• Ein Jahr Datenschutz-Grundverordnung
Fachartikel:

Ein Jahr Datenschutz-Grundverordnung

07. Juni 2019

Erste Erfahrungen, offene Fragen und die Schweizer Situation.

In diesem Beitrag ziehen die Autoren Bilanz aus einem Jahr EU-Datenschutz-Grundverordnung (DSGVO). Zudem blicken sie auf die Schweiz, da dort auf die Totalrevision des Schweizer Datenschutzgesetzes (DSG) gewartet wird. In der Praxis orientieren sich Schweizer Unternehmen, die international tätig sind, bereits heute an den Normen der DSGVO. Im Sinne des Schaffens klarer Verhältnisse wäre eine beförderliche politische Behandlung der Schweizer Revision zu begrüssen.

 

1. WAS HAT DIE DSGVO BISHER GEBRACHT?

Die EU-Datenschutz-Grundverordnung ist seit dem 25. Mai 2018 durchsetzbar. Experten sind sich einig: Die DSGVO hat materiell nicht grundlegend den Datenschutz geändert. Dennoch wurde der Datenschutz durch sie substanziell gestärkt. Wieso das?

Einerseits macht die DSGVO an Unternehmen relativ klare Vorgaben, wie der Datenschutz umzusetzen ist. Dabei wird den Unternehmen ein grosser Ermessenspielraum eingeräumt. Andererseits drohen den Unternehmen hohe Bussen, wenn sie ihre Hausaufgaben nicht machen und die neuen Vorgaben nicht beachten. Im Weiteren müssen Unternehmen ihre Verfahren mit Personendaten kennen, deren Risiken bewerten und festlegen, welche technischen und organisatorischen Schutzmassnahmen dazu passen. Verantwortlichkeiten im Datenschutz sind zu regeln und Prozesse zur zeitnahen Bearbeitung (und evtl. Meldung) von Daten- schutz-Vorfällen sind einzurichten. Zudem wurden die Rechte der Individuen gestärkt, da sie ausdrücklicher über die Bearbeitung ihrer Personendaten informiert werden müssen und ihnen mehr Auskunfts- und Widerspruchsrechte eingeräumt wurden.

 

2.  WELCHE BEFÜRCHTUNGEN SIND (BISHER) NICHT EINGETRETEN?

2.1 Auskunftsbegehren. Entgegen den Befürchtungen blieb in der EU eine massive Flut von Auskunftsbegehren aus.
Zwar konnte kurz nach dem 25. Mai 2018 eine Zunahme von Auskunftsbegehren festgestellt werden, jedoch hat sich die Anzahl bald danach auf tiefem Niveau eingependelt. Die Autoren verfolgen mit grossem Interesse, wie sich das Zusammenspiel zwischen Auskunftsbegehren nach DSGVO und den Verpflichtungen aus Arbeitsverhältnissen gestaltet. Insbesondere in Grossbritannien und Irland kann eine klare Tendenz beobachtet werden, dass Auskunftsbegehren nach DSGVO von Arbeitnehmenden im Zusammenhang mit einem unfreiwilligen Ausscheiden aus der Firma benutzt werden, um Anhaltspunkte für einen eventuellen Forderungsprozess zu beschaffen. Das Landesarbeitsgericht(LAG) Baden-Württemberg hat entschieden, dass ein Mitarbeitender, der ein Auskunftsbegehren gestellt hat, ein Recht auf umfassendes Offenlegen von Informationen hat, inkl. Informationen über interne Untersuchungen gegen den Mitarbeitenden. Weiter musste auch Auskunft über nicht in der Personalakte gespeicherte Leistungs- und Verhaltensdaten gegeben werden. Der Arbeitgeber konnte sich nicht auf schützenswerte Interessen berufen, die dem Auskunftsanspruch des Arbeitnehmers entgegenstehen [1].

