Entwurf des Beschlusses des Gemeinsamen EWR-Ausschusses (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrundverordnung)) (Nr. 15/2018)
Landtagspräsident Albert Frick
Wir gehen über zu Traktandum 19: Entwurf des Beschlusses des Gemeinsamen EWR-Ausschusses (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrundverordnung)). Der Bericht und Antrag trägt die Nr. 15/2018 und steht zur Diskussion.Landtagsvizepräsidentin Gunilla Marxer-Kranz
Besten Dank, Herr Präsident. Geschätzte Damen und Herren Abgeordnete. Dem Beschlussentwurf betreffend die Übernahme der Datenschutz-Grundverordnung werden wir heute wohl unsere Zustimmung erteilen. Mit deren Übernahme wird die Datenschutzrichtlinie ersetzt beziehungsweise aktualisiert. Ziel der Datenschutz-Grundverordnung soll sein, dass der Einzelne mehr Kontrolle über seine personenbezogenen Daten hat und auch leichter auf diese Daten greifen kann. Unsere Welt wird immer vernetzter und somit muss der einzelne Bürger immer besser geschützt werden. Die Bezeichnung «gläserner Bürger» ist uns allen ein Begriff. Es findet eine zunehmende Überwachung der Menschen statt. Es werden neue technische Überwachungsmethoden erfunden und das Interesse aller an vermehrten Informationen über andere steigt. Es droht ein vollständiger Verlust der Privatsphäre sowie des Rechts auf informationelle Selbstbestimmung, obwohl jede Person gemäss Art. 8 der Charta der Grundrechte der EU das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat. Grund hierfür ist, dass dieses Grundrecht aber kein uneingeschränktes Recht darstellt, sondern es muss im Hinblick auf seine gesellschaftliche Funktion gesehen werden, heisst, im Sinne des Verhältnismässigkeitsprinzips gegen andere Grundrechte abgewogen werden. Gegen mehr Schutz und Kontrolle seiner personenbezogenen Daten wird sich daher wohl niemand verwehren. Aus diesem Grund ist das Ziel der Datenschutz-Grundverordnung, den Schutz der Privatsphäre zu aktualisieren und zu modernisieren, definitiv der richtige Weg. Die Übernahme dieser Datenschutz-Grundverordnung bedarf gemäss unserer Verfassung zu ihrer Gültigkeit der Zustimmung des Landtages. Es ist mir bewusst, dass es sich hier um einen 103er-Bericht-und-Antrag, also um eine Vorabzustimmung, handelt und das entsprechende Datenschutzgesetz erst wahrscheinlich im November behandelt werden wird. Dennoch möchte ich kurz einige Punkte erwähnen. Der Schwerpunkt der DSGVO regelt, wie bereits erwähnt, den Umgang mit personenbezogenen Daten. Dies stellt aber bereits jetzt für viele Unternehmen ein grosses Problem beziehungsweise eine Unsicherheit dar, da sie zwar wissen, dass sie mit ziemlicher Wahrscheinlichkeit von der DSGVO betroffen sind und entsprechend handeln müssten, das Ob und Wie, ihnen aber von den zuständigen Stellen nicht wirklich konkret beantwortet werden kann. Personenbezogene Daten werden definiert als alles, womit man selbst oder mithilfe von Dritten eine natürliche Person eindeutig identifizieren kann. Hierunter fallen Kreditkartennummern, Gesundheitsdaten etc. Es sind daher mehr Personen und Firmen davon betroffen, als man denkt. Im Falle einer Übertretung drohen dann sehr hohe Bussgelder von bis zu EUR 20 Mio. oder 4% des gesamten weltweit erzielten Jahresumsatzes. Mit der neuen Datenschutz-Grundverordnung verschiebt sich auch die Beweislast, das heisst, Unternehmen haben aktiv und unabhängig davon, ob es überhaupt zu Schäden oder Verstössen gekommen ist oder kam, nachzuweisen, dass ihr Datenschutz funktioniert. Dabei genügt es nicht mehr, die Prozesse lediglich im Griff zu haben. Stattdessen ist deren Funktionsfähigkeit aktiv nachzuweisen. Unternehmen sind somit zu jeder Zeit rechenschaftspflichtig. Es herrscht eine grosse Rechtsunsicherheit bei den Gewerbebetrieben wie auch bei einigen Verbänden aufgrund der fehlenden Rechtssicherheit. Vieles ist noch offen, vor allem auch in spezialgesetzlicher Hinsicht. Bei vielen Unternehmungen in Liechtenstein, gibt es daher nach wie vor eine Grosszahl an Fragen, wie der Umsetzung der DSGVO begegnet werden muss. Vor allem auch die Angstmacherei bezüglich der Androhung der markant hohen Sanktionen hat dazu geführt, Geschäftemacher und vermeintliche Datenschutzprofis auf den Plan zu bringen, um die Unternehmen damit unter Druck zu setzen.Aus diesem Grund hätte ich mir, wie bereits in meinem vorigen Votum geäussert, für die Unternehmen und auch Verbände oder Vereine in Liechtenstein vonseiten der Datenschutzstelle mehr Unterstützung und vor allem frühzeitigere Handreichung erwartet, um ihnen diese doch landesweit offensichtlich vorhandene Unsicherheit zu nehmen. Dem uns hier vorliegenden Beschlussentwurf werde ich unter dem Vorbehalt, dass keine inhaltlichen Änderungen bis zur Unterzeichnung mehr vorgenommen werden, meine Zustimmung erteilen. Danke.Landtagspräsident Albert Frick
Vielen Dank.Abg. Thomas Lageder
Besten Dank für das Wort, Herr Präsident. Hier ist sie nun also, die Datenschutz-Grundverordnung. Respektive hier ist sie fast. Denn es handelt sich bei dieser Verordnung, die direkt in Liechtenstein Anwendung findet, um einen Entwurf, den es mittels Vorabumsetzung so schnell wie möglich in den liechtensteinischen Gesetzeskanon zu übernehmen gilt. Das nicht zum Selbstzweck, sondern um für die Unternehmen in Liechtenstein, die grenzüberschreitend tätig sind oder Mitarbeiter/-innen aus dem EWR-Raum beschäftigen, so weit wie möglich Rechtssicherheit zu gewähren. Diese Vorabübernahme soll gerade auch auf Wunsch der Wirtschaftstreibenden stattfinden. Auch Norwegen und Island wählen in ihren Ländern ein analoges Vorgehen, um ein Rechtsgefälle zu vermeiden. In einem zweiten Schritt werden dann über 120 Gesetze - zum Teil umfangreich wie im Falle des Datenschutzgesetzes, zum Teil nur geringfügig - angepasst werden. Daran arbeitet die Regierung mit Hochdruck, wie sie der Aussenpolitischen Kommission in ihrer Sitzung vom 19. April versichert hat. Einen herzlichen Dank dafür. Auch dahingehend, dass eine adäquate und umsichtige Umsetzung durchaus Vorteile für die lokale Wirtschaft bieten kann. Dies trifft ganz besonders auf die in dieser Verordnung möglichen Wahlrechte oder Optionen zu. Nichtsdestotrotz