärkung subjektiver Rechte bei. Gegen Verstösse der Grundsätze der DSGVO wurden den Aufsichtsbehörden «scharfe Zähne» verliehen, führte Dr. Philipp Mittelberger, BWB Rechtsanwälte AG, aus. Das «Recht auf informationelle Selbstbestimmung» werde auch durch die zugunsten der Betroffenen vorgesehene allgemeine Beweislastumkehr massiv gestärkt. Dazu tragen auch die bei den Aufsichtsbehörden vorgesehenen «Weisungs-, Kontroll- und Verbotsmechanismen» bei. Darüber hinaus werden die Datenschutzstellen zu europäischen Playern, klärte Dr. Marie-Louise Gächter, Datenschutzbeauftragte des Fürstentums Liechtenstein, auf. Der Datenschutz erlange grenzüberschreitende Relevanz und werde zukünftig in Kohärenzverfahren zwischen den einzelnen Mitgliedsstaaten thematisiert. Vor allem die unterschiedliche Ausgestaltung einzelner Öffnungsklauseln dürfte in der Rechtsanwendung noch für Herausforderungen sorgen.
In den durchaus kritischen Befund über die Ausgestaltung von Öffnungsklauseln, durch welche die zwar unmittelbar anwendbare Verordnung Richtliniencharakter erhalte, stimmten auch Dr. Christof Tschohl, Research Institute Wien, und RA Dr. Hans Kristoferitsch, CHSH Rechtsanwälte, ein.
Keine Patentlösung
Die Veranstaltung zeigte, dass es keine «Patentlösung» für die aufkommenden Fragen gibt. Im Rahmen der abschliessenden Diskussionsrunde konnten zahlreiche Anliegen aus dem Publikum zwar eingehend diskutiert werden, dennoch wird zur Klärung mancher Fragen abzuwarten sein, welche Erkenntnisse die Judikatur der kommenden Jahre bringen wird.
Die Datenschutzgrundverordnung sieht in bestimmten Konstellationen die verbindliche Bestellung von Datenschutzbeauftragten vor, etwa bei Datenverarbeitungen von öffentlichen Stellen und Behörden oder bei besonderen (sensiblen) Daten. Um den vielfältigen Ansprüchen an diese Tätigkeit gerecht werden zu können, bietet die Universität Liechtenstein einen Intensivkurs an.
Eines wurde deutlich: Datenschutz betrifft uns alle und kann in Zukunft – nicht nur aufgrund der hohen Sanktionen, die bei Verstössen drohen – nicht länger vernachlässigt werden. Es sollten unternehmensinterne Systeme etabliert werden, Verarbeitungsprozesse dokumentiert und Verantwortungsbereiche sichtbar gemacht werden, um böse Überraschungen zu vermeiden. Die Zeiger stehen auf Fünf vor Zwölf um noch entsprechende Vorbereitungen zu treffen.
Bericht von Mag. Marco Dworschak