2.2 Beschwerden und Bussen. Im Zeitraum vom 25. Mai 2018 bis zum 28. Januar 2019 er gingen im EU-Raum 95180 Beschwerden nach DSGVO an Aufsichtsbehörden [2]. Diese beträchtliche Anzahl verdeutlicht, dass das Institut der Beschwerde nach DSGVO effektiv gebraucht und dass der Weg über die Aufsichtsbehörde tatsächlich genutzt wird. Diese hohe Anzahl von Beschwerden steht in eklatantem Gegensatz zur Anzahl der bisher ausgesprochenen Bussen unter der DSGVO. Diesbezüglich liegen erst wenige Entscheide vor. Es trat somit bislang keine Flut von Bussen ein. Jedoch wurden unter der DSGVO bereits Bussen in beträchtlicher Höhe ausgesprochen. Der prominenteste Entscheid ist derjenige der französischen Datenschutzbehörde, der Commission Nationale de l’Informatique et des Libertés (CNIL) gegen Google. Darin hat die CNIL am 21. Januar 2019 eine Busse von EUR 50 Mio. gegen den Konzern ausgesprochen. Die Firma wurde gerügt, dass sie die Information über die Datenverarbeitung den Benutzern nicht leicht zugänglich gemacht hat und sich die Benutzer die Informationen, die über mehrere Dokumente verstreut waren, zusammensuchen mussten. Dieser Entscheid kann durchaus wegweisend sein, da Google im Hinblick auf die DSGVO ihre Erklärungen zur Datenbearbeitung massiv überarbeitet hatte [3]. Gleichzeitig anerkannte die CNIL in ihrem Entscheid aber die vom Dienstleister bereits getätigten Bestrebungen im Bereich der Benutzerinformationen [4]. In Anbetracht der komplexen Verarbeitungen, die Google vornimmt, ist eine einfach verständliche und übersichtliche Darstellung der Information der vorgenommenen Datenverarbeitungen der Nutzer sicherlich eine grosse Herausforderung. Offensichtlich verlangen die Aufsichtsbehörden hier mehr. Darüber hinaus war die CNIL im Entscheid gegen Google der Ansicht, dass die Zustimmungen zum Bearbeiten der Personendaten der Benutzer für die Zwecke der Personalisierung von Werbung nicht gültig eingeholt wurden, da die Zustimmungen der Nutzer weder spezifisch noch eindeutig waren [5]. Google hat gegen die Busse der französischen Datenschutzbehörde Berufung beim Staatsrat von Frankreich eingelegt [6]. Die Busse war bei Redaktionsschluss noch nicht rechtskräftig.
Eine weitere beachtliche Busse in der Höhe von EUR 400000 erging durch die portugiesische Datenschutzbehörde gegen das Spital Barreiro. Sie wurde ausgesprochen, da der Kreis der Berechtigten, der Zugang zu Patientendaten hatte, zu gross gefasst wurde [7]. Ferner wurde eine Busse von EUR 5280 von der Datenschutzbehörde Österreich aufgrund unzulässiger Videoüberwachung verhängt [8], eine Busse von EUR 20000 vom Landesdatenschutzbeauftragten Baden-Württemberg aufgrund des ungenügenden Schutzes von Kundenpasswörtern eines Chat-Anbieters [9] sowie eine Busse von EUR 220000 von der Datenschutzbehörde Polen aufgrund der Nichtinformation von Personen über die Bearbeitung ihrer Personendaten [10].
Insgesamt lässt sich feststellen, dass es sich in der Regel um Datenschutzverletzungen mit Auswirkungen für einen grossen Personenkreis gehandelt hat und diese somit als beträchtlich bezeichnet werden können. Behörden büssen bisher nicht wahllos, sondern gezielt und konzentriert aufgrund beachtlicher Datenschutzverletzungen. Sicherlich braucht es einige Zeit, bis die einzelnen Datenschutzbehörden genügend Ressourcen aufweisen, um die hohe Anzahl von Datenschutzbeschwerden und Meldungen von Datenschutzvorfällen zu bearbeiten.
Im Zeitraum zwischen dem 25. Mai 2018 und dem 28. Januar 2019 haben Unternehmen bei den Aufsichtsbehörden in der EU zudem 41 502 Meldungen von eigenen Datenschutzverletzungen getätigt [11]. Die Meldungen von Datenschutzvorfällen führen – soweit ersichtlich – nicht automatisch zu Bussen oder Verfahren gegen die Unternehmen und die Autoren beobachten bisher nach einer Meldung kaum Nachfragen von den Behörden. Dennoch haben Unternehmen die Pflicht, Datenschutzvorfälle zu analysieren und Lehren daraus zu ziehen. Dies sollte dokumentiert werden und wird sicherlich Gegenstand späterer Inspektionen der Aufsichtsbehörden sein.