wird die Umsetzung in unser Recht nur schon vom Volumen her, aber auch von der Komplexität der Materie her gesehen ein nicht zu unterschätzender Kraftakt. Dabei wird der Datenschutzstelle eine ganz besondere Rolle zukommen. Auch wird es unabdingbar sein, die Datenschutzstelle, deren Funktion und Aufsichtsaufgaben massgeblich erweitert werden, mit zusätzlichen Ressourcen zu stärken. Diese Diskussion haben wir ja gerade geführt. Auch das wird nicht zum Selbstzweck geschehen, sondern auf ausdrücklichen Wunsch der Wirtschaft, für die es elementar ist, dass es in Liechtenstein eine Anlaufstelle gibt, um die Herausforderungen der DSGVO unkompliziert und kostensparend für die Unternehmen zu adressieren. Das Thema ist dabei in keiner Weise neu, denn die Datenschutzrichtlinie gibt es bereits seit 1995. Doch mit der DSGVO treten wir doch in ein neues Zeitalter ein. Die DSGVO hat nämlich eine exterritoriale Wirkung. Denn auch bei einer Nichtübernahme könnte sich Liechtenstein der Wirkung der DSGVO nicht entziehen, da sie auf alle EU-Bürger trotzdem ihre Wirkung entfalten würde. Eine Vorabumsetzung wird von der Fraktion der Freien Liste befürwortet, da eine möglichst reibungslose Implementierung im Sinne des Standortes Liechtenstein ist. Es gilt bei der DSGVO, möglichst pragmatisch die Vorteile auszunützen. Dies wird die Herausforderung der Umsetzungsgesetzgebung unter Einbezug aller Interessensgruppen sein. Die Fraktion der Freien Liste wird der Vorabumsetzung daher ihre Zustimmung erteilen. Danke.Landtagspräsident Albert Frick
Vielen Dank.Abg. Thomas Rehak
Besten Dank für das Wort. In ein paar Tagen, nämlich am 25. Mai 2018, wird für alle EU-Staaten die DSGVO verpflichtend anwendbar und damit auch für unsere in der EU tätigen Unternehmen. Mit der DSGVO sollen personenbezogene Daten von natürlichen Personen geschützt werden und gleichzeitig Regelungen zum freien Datenverkehr in Kraft treten. Ziel der vorliegenden Grundverordnung ist, dass natürliche Personen die Kontrolle über ihre eigenen Daten behalten. Dabei sollen auch die erheblichen Risiken im Zusammenhang mit der Nutzung des Internets Beachtung finden. Personen müssen ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten gewähren. Diese Einwilligung soll durch eine eindeutige Handlung erfolgen, welche der dafür Verantwortliche zu verwalten hat. Natürliche Personen müssen auch darüber informiert werden, dass ihre personenbezogenen Daten erhoben, verwendet, eingesehen oder anderwärtig verarbeitet werden und zu welchem Zweck und in welchem Umfang diese Daten heute und künftig verarbeitet oder auch übermittelt werden. Auch ist Transparenz zu gewähren, indem alle Informationen und Mitteilungen zur Verarbeitung dieser Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst werden. Weiter verlangt die Transparenz, dass die betroffenen Personen über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet werden. Sollten die Daten für einen anderen Zweck verwendet werden, ist die entsprechende Person ebenso zu informieren. Hierzu bestehen auch Ausnahmen, zum Beispiel dann, wenn der Aufwand für diese Information unverhältnismässig hoch ist. Dazu kommt das Recht von betroffenen Personen auf Berichtigung der personenbezogenen Daten sowie das Recht auf Vergessenwerden. Insbesondere sollten Personen einen Anspruch haben, dass ihre personenbezogenen Daten gelöscht werden können. Personenbezogene Daten werden natürlich auch für die Wahrnehmung einer Aufgabe des öffentlichen Interesses, also dem Staat zum Beispiel, oder in der Ausübung öffentlicher Gewalt oder aufgrund eines berechtigten Interesses des Verantwortlichen oder eines Dritten verarbeitet. Auch hier können betroffene Personen Widerspruch einlegen, allerdings kann der Verantwortliche in diesem Fall versuchen darzulegen, dass seine zwingenden berechtigten Interessen Vorrang vor den Interessen der Grundrechte und Grundfreiheiten der betroffenen Person haben.Die DSGVO soll im Gültigkeitsbereich ein homogenes hohes Datenschutzniveau für natürliche Personen gewährleisten und dabei gleichzeitig Hemmnisse für den Verkehr personenbezogener Daten in der Union beseitigen. Die Verordnung bietet den Mitgliedstaaten einen Spielraum - Öffnungsklauseln heissen die - für länderspezifische Regelungen. Besonders wichtig bei der Umsetzung scheint mir, dass besonders diejenigen Öffnungsklauseln ausgeschöpft werden, welche die kleinen und mittleren Unternehmen entlasten. Ich komme zu den Fragen: Zu Beginn zu den Öffnungsklauseln: Ich bitte die zuständige Ministerin, mitzuteilen, welche Öffnungsklauseln Erleichterungen für die kleinen und mittleren Unternehmen bringen können und welche davon liechtensteinspezifisch umgesetzt werden sollen. Hierzu habe ich leider im Bericht und Antrag nichts Wesentliches gefunden.Dann würde mich auch ganz allgemein interessieren, welche der rund 50 Kann-Öffnungsklauseln bei uns länderspezifisch umgesetzt werden. Dann zu den Behörden und zur Sanktionsthematik: Verstösse gegen Datenschutzbestimmungen werden bei nichtstaatlichen Datenverarbeitern, sprich bei Privaten, mittels Bussen geahndet. Inwieweit ist bei Datenschutzverletzung durch eine Behörde dafür ein Bussensystem angedacht? Das heisst, inwieweit sollen auch Behörden bei Verstössen Bussen zahlen müssen? Werden Behörden bei der Datenschutzverletzung zur Verantwortung gezogen und welche Strafarten - Geldstrafen, Unterlassung, öffentliche Kundmachungen - und Strafhöhen sind vorgesehen? Ist die Datenschutzbehörde für die Wahrung der Datenschutzverletzung von Behörden zuständig oder werden eigene Gremien dafür geschaffen? Dann komme ich zur Zertifizierung: Die DGSVO sieht in Art. 43 die Einrichtung von Zertifizierungsstellen vor. Die Zertifizierungsstellen sind unabhängig von den Befugnissen und Aufgaben der Aufsichtsbehörden. Ist die Einführung von Datenschutzzertifizierungen und Datenschutzsiegeln und -prüfzeichen geplant? Das möchte ich wissen. Führt eine Zertifizierung des Unternehmens zu Haftungsausschlüssen von privaten Unternehmen? Kann eine Zertifizierung die Notwendigkeit der Durchführung einer Datenschutzfolgeabschätzung reduzieren oder gar obsolet machen, oder welche anderen Vorteile soll eine Zertifizierung bringen? Dann komme ich zu Fragen zum Auftragsverarbeiter: Ein Auftragsdatenverarbeiter gemäss Artikel 28 Absatz 3 verarbeitet die Daten für eine natürliche oder juristische Person. Beispielsweise werden damit Daten im Rahmen von Serviceoutsourcing wie Buchhaltung in einer Webapplikation, Nutzung von Cloudspeicherdiensten verarbeitet. Ohne gesetzliche Regelung kann ein Auftragsverarbeiter nur durch Verträge tätig werden. Vor allem für kleine Unternehmen wird dies sehr umständlich oder gar unmöglich, da diese für jede eingekaufte Leistung einen Vertrag bräuchten, in dem Folgendes zu Regeln wäre: Wo und wie die Daten verarbeitet werden, das Durchgriffsrecht und die Entscheidungen über die Verarbeitung beziehungsweise der Löschung.Landtagspräsident Albert Frick