 

3. ENTWICKLUNGEN IN DER SCHWEIZ

3.1 Stand Entwurf Datenschutzgesetz. Der Entwurf der Totalrevision des schweizerischen Datenschutzgesetzes (E-DSG) ist im National- und im Ständerat noch nicht beraten worden [12]. Somit wird das Inkraftsetzen auf Anfang 2020 eng [13]. Fraglich ist, ob das revidierte DSG als gleichwertig mit der DSGVO bezeichnet werden kann. Ein Unterschied zwischen der DSGVO und dem E-DSG ist, dass die vorgesehenen Sanktionen nicht vergleichbar sind. Während die DSGVO administrative Bussen gegen ein Unternehmen androht von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes oder EUR 20 Mio., je nachdem welcher Betrag höher ist (Art. 83 Abs. 5 und 6 DSGVO), sieht der E-DSG vor, dass private Personen mit Busse bis zu CHF 250000 bestraft werden können (Art. 54 ff. E-DSG). Im Vergleich zu den Kompetenzen der Aufsichtsbehörden der EU-Staaten sind die Kompetenzen des EDÖB als gering zu bezeichnen. Insgesamt ist feststellbar, dass der E-DSG offener und oberflächlicher formuliert ist. Sollte die EU die Gleichwertigkeit nicht anerkennen, würde die Schweiz in die Kategorie von Drittstaaten ohne entsprechendes Schutzniveau fallen, was den Datenaustausch mit der EU wesentlich erschweren würde. Diesbezüglich hätten die EU-Staaten in einer grenzüberschreitenden Übermittlung von personenbezogenen Daten an die Schweiz die Regelungen nach Art. 46 DSGVO einzuhalten. Danach darf eine Übermittlung von personenbezogenen Daten nur stattfinden, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (vgl. Art. 46 Abs. 1 DSGVO). Solche Garantien können beispielweise bestehen, wenn Standarddatenschutzklauseln zwischen den Parteien verwendet werden (Art. 46 Abs. 2 lit. c DSGVO). Die von der EU-Kommission anerkannten Standardvertragsklauseln (EU Standard Contractual Clauses) sind bis auf Widerruf bindend und verpflichten die Mitgliedstaaten der EU anzuerkennen, dass Unternehmen, die diese Vertragsklauseln verwenden, einen angemessenen Schutz der Daten bieten [14].

3.2 Schengen-Datenschutzgesetz. Um einer Gefährdung der Mitgliedschaft der Schweiz im Schengen-Raum zu entgehen, hat der schweizerische Gesetzgeber zunächst das Schengen-Datenschutzgesetz (SDSG) geschaffen. Das Schweizer Parlament entschied 2018, die Revision des Datenschutzgesetzes in zwei Etappen aufzuteilen: in die Revision des Datenschutzgesetzes und den Erlass des Schengen-Datenschutzgesetzes. Das SDSG ist am 1. März 2019 in Kraft getreten. Damit wurde der Schengen-Besitzstand weiterentwickelt und es wurden notwendige Anpassungen der schweizerischen Gesetzgebung an das europäische Recht vorgenommen. Das Gesetz ist als Übergangsgesetz gedacht und soll aufgehoben werden, sobald das neue Datenschutzgesetz in Kraft ist. Das SDSG gilt für das Bearbeiten von Personendaten durch Bundesorgane in Strafsachen im Rahmen des Schengen-Besitzstands. Adressaten sind somit das Bundesamt für Polizei, das Bundesamt für Justiz im Bereich der internationalen Rechtshilfe in Strafsachen sowie die Bundesanwaltschaft [15]. Der EU-Ministerrat hat jedoch kürzlich in einem Bericht über die Schengen-Evaluation festgehalten, dass die Schweiz beim Datenschutz Defizite habe [16].

3.3 Anwendbarkeit der DSGVO für Schweizer Unternehmen. Die DSGVO charakterisiert sich durch ihren weiten und extraterritorialen Anwendungsbereich.  Gemäss dem in Art. 3 Abs. 1 DSGVO normierten räumlichen Anwendungsbereich ist die Verordnung zum einen anwendbar auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt, unabhängig davon, ob die Verarbeitung in der Union erfolgt. Primärer Anknüpfungspunkt ist somit die Niederlassung in der EU.

Zum anderen sieht das Marktortprinzip vor, dass die DSGVO anwendbar ist auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der EU befinden, durch einen nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten. Und zwar unabhängig davon, ob von diesen Personen eine Zahlung zu leisten ist (Art. 3 Abs. 2 lit. a DSGVO). Diesbezüglich sieht Erwägungsgrund 23 DSGVO vor, dass, um festzustellen, ob ein solches Anbieten von Waren und Dienstleistungen an sich in der EU befindlichen Personen vorliegt, eruiert werden sollte, ob der Verantwortliche oder Auftragsverarbeiter offensichtlich beabsichtigt, diese anzubieten. Als Anhaltspunkt reicht nicht, dass die Website, die E-Mail-Adresse oder andere Kontaktdaten in der EU zugänglich sind. Jedoch können die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der EU befinden, darauf hindeuten, dass der Verantwortliche oder Auftragsverarbeiter beabsichtigt, den Personen in der EU Waren oder Dienstleistungen anzubieten. Weitere Hinweise gemäss der vom Europäischen Datenschutzausschuss veröffentlichten Richtlinie betreffend die Anwendbarkeit der DSGVO sind, wenn Top-Level-Domains wie «.de» und «.eu» benutzt werden oder internationale Aktivitäten wie touristische Angebote oder die Lieferung von Waren in EU-Mitgliedsstaaten angeboten werden [17]. Als weiteres Szenario, auf das die DSGVO anwendbar ist, gilt, wenn nicht in der EU niedergelassene Verantwortliche oder Auftragsverarbeiter Datenverarbeitungen vornehmen, um das Verhalten betroffener Personen zu beobachten, soweit dieses in der EU erfolgt (Art. 3 Abs. 2 lit. b DSGVO).

Sobald ein Schweizer Unternehmen über eine Niederlassung in der EU verfügt oder Dienstleistungen im EU-Raum anbietet, fällt dieses unter die DSGVO. Die Frage, ob ein Schweizer Unternehmen, das einen unabhängigen Auftragsdatenverarbeiter in der EU beizieht, ebenfalls unter die DSGVO fällt, wird von der Lehre verneint [18]. Jedoch muss der Auftragsverarbeiter die DSGVO in Bezug auf die besonderen Pflichten der Auftragsverarbeiter einhalten, da er sich in der EU befindet [19].

3.4 Bestellung eines Vertreters in der EU. Die Pflicht zum Bestellen eines Vertreters in der EU nach Art. 27 DSGVO besteht für Verantwortliche oder Auftragsverarbeiter, die nicht in der EU niedergelassen sind und Personen in der EU Waren oder Dienstleistungen anbieten oder das Verhalten dieser Personen in der EU beobachten (Art. 27 i. V. m. Art. 3 Abs. 2 DSGVO). Der Vertreter gemäss Art. 27 DSGVO vertritt den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach der DSGVO obliegenden Pflichten (Art. 4 Ziff. 17 DSGVO) und dient hauptsächlich als Kontaktstelle für die Aufsichtsbehörden (Art. 27 Abs. 4 DSGVO). Viele Berater empfehlen Schweizer Unternehmen aufgrund der vorgenannten Norm relativ unbesehen die Bestellung eines Vertreters in der EU, was dort viele Anbieter für weit unter EUR 1000 pro Jahr übernehmen. Dies ist nicht ganz unkritisch und sollte gut erwogen werden.
Eine erste Problematik in Bezug auf die Bestellung eines Vertreters in der EU ergibt sich aus Art. 271 StGB, der verbotene Handlungen für einen fremden Staat inkriminiert.  Es stellt sich die Frage, ob mit der Bestellung eines Vertreters nach Art. 27 DSGVO die Souveränität der Schweiz verletzt wird und so eine strafbare Handlung nach Art. 271 StGB vorliegt. Nach Art. 271 Ziff. 1 StGB macht sich strafbar, wer auf schweizerischem Gebiet ohne Bewilligung für einen fremden Staat Handlungen vornimmt, die einer Behörde oder einem Beamten zukommen. Es kann eine Freiheitsstrafe bis zu drei Jahren oder eine Geldstrafe ausgesprochen werden, in schweren Fällen beträgt die Freiheitsstrafe nicht unter einem Jahr. Ausländische Behörden müssen daher auf dem Rechtshilfeweg vorgehen.