Herr Abg. Rehak, ich unterbreche Sie sehr ungerne. Ich mache mich damit im Allgemeinen ja nicht sehr beliebt, aber das sind alles Detailfragen, die eigentlich die Regierung jetzt nicht beantworten kann. Die sie dann beantworten wird, wenn die entsprechende Datenschutz-Grundverordnung als Bericht und Antrag im Landtag vorliegen wird.Abg. Thomas Rehak
Aber wir müssen sie vorab jetzt genehmigen. Und das sind Fragen, die aus dieser Verordnung kommen. Entschuldigung. Die müssen irgendwo - wenn die nicht verarbeitet wurden, dann hat man die Verordnung nicht gelesen. Also irgendwo muss man dazu Fragen beantworten können. Das sehe ich dann nicht ganz, weil, wenn Sie meine Zustimmung wollen, müssen Sie sich wenigstens irgendetwas zu dieser Verordnung überlegt haben. Sonst tue ich mir schwer.Landtagspräsident Albert Frick
Ich gebe gerne kurz der Regierung das Wort.Regierungsrätin Aurelia Frick
Herr Präsident, Damen und Herren Abgeordnete. Ich kann gerne versuchen, Fragen zu beantworten, die ich beantworten kann. Aber es geht hier um den Prozess der Übernahme in den EWR. Es geht nicht darum, wie wir die Übernahme umsetzen werden. Bei der Umsetzung geht es um die Fragen des Datenschutzgesetzes - also wie setzen wir die einzelnen Artikel um? Das werden wir dann im Juni-Landtag diskutieren anhand einer Vorlage. Ich kann Ihnen beispielsweise im heutigen Zeitpunkt - darf ich das noch kurz ausführen, Herr Präsident? Landtagspräsident Albert Frick
Ja, auf jeden Fall, das muss erklärt sein. Regierungsrätin Aurelia Frick
Im heutigen Zeitpunkt kann ich sagen, dass ich den Landtag mit einer Minimalumsetzung befassen werde. Wir werden nicht über das Ziel hinausschiessen. Für die Öffnungsklauseln haben wir eine Arbeitsgruppe eingesetzt, die sich in den letzten Monaten sehr häufig getroffen hat, die vor allem die Anliegen der Betriebe aufgenommen hat. Aber es sind 120 Spezialgesetze. Ich kann Ihnen heute nicht sagen, welche der Öffnungsklauseln wir genau wie umsetzen werden. Das müssen wir diskutieren, wenn wir die Gesetze vor uns haben. Aber ich kann Ihnen heute sagen, es wird eine Minimalumsetzung sein. Ich höre Ihnen auch gerne zu, aber mir war es ein Anliegen, Ihnen zu sagen, dass wir gemäss Antrag dem Beschlussentwurf des Ausschusses zustimmen. Aber es geht heute nicht um die Umsetzung, sondern darum, dass wir es in den EWR übernehmen. Wie wir es umsetzen, das ist das, was wir dann im Juni-Landtag diskutieren. Aber ich nehme Ihre Fragen sehr, sehr gerne auf. Abg. Thomas Rehak
Besten Dank für das Wort. Ja, wenn Sie meine Fragen nicht hören wollen, dann muss ich sie nicht vortragen. Grundsätzlich habe ich schon verstanden, wie der Prozess ablaufen soll, aber wir sollen ja dieser Übernahme in den EWR heute zustimmen. Eine grobe Abschätzung wäre für mich halt schon wichtig gewesen, wie man es umzusetzen gedenkt, weil ich mir jetzt ziemlich viel angetan habe, diesen Entwurf zu lesen. Ich verstehe dann eben den Unmut der kleinen und mittleren Unternehmen, ich verstehe auch einen gewissen Unmut von grösseren Unternehmen. Ich denke nicht, dass das in der Verantwortung der GPK liegt, sondern diese DSGVO ist, so wie sie daherkommt, eben sehr schwierig zu interpretieren. Darum verstehe ich Sie schon, wenn Sie mir jetzt diese Fragen nicht alle beantworten können - ich erwarte es auch nicht. Aber ich erwarte es dann eben auf den Juni-Landtag. Wenn Sie die Fragen nicht kennen und ich im Juni-Landtag mit diesen Fragen komme und Sie ein Eintreten erwarten, dann müssen Sie es dann ad hoc beantworten können. Ich glaube, das wird für Sie schwierig werden. Wenn Sie wollen kann ich sie Ihnen dann auch per E-Mail zukommen lassen, weil sonst finde ich es fast schade um meine Arbeit. Aber wenn ich Sie langweile, dann möchte ich Ihnen das natürlich nicht antun. Aber ich verstehe den Unmut der Unternehmen, wenn sie hier eine Verordnung bekommen, die rund 120 Seiten umfasst und welche sehr schwer zugänglich ist. Und man eigentlich die Umsetzung von dieser Verordnung zu regeln hat. Es gibt Möglichkeiten dazu, dass hier die Datenschutzstelle bestimmte Regelungen und Beratungen anbieten kann. Aber auch im Sinne von der Zertifizierung, es ist eben schon interessant, ob wir Zertifizierungsstellen haben sollen oder nicht, ob das alles die Datenschutzstelle machen wird oder ob man hier Private damit beauftragen will, gewisse Zertifizierungen durchzuführen. Das ist doch relevant. Auch wenn die Datenschutzstelle zu uns kommt in die GPK oder wohin auch immer und hier einen Antrag bringt und mehr Personal will, dann möchte ich von der Datenschutzstelle wissen, ob sie hier die rechtlichen Möglichkeiten ausschöpft und auch Privaten und Dritten Rechte einräumt oder Pflichten auferlegt, hier die Datenschutzgrundverordnung zum Beispiel zu zertifizieren, und was die Folgen daraus sind. Das ist doch relevant. Sonst machen wir Dinge doppelt oder wir machen Dinge, die es eben dann nicht braucht. Ich verstehe aber auch, dass es nicht ganz einfache Kost ist, aber das ist mit vielen Dingen so, welche wir aus dem EWR übernehmen. Danke.Landtagspräsident Albert Frick
Vielen Dank.Abg. Daniel Seger