Zweck von Art. 27 DSGVO ist es, dass die Aufsichtsbehörden in Fällen der Anwendbarkeit der DSGVO, jedoch bei Fehlen einer Niederlassung des Verantwortlichen oder Auftragsverarbeiters in der EU, eine Anlaufstelle für die Kontaktaufnahme und auch ein Ziel für mögliche Durchsetzungsmassnahmen erhalten. Ausserdem soll für Betroffene ersichtlich sein, an wen sie sich wenden können [20]. Der Vertreter soll somit auch selbst Subjekt von Untersuchungshandlungen sein. Art. 27 DSGVO bezweckt in gewissem Sinne die Schaffung eines weiteren Haftungssubjekts, dies jedoch lediglich im Hinblick auf behördliche Zwangsmassnahmen im Zusammenhang mit der Untersuchung sowie dem Bereitstellen von Informationen in der EU [21]. Haftungssubjekt anderer Pflichten (ausser dem Bereitstellen von Informationen) ist allein der Verantwortliche oder der Auftragsverarbeiter [22]. Wenn der Vertreter verpflichtet ist, gewisse Informationen den Aufsichtsbehörden bereitzustellen, so ist fraglich, ob er sich dabei in die Nähe von amtlichen Handlungen begibt, die auf dem Rechtshilfeweg vorzunehmen wären. Die Schweizer Lehre vertritt die Ansicht, dass das, was der Vertreter aus den eigenen Beständen an Informationen liefern kann, im Sinne von Art. 271 StGB unproblematisch ist. Somit verletzt er die Souveränität der Schweiz nicht. Sollte der Vertreter sich jedoch zunächst in der Schweiz Informationen beschaffen müssen, so ist dies als zwangsweises Ermitteln des Sachverhalts unter Art. 271 StGB zu subsumieren [23]. Dies wäre als unzulässige Handlung zu qualifizieren und die Informationsbeschaffung in der Schweiz unterläge in diesem Fall dem Rechtshilfeweg. Somit bleiben die möglichen Handlungen des Vertreters in Bezug auf Schweizer Unternehmen u. E. beschränkt. Als weiterer Aspekt gilt zu erwähnen, dass mit dem Bestellen eines Vertreters in der EU eine Zustelladresse begründet wird und damit impliziert und de facto anerkannt wird, dass die DSGVO auf das Unternehmen Anwendung findet.

Das Eidgenössische Justiz- und Polizeidepartement(EJPD) vertritt im Übrigen die Ansicht, dass die Souveränität der Schweiz alleine durch eine Meldung einer Datenschutzverletzung durch ein Schweizer Unternehmen nach Art. 33 DSGVO an eine EU-Aufsichtsbehörde nicht verletzt wird, da diese Meldungen nicht ausschliesslich in die Zuständigkeit einer Behörde oder eines Beamten fallen [24]. Das EJPD äusserte sich jedoch nicht darüber, ob die Bestellung eines Vertreters nach Art. 27 DSGVO und dessen Tätigkeiten eine Verletzung der Souveränität der Schweiz darstellt. Eine abschliessende Klärung dieser Frage wäre aus Schweizer Sicht wünschenswert.

Bei einem Verstoss gegen Art. 27 DSGVO können Geldbussen von bis zu EUR 10 Mio. oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist, verhängt werden (Art. 83 Abs. 4 lit. a DSGVO). Bussen nach DSGVO können nach überwiegender Meinung jedoch nicht direkt in der Schweiz gegen Schweizer Unternehmen durchgesetzt werden [25].

 

4. FAZIT

Die DSGVO hat sich auch für Schweizer Unternehmen als Best Practice etabliert. International operierende Firmen in der Schweiz orientieren sich praktisch ausschliesslich an der DSGVO. Die Verträge zur Datenverarbeitung entsprechen den EU-Standards. Die geltenden Schweizer Normen verkommen zu reiner Makulatur. Die Schweiz als früher führender Staat im Bereich Qualität und Datenschutz droht in die Kategorie der Staaten ohne eine der EU gleichwertige

Datenschutzgesetzgebung zu rutschen. Insgesamt ist es bedauerlich, dass in der Schweiz in Zukunft de facto in der EU niedergelassene Personen besser geschützt werden, als im eigenen Land niedergelassene Personen. Eine beförderliche und umsichtige Behandlung des Themas Datenschutz auf politischer Ebene wäre zu begrüssen.

Auch wenn momentan die Gefahr von Bussen aufgrund von Datenschutzverletzungen nach der DSGVO für Schweizer Unternehmen aufgrund der fehlenden Durchsetzbarkeit noch nicht gross ist, setzen die Unternehmen trotzdem einiges daran, DSGVO-konform zu werden. Ein hohes Datenschutzniveau einer Organisation wird zunehmend als ein klares Qualitätsmerkmal anerkannt. Datenschutz sollte in diesem Sinn als Chance und nicht als Bedrohung für eine Organisation gesehen werden.

 

Dieser Artikel erschien im Fachmagazin «Expert Focus», Ausgabe 2019 | 6–7.

 

Download

 

 