Vielen Dank für das Wort, Herr Präsident. Sehr geehrte Damen und Herren Abgeordnete. Mit dem vorliegenden Bericht und Antrag gelangt die Regierung an den Landtag und wünscht die Zustimmung des Landtags zum Beschlussentwurf des Gemeinsamen EWR-Ausschusses betreffend die Übernahme der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) - unter dem Vorbehalt, dass keine inhaltlichen Änderungen bis zur Unterzeichnung mehr vorgenommen werden. Begründet wird der Antrag zusammengefasst damit, dass die Datenschutz-Grundverordnung ab dem 25. Mai 2018 für die EU-Staaten verpflichtend unmittelbar, somit ohne Umsetzungsakt, anwendbar ist. Mit der Übernahme der DSGVO in den EWR wird die Datenschutzrichtlinie auch im EWR von der DSGVO abgelöst und auch in Liechtenstein unmittelbar anwendbar sein. Die DSGVO befindet sich zurzeit im Übernahmeverfahren in das EWR-Abkommen. Die DSGVO wird in Liechtenstein durch eine Totalrevision des Datenschutzgesetzes ergänzt. Weiter werden zahlreiche Spezialgesetze hinsichtlich Datenschutzbestimmungen angepasst. Vorliegend haben wir es lediglich mit einem Beschlussentwurf zu tun, dem wir mit einem Vorbehalt zustimmen sollen. Dies mag auf den ersten Blick befremdlich wirken, doch aufgrund des ausdrücklichen Wunsches der liechtensteinischen Unternehmen soll die DSGVO möglichst ohne Verzögerungen in das EWR-Abkommen übernommen werden. Deshalb wurde dem Landtag ein finaler Entwurf vorgelegt. Geringfügige Veränderungen technischer Natur können sich noch ergeben. Falls solche Veränderungen vorgenommen werden, wird der Landtag beziehungsweise die EWR-Kommission entsprechend informiert werden und es kann dann entschieden werden, ob der Landtag sich damit erneut befassen soll. Auf diese Weise wird sichergestellt, dass der EWR-Übernahmebeschluss am Tag nach seiner Unterzeichnung im Gemeinsamen EWR-Ausschuss in Kraft treten kann. Der Gemeinsame EWR-Ausschuss wird sich voraussichtlich noch Mitte Mai damit befassen. Mit der DSGVO soll der Datenschutz verschärft werden und sollen Unternehmen von Wettbewerbsgleichheit, beispielsweise durch das One-Stop-Shop-Prinzip, profitieren können. Es wird damit ein einheitliches Regelwerk geschaffen, das Unternehmen die Geschäftstätigkeit im gesamten Binnenmarkt erleichtern und somit Kosten und Aufwendungen reduzieren will. Wegen der in der DSGVO vorgesehenen Öffnungsklauseln und Sanktionsmöglichkeiten ergibt sich Rechtssetzungsbedarf in Liechtenstein. Es wurde bereits definiert, von welchen Öffnungsklauseln Liechtenstein Gebrauch machen wird. Entsprechend wird eine Totalrevision des Datenschutzgesetzes ausgearbeitet und zeitnah - wie wir gehört haben, wohl im Juni-Landtag - zu behandeln sein. Rezeptionsvorlage ist das deutsche Bundesdatenschutzgesetz. Mit der DSGVO werden die Grundsätze zum Schutz der Privatsphäre aktualisiert und modernisiert. Der Einzelne erhält mehr Kontrolle über seine personenbezogenen Daten und kann leichter auf diese Daten zugreifen. Die Daten sollen in einer stark vernetzten Welt besser geschützt werden, unabhängig davon, wohin sie übermittelt, wo sie verarbeitet oder gespeichert werden. Wenn ein Bürger nicht will, dass seine Daten verarbeitet werden, so müssen die Daten gelöscht werden, wenn kein berechtigter Grund für deren Speicherung vorliegt. Der räumliche Anwendungsbereich erstreckt sich über die EU-Mitgliedstaaten hinaus. Die Datenschutzstelle, so ist dem Bericht und Antrag zu entnehmen, wird aufgrund der DSGVO neue und veränderte Kernaufgaben erhalten. Wegen des Mehraufwandes, der sich zumindest aus dem Bericht und Antrag noch nicht konkret beziffern liess, wird die DSGVO den personellen und finanziellen Aufwand erhöhen. Wir haben nun vorhin gehört, dass es sich um 350 Stellenprozente handelt, wobei eigentlich nur 150 auf die DSGVO zurückgehen. Ja, somit wird die Aufsicht über Unternehmen und Behörden aufwendiger und umfassender werden. Besten Dank.Landtagspräsident Albert Frick
Vielen Dank.Abg. Manfred Kaufmann
Besten Dank für das Wort, sehr geehrter Herr Präsident. Sehr geehrte Frauen und Herren Abgeordnete. Die vorliegende Gesetzesvorlage dient der Durchführung der Datenschutz-Grundverordnung (EU) 2016/679 vom 27. April 2016, welche die Datenschutzrichtlinie 95/46/EG ablöst. Die Anpassung der Datenschutzgesetzgebung erfolgt insbesondere vor dem Hintergrund, dass unter Berücksichtigung der digitalen Entwicklungen die Regelungen EU-weit angepasst und vereinheitlicht werden. Dadurch soll die Rechtssicherheit verbessert sowie das Vertrauen der Bürger und Unternehmen in den digitalen Binnenmarkt gestärkt werden. Bekanntlich befindet sich die Datenschutz-Grundverordnung noch im Übernahmeverfahren in das EWR-Abkommen. Aufgrund des ausgeweiteten räumlichen Anwendungsbereiches, dem Marktortprinzip, entfaltet die Datenschutzgrundverordnung jedoch bereits ab dem 25. Mai 2018, auch im Fall einer noch nicht stattgefundenen Übernahme in das EWR-Abkommen, für alle Unternehmen, die in der Europäischen Union tätig sind, weitreichende Wirkung, wenn sie personenbezogene Daten verarbeiten. Dies betrifft insbesondere auch die liechtensteinischen Unternehmen, die grenzüberschreitend tätig sind und in diesem Zusammenhang ausreichende Rechtssicherheit benötigen. Ich unterstütze deshalb die Bestrebungen der liechtensteinischen Regierung, die Datenschutz-Grundverordnung möglichst ohne Verzögerung in das EWR-Abkommen zu übernehmen. Ergänzend möchte ich jedoch festhalten, dass aufgrund der in der Datenschutz-Grundverordnung enthaltenen Öffnungsklauseln aktuell das Datenschutzgesetz sowie eine Reihe von Spezialgesetzen überarbeitet werden. Das Inkrafttreten des revidierten Datenschutzgesetzes sowie der damit verbundenen Spezialgesetze ist gemäss aktuellem Zeitplan frühestens im November 2018 zu erwarten. Für die liechtensteinischen Marktteilnehmer ist es daher wesentlich, dass gleichzeitig mit der EWR-Übernahme der Datenschutz-Grundverordnung ein Gap-Gesetz in Kraft tritt, welches der Datenschutzstelle im Zeitraum zwischen EWR-Übernahme der Datenschutz-Grundverordnung und Inkrafttreten des revidierten Datenschutzgesetzes die erforderlichen Kompetenzen einräumt und die Streichung der Anwendbarkeit des Datenschutzgesetzes auf die juristischen Personen vorsieht. Der Bericht und Antrag zum Gap-Gesetz sollte im Juni-Landtag behandelt werden. Ebenfalls ist trotz des engen Zeitplanes zur Revision des Datenschutzgesetzes zu beachten, dass das revidierte Datenschutzgesetz sowie die datenschutzrechtlichen Bestimmungen in den Spezialgesetzen, welche ebenfalls im Juni-Landtag behandelt werden sollen, im Gesamtkontext und unter Beachtung ihrer Wechselwirkung überprüft und angepasst werden. Dabei sollen im Rahmen der Öffnungsklauseln die Anliegen der betroffenen Marktteilnehmer ausreichend berücksichtigt werden. Aufgrund meiner Ausführungen werde ich der gegenständlichen Vorlage meine Zustimmung erteilen. Besten Dank.Landtagspräsident Albert Frick
Vielen Dank.Abg. Thomas Vogt
Danke, Herr Präsident, für das Wort. Ich habe vorerst nur eine kleine Frage. Ab wann ist diese Datenschutz-Grundverordnung unmittelbar für welchen örtlichen Bereich anwendbar? Dann stellen sich für mich aufgrund der Antwort dann noch verschiedene Folgefragen. Danke.Landtagspräsident Albert Frick
Vielen Dank.Abg. Thomas Rehak
Besten Dank. Ich komme noch einmal, ich kann mir jetzt zwei Fragen trotzdem nicht verkneifen. Gemäss Art. 40 in dieser Grundverordnung können Verhaltensregeln aufgestellt werden. Hier interessiert mich, welche von der Aufsichtsbehörde dann überprüft und genehmigt werden können. Genau diese Verhaltensregeln, das ist einfach auch wichtiger Punkt für die kleinen und mittleren Unternehmen, auch für die grossen zum Teil. Bis wann können die Unternehmen mit solchen Verhaltensregeln rechnen? Ich denke, das ist eine einfache Frage, die sollte man beantworten können. Zum Schluss noch eine Bemerkung für die Politik, wenn Sie die Randziffer 56 gelesen haben: Auf der Seite 11 in dieser Verordnung, dort heisst es, dass «Parteien im Zusammenhang mit Wahlen personenbezogene Daten über die politische Einstellung von Personen sammeln» können, sofern dies im Mitgliedstaat für das Funktionieren von demokratischen Systemen erforderlich ist. Diese Verarbeitung kann aus Gründen des öffentlichen Interesses zugelassen werden. Das ist doch spannend - nicht? Danke.Landtagspräsident Albert Frick
Vielen Dank.Stv. Abg. Peter Wachter
Danke, Herr Präsident. Ich möchte mir eine Anmerkung erlauben über einen Aspekt, der für mich eigentlich zu kurz kommt. Es geht hier, wie aus dem Bericht und Antrag hervorgeht, vor allem um den Schutz der persönlichen Daten. Also jeder von uns, der in der letzten Zeit erlebt hat, welche Schindluderei mit persönlichen Daten betrieben wird, müsste eigentlich froh sein, dass es eine europäische, harte Verordnung gibt, wie Unternehmen mit diesen Daten umgehen können und dürfen. Daten kennen nun einmal keine Grenzen, also ist eine europäische Verordnung absolut wichtig und zu begrüssen. Danke.Landtagspräsident Albert Frick
Vielen Dank.Regierungsrätin Aurelia Frick
Herr Präsident, Damen und Herren Abgeordnete. Mir ist es nochmals zu Beginn wichtig, darauf hinzuweisen, was ich das Gefühl habe, um was es in diesem Bericht und Antrag geht. Es geht um einen Übernahmebeschluss. Zu einem Übernahmebeschluss kann der Landtag Ja oder Nein sagen. Sehr gerne, soweit es mir möglich ist, werde ich Fragen beantworten, das mache ich gerne. Ich glaube, Sie haben mich falsch verstanden, ich habe gesagt, ich interessiere mich für Ihre Fragen, Herr Abg. Rehak. Ich hoffe, Sie schicken mir die Fragen. Ich möchte diese auch gerne im Vorfeld mit Ihnen besprechen und klären. Ich hoffe, Sie machen das, ich schicke Ihnen auch gerne nochmals eine persönliche Einladung. Aber ich hoffe, ich habe mich hiermit genügend deutlich ausgedrückt. Ich habe es vorhin schon getan. Es ist wichtig, dass wir in einem engen Austausch stehen. Aber ich glaube auch, dass es für den Hohen Landtag wichtig ist, dass wir unter den richtigen Traktanden die richtigen Sachen diskutieren. Hier geht es um einen Übernahmebeschluss. Es geht darum - wir können Ja oder Nein sagen -, ob diese DSGVO in den EWR übernommen wird oder nicht. In Norwegen und Island sieht das Prozedere etwas anders aus. Aber bei uns ist das Prozedere so, sobald der Landtag dieser Übernahme zugestimmt hat und die anderen beiden Staaten das auch gemacht haben und die EU dieser Joint Committee Decision die Zustimmung erteilt, dann kann die DSGVO bei uns in Kraft treten.Hier komme ich gleich auf die Antwort der Frage des Abg. Thomas Vogt. Sie haben mich gefragt, Sie hätten eine kleine Frage, nämlich wann die DSGVO in Kraft treten wird. Die DSGVO wird am 25. Mai für die EU in Kraft treten und für die EWR-Staaten sobald der Übernahmebeschluss aktiviert wird, also wenn wir hier zustimmen und die anderen Länder das auch gemacht haben. Wir rechnen damit, dass das Mitte Juli stattfinden wird. Aber das genaue Datum kann ich Ihnen heute nicht geben, weil wir nicht wissen, wie der Prozess in Norwegen und Island ist. Wir haben es unter dem vorherigen Traktandum bereits einmal diskutiert, dass wir in engem Kontakt sind. Wir sind sowohl mit Brüssel wie auch mit Reykjavik und Oslo in ganz enger Abstimmung, damit wir möglichst früh ein genaues Datum haben, wann er in Kraft tritt. Uns ist eine zeitnahe Inkraftsetzung des EWR-Beschlusses wichtig. Die meisten unserer Unternehmen müssen die DSVGO ab dem 25. Mai anwenden. Also eine Hilti oder auch eine Bäckerei, die in den EU-Raum liefert, muss die DSGVO anwenden; und bei uns ist sie dann noch nicht in Kraft. Darum setzen wir alle politischen Mittel ein, die uns zur Verfügung stehen. Ich bin übrigens persönlich nach Brüssel gereist, mittlerweile ist es vielleicht zwei Monate her, um auch noch einmal in Brüssel darauf hinzuwirken, damit Brüssel sensibilisiert ist, dass es für unsere Unternehmen schwierig ist, wenn wir zwei parallele Gesetzgebungen nebeneinander haben. Hiermit hoffe ich, dass ich diese Frage nun deutlich beantwortet habe.Dann möchte ich noch ganz kurz auf die Abg. Gunilla Marxer-Kranz eine Antwort geben. Ich möchte einfach sicherstellen, mir scheint hier, dass ich etwas falsch verstanden werde, dass wir im Juni-Landtag das Datenschutzgesetz behandeln werden. Also nicht im November-Landtag. Es ist mir wichtig, also vor der Sommerpause werden wir das im Landtag haben. Ich möchte einfach nicht, dass hier noch offene Fragen sind.Ich habe mir noch aufgeschrieben, dass jemand gefragt hat, wie viele Spezialgesetze es sind. Es sind 120 Spezialgesetze. Dann komme ich auf einige Fragen, die wir vor allem dann