Anmerkungen: 1) Entscheid des LAG Baden-Württemberg 17 Sa 11/18 vom 20. Dezember 2018, https://www.bund-verlag.de/personalrat/aktuellespr~Arbeitnehmern-steht-Auskunft-ueber-fast-alle-gespeicherten-Daten-zu~, Zugriff am 25. April 2019. 2) GDPR in Numbers, auf den Seiten von GDPR Today, https://www.gdprtoday.org/gdpr-in-numbers-3/, Zugriff am 25. April 2019; https://ec.europa.eu/com mission/sites/beta-political/files/190125_gdpr_info graphics_v4.pdf, Zugriff am 25. April 2019. 3) Krempl, S., Google: 500 Jahre Arbeit stecken in Vorbereitung auf die DGSVO, auf den Seiten von heise online, https://www.heise.de/newsticker/meldung/Google-500-Jahre-Arbeit-stecken-in-Vorbereitung-auf-die-DSGVO-4049131.html, Zugriff am 25. April 2019. 4) Délibération de la formation restreinte de la CNIL N SAN – 2019-001 vom 21. Januar 2019, E. 4., auf den Seiten von Legifrance, https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCn il&id=CNILTEXT000038032552&fastReqId=21033 87945&fastPos=1, Zugriff am 25. April 2019. 5) Dé- libération de la formation restreinte de la CNIL N SAN – 2019-001 vom 21. Januar 2019, E. 5. auf den Seiten von Legifrance, https://www.legifrance.gouv. fr/affichCnil.do?oldAction=rechExpCnil&id=CNIL TEXT000038032552&fastReqId=2103387945&fast Pos=1, Zugriff am 25. April 2019. 6) Google wehrt sich gegen Strafe in Frankreich, auf den Seiten der Handelszeitung, https://www.handelszeitung.ch/unternehmen/google-wehrt-sich-gegen-strafe-frankreich#, Zugriff am 25. April 2019. 7) Portuguese DPA imposes 400000 € fine on hospital for two violat- ions of the GDPR, auf den Seiten von GDPR today, https://www.gdprtoday.org/portuguese-dpa-imposes-400000-e-fine-on-hospital-for-two-violations-of-the-gdpr/, Zugriff am 25. April 2019. 8) Straferkenntnis GZ: DSB-D550.038/0003-DSB/2018, auf den Seiten der Datenschutzbehörde der Republik Österreich, https://www.dsb.gv.at/documents/22758/ 116802/Straferkenntnis+DSB-D550.038+0003-DSB+ 2018.pdf/fb0bb313-8651-44ac-a713-c286d83e3f19, Zugriff am 25. April 2019. 9) Budras C., Jansen J., Datenschützer bestrafen massenhaften Datenklau, auf den Seiten der Frankfurter Allgemeine, https://www.faz.net/aktuell/wirtschaft/diginomics/dsgvo-datenschuetzer-bestrafen-massenhaften-datenklau-15903347.html, Zugriff am 25. April 2019. 10) The first fine imposed by the President of the Personal Data Protection Office, auf den Seiten des https://uodo.gov.pl/en/553/1009, Zugriff am 25. April 2019. 11) GDPR in Numbers, auf den Seiten von GDPR Today, https://www.gdprtoday.org/gdpr-in-numbers-3/, Zugriff am 25. April 2019; GDPR in Numbers, auf den Seiten der EU-Kommission, https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf, Zugriff am 25. April 2019. 12) Geschäft des Bundesrates, Datenschutzgesetz. Totalrevision und Änderung weiterer Erlasse zum Datenschutz, auf den Seiten der Bundesversammlung, https://www.parlament.ch/de/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20170059, Zugriff am 25. April 2019. 13) Mäder, L., Das Parlament lässt sich Zeit beim Datenschutzgesetz – das könnte der Wirtschaft schaden, in: Neue Zürcher Zeitung vom 10. November 2018, https://www.nzz.ch/schweiz/das-parlament-laesst-sich-zeit- beim-datenschutzgesetz-das-koennte-der-wirtschaft- schaden-ld.1435161, Zugriff am 25. April 2019. 14) Klug, C., in: Gola, P. (Hrsg.), Datenschutz-Grundverordnung, Kommentar, 2. Aufl. 2018, N. 8 zu Art. 46 DSGVO; Art. 46 Abs. 5 DSGVO. 15) Schengen/Dublin, auf den Seiten des Eidg. Datenschutz- und Öffentlichkeitsbeauftragten, https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/polizei--verteidigung-und-migration/die-abkommen-von-schengen-und-dublin.html, Zugriff am 25.April 2019. 16) Von Matt, R., EU kritisiert die Schweiz – und die Datenschützer freut es, auf den Seiten des SRF, https://www. srf.ch/news/schweiz/datenschutz-in-der-schweiz-eu- kritisiert-die-schweiz-und-die-datenschuetzer-freut- es, Zugriff am 25. April 2019. 17) Guidelines 3/2018 on the territorial scope of the GDPR (Article 3), auf den Seiten des EDPB, angenommen am 16. November 2018, S. 15 ff., https://edpb.europa.eu/our-work-tools/public-consultations/2018/guidelines-32018-territorial-scope-gdpr-article-3_en, Zugriff am 25. April 2019. 18) Übersichtlich zusammengestellt bei: Vasella, D., Zum Anwendungsbereich der DSGVO, in: digma 4/2017, S. 220 ff., S. 221; Rosenthal, D., Vasella, D., Erste Erfahrungen mit der DSGVO, in: digma 4/2018 S. 166 ff., S. 169. 19) EDÖB, Die EU-Datenschutzgrundverordnung und ihre Auswirkungen auf die Schweiz, Juli 2018, S. 6. 20) Piltz, C., in: Gola, P. (Hrsg.), Datenschutz-Grundverordnung, Kommentar, 2. Aufl. 2018, N. 8 zu Art. 27 DSGVO. 21) Piltz, a. a. O., N. 10 zu Art. 27 DSGVO. 22) Piltz, a. a. O., N. 45 zu Art. 27 DSGVO. 23) Rosenthal, D., DSGVO: Kann sie in der Schweiz durchgesetzt werden?, Schulthess-Forum Data Privacy 2019, S. 7; Benhamou Y., Jacot-Guillarmod, E., GDPR on the Swiss Territory, in: Jusletter IT, 24. Mai 2018, S. 3. 24) EJPD, Erläuterungen betreffend die Pflicht von Verletzungen des Schutzes personenbezogener Daten nach Art. 33 der DSGVO, 4. September 2018, S. 2. 25) Benhamou, Y., Jacot-Guillarmod, E., GDPR on the Swiss Territory, in: Jusletter IT 24. Mai 2018, S. 13, S. 15, Benhamou Y., Jacot-Guillarmod, E., RGPD sur sol suisse: mise en œuvre, digma 3/2018 S. 142 ff., S. 145, S. 146, S. 149.