auch im Juni diskutieren werden, aber auf die ich im heutigen Zeitpunkt in einer ein bisschen übergeordneten Art und Weise sicher einige Antworten geben kann. Herr Abg. Thomas Rehak, Sie haben gefragt, wie es mit den Öffnungsklauseln steht. Wir werden das im Juni-Landtag behandeln. Ich habe Ihnen vorhin gesagt, wir werden eine Minimalumsetzung anstreben. Wir werden dem Landtag im Vorfeld zur Landtagsdiskussion eine Liste zukommen lassen, aus der Sie sehen, was eine Öffnungsklausel ist und wie wir innerstaatlich mit dieser Öffnungsklausel umgehen. Diese Liste ist bereits in Bearbeitung und der Plan ist, dass Sie das nicht am Tag vor dem Landtag, sondern rechtzeitig vor der Landtagssitzung bekommen, damit der Hohe Landtag auch ordentlich Zeit hat, sich mit diesen Öffnungsklauseln zu befassen.Dann haben Sie die Frage gestellt, was mit den Sanktionen ist, ob die Behörden selber auch gebüsst werden. Wir haben nicht vorgesehen, dass der Staat selber büsst, weil wenn wir dann als Staat eine Busse aussprechen, würden wir ja uns, dem Staat, sozusagen selber eine Busse bezahlen. Es ist also nicht vorgesehen, dass die Behörden selber auch gebüsst werden. Dann haben Sie noch die Frage gestellt, wie es mit den Zertifizierungsstellen geplant ist. Das ist in Artikel 43 der Richtlinie drin geregelt. In Artikel 43 Absatz 1 Buchstaben a und b unten dran. Bei uns ist die Zertifizierungsstelle auch in Zukunft gemäss Vorschlag, den wir im Juni-Landtag dann diskutieren werden, das AVW. Das ist übrigens auch bereits heute das AVW. Eine Zertifizierungsstelle ist eine Organisation, welche eine Zertifizierung in bestimmten Bereichen, beispielweise in Industrieservices oder Managementsystemen, durchführt. Und bei der Bestehung einer Prüfung stellt sie ein entsprechendes Zertifikat oder ein anderes Kennzeichen für das Bestehen dieses Prozesses aus. Ich habe bei mir keine weiteren Fragen mehr notiert.Landtagspräsident Albert Frick
Vielen Dank.Abg. Thomas Rehak
Besten Dank der zuständigen Ministerin für die Beantwortung der Fragen. Ja, ich kann Ihnen bestätigen oder kann Ihnen zusichern, dass ich Ihnen gerne den Fragenkatalog zuschicken werde. Sie haben gesagt, das wäre ja nur ein Übernahmebeschluss in den EWR, was ich verstanden habe. Aber wenn wir diesen Beschluss tätigen, dann bedeutet er für uns auch, dass wir ihn ins öffentliche Recht bei uns übernehmen müssen. Wir haben dann keine Wahl mehr. Ich habe auch verstanden, dass wir das dann in einer Minimalumsetzung versuchen werden. Dann bezüglich Bussen bin ich nicht ganz einverstanden mit Ihnen. Sie sagen ja, der Staat kann sich ja nicht selber eine Busse geben. Das ist ja eben eine unabhängige Stelle, die Datenschutzstelle muss unabhängig sein. Die Bussen werden aus meiner Sicht von der Datenschutzstelle ausgesprochen oder würden verhängt werden, so habe ich es zumindest verstanden. Sonst, wenn das anders wäre, müssen Sie es mir sagen. Deshalb könnte ja auch der Staat einem Bussenkatalog unterstellt werden. Sonst ist ja die ganze Datenschutz-Grundverordnung für viele personenbezogene Daten obsolet in meinen Augen, wenn das nur private Unternehmen machen müssen. Eine Schule zum Beispiel, wie diese mit diesen Daten umgeht - wenn es da überhaupt keinen Bussen- und Sanktionskatalog gibt, ja, dann ist das für den Papierkorb für die Schule. Dann kann die dann damit machen, was sie gern will. Auch die Gerichte, denke ich, müssen sorgsam mit personenbezogenen Daten umgehen. Und wenn wir es schon machen, denke ich, müsste auch der Staat sich zumindest an gewisse Dinge halten, welche man aber auch in einen Spezialgesetz regeln könnte. Das ist aber meine persönliche Ansicht. Danke. Nein, etwas habe ich noch, Entschuldigung, habe ich vergessen. Zu den Geldbussen, Artikel 83 Absatz 9, da müssen ja bis zum 25. Mai die Mitgliedstaaten die Rechtsvorschriften an die Kommission mitteilen, welche Rechtsvorschriften bezüglich Bussen gelten sollen. Ich weiss nicht, werden wir diese Frist einhalten können? Da müssten Sie ja etwas melden, was wir ja noch nicht behandelt hätten. Deshalb habe ich mir auch erlaubt, diese Fragen zusammenzustellen. Da gibt es in der Verordnung einen fixen Termin, das ist der 25. Mai 2018; und da müssen gemäss Artikel 83 Absatz 9 die Mitgliedstaaten melden, welche Rechtsvorschriften sie bezüglich Bussen anwenden werden. Ich denke, das ist für uns schon auch noch relevant, welche Bussen dann gesprochen werden sollen. Danke.Landtagspräsident Albert Frick
Vielen Dank.Abg. Thomas Vogt
Danke, Herr Präsident, für das Wort. Danke, Frau Justizministerin, für Ihre Ausführungen und vor allem für die Beantwortung meiner kleinen Frage, die Sie sehr konkret beantwortet haben. Soweit ich Sie verstanden habe: Für den EU-Raum gilt diese Verordnung ab dem 25. Mai. Für den EWR-Raum wissen wir es noch nicht, aber wir gehen davon aus, dass das ungefähr Mitte Juli sein wird. Sie nicken, also gehe ich davon aus, ich habe es so richtig verstanden. Dann haben Sie ausgeführt: Jawohl, es ist ja nur ein Übernahmebeschluss - wieso überhaupt die Diskussionen? Es ist jetzt halt doch ein Unterschied zu einer anderen Vorlage, weil diese jetzt halt ab 25. Mai für den EU-Raum unmittelbar anwendbar ist - und somit auch für uns unmittelbar anwendbar. Das bringt mich dann zum Beispiel, wie den Abg. Rehak, auf die Bestimmung des Artikel 83 dieser Datenschutz-Grundverordnung, wo die Strafen aufgelistet sind. Da steht, die Aufsichtsbehörde kann Strafen bis zu EUR 20 Mio. oder 4% des gesamten weltweiten erzielten Jahresumsatzes als Strafe verhängen, je nachdem, was höher ist. Meine Frage ist jetzt: Kann die Aufsichtsbehörde - ich gehe ebenfalls davon aus, dass dies die Datenschutzstelle sein soll, weiss es aber ehrlich gesagt nicht -, kann jetzt die Datenschutzstelle ab dem 25. Mai Strafen in der genannten Höhe erteilen - unmittelbar aufgrund dieser Datenschutzverordnung?Landtagspräsident Albert Frick
Vielen Dank.Regierungsrätin Aurelia Frick
Ich möchte gerne mit den Bussen und der letzten Frage anfangen. Die Bussen werden auf Antrag der Datenschutzstelle ausgesprochen, das sieht die Gesetzesvorlage im Moment so vor. Bei uns werden die Gesetze schlussendlich für das Festlegen der Höhe der Busse zuständig sein. Vielleicht noch an Sie, Herr Abg. Rehak, die staatlichen Stellen bleiben ja nicht unsanktioniert, wenn sie einfach keine Busse bekommen. Wenn sie sich nicht an die Gesetze halten, dann wird einfach keine Geldstrafe verhängt. Aber es gibt ja andere Sanktionsmöglichkeiten, je nachdem, welche Institution es ist. Also sämtliche staatlichen Institutionen müssen sich ja an die Gesetze halten. Sonst hätten wir bei uns im Land wahrscheinlich ein gröberes Problem. Wenn Sie noch irgendwie sagen, die Datenschutzstelle ist ja unabhängig und darum soll sie schon Geld aussprechen können. Aber wenn wir den Budgetplan vor uns haben, ist es ja dann doch irgendwo im Budgetplan drin. Ich kann ja dann als Regierungsmitglied nicht einfach sagen, die Datenschutzstelle bekommt jetzt kein Geld mehr, weil sie unabhängig ist. Aber es ist unser Steuergeld, das in diesem Budgetplan irgendwo abgebildet wird. Nochmals zu der Busse: Für uns muss zuerst der Übernahmebeschluss in Kraft treten, erst dann können wir Bussen aussprechen. Bei uns, weil wir a) kein EU Mitgliedstaat sind und b) der Übernahmebeschluss noch nicht vorliegt, ist es für uns bis zum 25. Mai noch nicht relevant. Sonst würden wir nämlich die Hoheit des Hohen Landtages umgehen, wenn wir schon etwas melden würden und der Übernahmebeschluss wäre noch gar nicht vonstattengegangen. Etwas möchte ich noch kurz klarstellen, es hat jetzt gerade vorhin in der Diskussion geheissen, ab dem 25. Mai sei dann die DSGVO bei uns einfach unmittelbar anwendbar. Das ist nicht ganz korrekt. Jetzt bin ich etwas spitzfindig: Für unsere Unternehmen, die international exponiert sind, ist es natürlich anwendbar. Aber es ist in ihrem Interesse. Von daher kommt eben gerade auch der grosse Druck, dass wir hier Gas geben und das übernehmen - weil wir sonst keine federführende Behörde bei uns haben. Also unsere Unternehmen wollen es anwenden, sie wollen so rasch wie möglich eine federführende Behörde in Liechtenstein bestimmt haben. Aber es ist nicht automatisch anwendbar. Wir müssen es zuerst übernehmen. Es ist mir ganz wichtig, dass das klar ist, also am 25. Mai passiert bei uns juristisch gesehen im Land nichts. Nur, unsere Unternehmen, die international exponiert sind, tun gut daran, bereits alles umzusetzen, damit sie mit EU-Recht kompatibel sind. Und ich möchte noch einmal betonen, der grosse Druck kommt schon von unseren grossen Unternehmen, weil sie natürlich schon seit Monaten am Umsetzen sind und sagen: Wir sind jetzt parat, wir brauchen diese federführende Behörde, sonst sind wir mit dem Standort Liechtenstein in einem Nachteil. Landtagspräsident Albert Frick
Vielen Dank. Herr Abg. Thomas Rehak, bevor ich Ihnen das Wort erteile, möchte ich nur noch einmal ganz klarstellen, dass es mir keineswegs darum ging, Ihnen irgendwie das Wort zu entziehen, sondern wirklich nur darum, festzuhalten, dass das nicht etwa eine Vorlage von mir ist, sondern eine Vorlage der Regierung. Ich wurde von der Regierung darauf aufmerksam gemacht, dass es sehr schwierig ist, in dieser Phase, wo es nur darum geht, die Verordnung in den EWR zu übernehmen, Fragen zu beantworten, und dass dies in der Phase, wenn die Umsetzung in nationales Recht erfolgt, passender wäre. Aber ich glaube, es findet langsam eine Verständigung statt. Und ich möchte Sie auch einladen Ihre Fragen, damit Ihre Arbeit keineswegs umsonst war, der Regierung zukommen zu lassen. Und jetzt möchte ich Ihnen das Wort erteilen.Abg. Thomas Rehak
Besten Dank für diese klärenden Worte. Ja, dann vielleicht eine Frage, welche Sie gerade angesprochen haben, Frau Regierungsrätin Frick, ist das Thema der federführenden Aufsichtsbehörde. Ist es dann sichergestellt, dass wir auch tatsächlich eine federführende Aufsichtsbehörde werden können? Oder sind wir das schon? Das ist die erste Frage. Dann die zweite noch einmal wiederholt: Der Art. 83 - «Allgemeine Bestimmungen für die Verhängung von Geldbussen» -, da steht eben im Absatz 9 wortwörtlich: «Die betreffenden Mitgliedstaaten teilen der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften mit, die sie aufgrund dieses Absatzes erlassen ...» Haben wir das schon gemacht oder können wir das zeitnah tun oder wird man diese Frist verstreichen lassen müssen, bis wir eine Entscheidung dazu getroffen haben? Das war meine Frage. Oder ist das irgendwie abgestimmt, was passiert, wenn wir uns an diese Frist nicht halten können oder wollen? Danke.Landtagspräsident Albert Frick
Vielen Dank. Abg. Thomas Vogt
Danke, Herr Präsident, für das Wort. Danke, Frau Justizministerin, für Ihre Konkretisierungen. Habe ich Sie jetzt richtig verstanden, dass beispielsweise der Strafenkatalog oder die Strafbestimmung des Artikel 83 in Liechtenstein nicht unmittelbar anwendbar ist ab dem 25. Mai 2018?Landtagspräsident Albert Frick
Vielen Dank.Abg. Wendelin Lampert
Besten Dank, Herr Präsident, für das Wort. Ja, dieser Artikel 83 scheint Diskussionspotenzial zu haben. Es wundert mich nicht, wenn man sich den Titel ansieht. Ich wollte es eigentlich erst im Juni-Landtag sagen, aber mir wurde von kompetenter Stelle mitgeteilt, dass zum Beispiel Österreich das wie folgt regelt, dass man sagt, in einer ersten Phase spricht man lediglich eine Verwarnung aus und erst bei einem zweiten Verstoss findet dann dieser Artikel 83 Anwendung. Österreich ist ja ein EU-Mitgliedstaat, hat diese Richtlinie beziehungsweise Verordnung mit beschlossen. Also wenn sich Österreich diesen Freiraum nehmen kann, dass man in einer ersten Phase lediglich eine Verwarnung ausspricht und erst beim zweiten Verstoss eine Busse, dann gehe ich davon aus, dass wir das dann auch so machen werden. Aber da sind wir jetzt bereits im Juni-Landtag. Aber das wollte ich jetzt doch noch präzisieren. Dann noch zur Frage betreffend Artikel 83 Absatz 9. Ja, das ist eine EU-Verordnung und diese Mitgliedstaaten, die hier gemeint sind, sind die EU-Mitgliedstaaten und eben nicht die EWR-Mitgliedstaaten. Für den EWR tritt das erst in Kraft, wenn dann alle drei EWR-Mitglieder hierzu auch ihr Okay gegeben haben. Wir haben es ja von der Frau Justizministerin gehört, das wird dann circa irgendwo Mitte Juli sein, wenn ich es richtig verstanden habe. Ansonsten müssten Sie das korrigieren. Wie gesagt, das ist eine EU-Verordnung, dieser Artikel 83 Absatz 9 gilt für die EU-Mitgliedstaaten, und die Kommission, das gilt auch für die EU-Mitgliedstaaten. Wir sind eben im EWR und deshalb, denke ich mir, ist das der relevante Unterschied, dass die EWR-Staaten das eben erst verzögert umsetzen. Wir haben einfach das Dilemma: Unsere Exportwirtschaft, die in den EU-Raum exportiert, ist eben ab dem 25. Mai von dieser Sache betroffen, und deshalb kommt auch der Druck aus diesen Bereichen, der natürlich verständlich ist. Wie gesagt, für uns EWR-Mitgliedstaaten wird das im Grundsatz erst verspätet in Kraft treten. Nur nützt das unseren exportorientierten Unternehmungen reichlich wenig, denn sie sind ab dem 25. Mai dieser Datenschutz-Grundverordnung unterstellt.Landtagspräsident Albert Frick
Vielen Dank.Regierungsrätin Aurelia Frick
Der Abg. Wendelin Lampert hat einige Fragen beantwortet, ich bedanke mich ganz herzlich. Ich sage nur ganz kurz nochmals etwas zu dieser federführenden Behörde, diese Frage wurde noch gestellt. Die federführende Behörde und deren Zuständigkeit ist eben genau Teil dieses Gap-Bericht-und-Antrags, der 20 Seiten haben wird. Dann ist nämlich die Datenschutzstelle, also wenn das der Landtag dann auch so verabschiedet, als federführende Behörde bestimmt und wird auch so agieren können. Das ist der Plan.Landtagspräsident Albert Frick
Vielen Dank.Abg. Thomas Vogt
Danke, Herr Präsident, für das Wort. Ich habe noch zum Artikel 83 eine Frage gestellt. Ich habe gefragt, ob diese Bestimmung ab dem 25. Mai, falls ein Unternehmen im EU-Raum tätig ist, hier unmittelbar anwendbar ist. Also kann eine/die Aufsichtsbehörde gemäss dieser Bestimmung ab dem 25. Mai Strafen aussprechen oder nicht?Landtagspräsident Albert Frick
Vielen Dank.Regierungsrätin Aurelia Frick
Ich hatte das Gefühl, der Abg. Wendelin Lampert hat diese Frage beantwortet. Ich versuche nochmals einen Erklärungsversuch. Unsere Unternehmen sind parat für den 25. Mai, wenn sie eine EU-Exponierung haben, weil eine ausländische federführende Behörde ein Unternehmen in Liechtenstein theoretisch sanktionieren könnte, wenn es sich nicht mit der EU-Datenschutzverordnung kompatibel verhält. Aber sie wird nicht bei uns in Kraft treten, sondern, ich sage, ein Liechtensteiner Unternehmen, das in Deutschland tätig ist und sich nicht an die Datenschutzgrundverordnung hält, kann gebüsst werden, weil es im EU-Raum exponiert ist. Aber natürlich wird der Artikel 83 und die DSGVO erst mit Übernahme in den EWR bei uns aktiviert.Landtagspräsident Albert Frick
Vielen Dank.Abg. Thomas Vogt
Danke, Herr Präsident, für das Wort. Danke, Frau Justizministerin, für Ihre Ausführungen. Ich gehe davon aus bei dem von Ihnen beschriebenen Sachverhalt, dass diese Gesellschaft dann von der ausländischen Aufsichtsbehörde gebüsst werden kann. Meine Frage ist einfach: Kann die liechtensteinische Aufsichtsbehörde jetzt ab dem 25. Mai diesen Strafenkatalog gemäss Artikel 83 hier in Liechtenstein anwenden?Landtagspräsident Albert Frick
Vielen Dank.Regierungsrätin Aurelia Frick
Die Antwort auf Ihre Frage lautet: Nein.Landtagspräsident Albert Frick
Damit scheint sich die Diskussion - nicht - zu erschöpfen.Abg. Thomas Rehak
Es tut mir leid, ich muss meine Frage wiederholen: Zum Artikel 40 noch einmal, das ist für mich wichtig für unsere kleinen und mittleren Unternehmen. Die grossen Unternehmen haben sich anscheinend selbst beholfen, diese Grundverordnung umzusetzen. Aber für die kleinen und mittleren Unternehmen ist es wichtig, bis wann sie mit Verhaltensregeln gemäss Artikel 40 rechnen können. Oder ob die Aufsichtsbehörde, sprich die Datenschutzkommission, sich darüber Gedanken gemacht hat, bis wann sie oder ob sie überhaupt solche Verhaltensregeln herausgeben will und bis wann man solche Verhaltensregeln zur Verfügung hat. Vielleicht weiss man es noch nicht, aber dann könnte man wenigstens sagen: Ja, wir arbeiten daran, wir werden Verhaltensregeln erstellen. Oder man kann sagen: Nein, es ist nicht gedacht, dass wir Verhaltensregeln aufstellen. Oder man weiss es heute noch nicht. Aber ich wäre froh um irgendeine Antwort, ich denke auch, die, die mithören, würde das interessieren. Das könnte nämlich zumindest einen gewissen Horizont geben, bis wann man gewisse Verunsicherungen vielleicht eliminieren könnte. Danke.Landtagspräsident Albert Frick
Vielen Dank.Regierungsrätin Aurelia Frick
Herr Präsident. Ich kann Ihnen zu den Verhaltensregeln sagen, was ich aus den Diskussionen und teilweise aus meiner Teilnahme an den Arbeitsgruppensitzungen und den Gesprächen bei mir im Büro weiss. Ich hatte immer das Gefühl, dass man an der Ausarbeitung dieser Verhaltensregeln bereits am Arbeiten ist. Ich gehe auch davon aus, dass es im Interesse der Datenschutzstelle ist, dass es solche geben wird. Aber ich kann Ihnen weder einen Zeitplan geben oder irgendetwas. Ich habe immer das Gefühl ich hätte gehört, dass die Datenschutzstelle angeregt hat, dass sie auch den einzelnen Verbänden hilft, diese auszuarbeiten, und diese zu unterstützen, wenn diese das möchten. Aber ich kann Ihnen keinen Zeitplan dazu geben, werde das aber sicher noch einmal in die Datenschutzstelle zurückspielen, dass hier der Wunsch besteht, das habe ich schon so richtig verstanden, dass es solche gibt und dass es einen Fahrplan dazu gibt.Landtagspräsident Albert Frick
Vielen Dank. Wenn es keine weiteren Wortmeldungen gibt, wenden wir uns dem Antrag der Regierung zu. Der Antrag lautet: «Der Hohe Landtag wolle dem Beschlussentwurf des Gemeinsamen EWR-Ausschusses betreffend die Übernahme der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) unter dem Vorbehalt, dass keine inhaltlichen Änderungen bis zur Unterzeichnung mehr vorgenommen werden, seine Zustimmung erteilen.» Wer mit diesem Antrag einverstanden ist, möge bitte die Stimme abgeben.Abstimmung: Zustimmung mit 25 Stimmen
Landtagspräsident Albert Frick
Der Landtag hat mit 25 Stimmen einhellig die Zustimmung erteilt. Wir haben Traktandum 19 abgeschlossen. Wir machen jetzt 20 Minuten Pause. Die Sitzung ist unterbrochen (von 16:10 bis 16:30 Uhr).
-ooOoo-