Zahlreiche Schweizer Unternehmen werden von der neuen Datenschutz-Grundverordnung («DSGVO») der Europäischen Union («EU») direkt betroffen sein.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte («EDÖB») hat ein Papier zur DSGVO und ihren Auswirkungen veröffentlicht (letztmals aktualisiert am 27. März 2018), das die wesentlichen Grundsätze der DSGVO zusammenfasst. Dabei geht der EDÖB u. a. auf folgende Aspekte ein:
- Räumlicher Anwendungsbereich (Art. 3 DSGVO)
- Anwendbarkeit auf Schweizer Unternehmen (Art. 3 und 27 DSGVO)
Räumlicher Anwendungsbereich
Gegenüber Datenverarbeitern in der Schweiz kommt die DSGVO in den Fällen von Art. 3 Abs. 2 DSGVO zur Anwendung: Die Datenbearbeitung durch ein in der Schweiz ansässiges Unternehmen betrifft Waren oder Dienstleistungen, die für Personen in der Union bestimmt sind, oder die Bearbeitung betrifft die Beobachtung des Verhaltens einer betroffenen Person, soweit deren Verhalten in der Union erfolgt. Bei Letzterem bezieht sich der europäische Gesetzgeber vor allem auf die Beobachtung des Verhaltens von Internetnutzerinnen und -nutzern.
Laut EDÖB findet die DSGVO in der Praxis wohl dann Anwendung, wenn eine sich in einem Mitgliedstaat der EU aufhaltende Person, unabhängig von ihrer Staatsangehörigkeit oder ihres Wohnsitzes, direkt von einer Datenbearbeitung betroffen ist. Bei der Beurteilung, ob die Verordnung zur Anwendung kommt, ist stets der Einzelfall und insbesondere die Absicht des Verantwortlichen zu berücksichtigen, Personen im Gebiet der EU Waren oder Dienstleistungen anzubieten oder ihr Verhalten zu beobachten.
Anwendbarkeit auf Schweizer Unternehmen
Aus dem Wortlaut der Verordnung und den Erwägungen geht hervor, dass die DSGVO in den folgenden Fällen auf Schweizer Unternehmen anwendbar ist:
Niederlassung in der EU
- Bearbeitung personenbezogener Daten im Rahmen der Tätigkeit einer europäischen Zweigstelle oder einer Tochtergesellschaft eines schweizerischen Unternehmens in der Europäischen Union;
- Auftragsverarbeiter
Bearbeitung personenbezogener Daten durch ein Schweizer Unternehmen im Auftrag eines europäischen Unternehmens (sofern das Schweizer Unternehmen beabsichtigt, Waren oder Dienstleistungen für in der EU sich aufhaltende Personen anzubieten).
Laut EDÖB untersteht ein Auftragsverarbeiter im EU-Gebiet (z.B. IT-Dienstleister), der personenbezogene Daten für ein Schweizer Unternehmen bearbeitet, der DSGVO unabhängig davon, ob er Daten von Betroffenen in der Schweiz oder in der Union verarbeitet. Er muss dann sowohl die in der Verordnung festgelegten besonderen Pflichten der Auftragsverarbeiter als auch die sich aus dem schweizerischen Recht ergebenden Anforderungen einhalten. Der Auftragsverarbeiter wird wahrscheinlich im Falle einer Datenschutzverletzung die Verantwortung übernehmen müssen. Dies bedeutet jedoch nicht, dass der für die Verarbeitung Verantwortliche in der Schweiz der Verordnung unterliegt.
Zielgruppe in der EU
- Bearbeitung personenbezogener Daten von Personen mit Aufenthalt in der EU durch ein Unternehmen mit Sitz in der Schweiz, soweit es diese Daten für seine Waren- und Dienstleistungsangebote in der EU bearbeitet, unabhängig davon, ob eine Zahlung erforderlich ist oder nicht;
- Bearbeitung personenbezogener Daten von Personen mit Wohnsitz in der EU durch ein in der Schweiz ansässiges Unternehmen, soweit diese Daten zum Zweck der Beobachtung des Verhaltens der betroffenen Personen innerhalb der Union bearbeitet werden.
Ferner hält der EDÖB fest, die DSGVO sei im folgenden Bespiel “wahrscheinlich” anwendbar: Der Betreiber einer Website setzt Webtracking ein, um die Besucherbewegungen oder das Surfverhalten von Internetnutzern zu registrieren und kann Rückschlüsse auf deren Interessen, Vorlieben oder Gewohnheiten erhalten.
Schlussbemerkung
Es wird darauf hingewiesen, dass das Papier des EDÖB mit Blick auf die Entwicklungen auf nationaler und europäischer Ebene laufend ergänzt und geändert wird. Zurzeit laufen Abklärungen, um die Position und die Auslegung der zuständigen Behörden und Aufsichtsbehörden der Mitgliedstaaten der EU zu ermitteln.
Was schliesslich die Revision des Bundesgesetzes über den Datenschutz (DSG) betrifft, hat die Staatspolitische Kommission des Nationalrats am 11. Januar 2018 entschieden, die für die Umsetzung des Schengen-Besitzstands notwendigen gesetzgeberischen Massnahmen prioritär zu behandeln und die Prüfung der Anpassungen, welche eine Annährung des schweizerischen Datenschutzrechts an die Anforderungen der DSGVO bezwecken, in einer zweiten Etappe vorzunehmen. Offen bleibt, welche Verzögerungen sich daraus ergeben werden.
Renate Bigler, Counsel, lic. iur., M.B.L.-HSG
Renate Bigler-Heiniger
Counsel
renate.bigler@eversheds-sutherland.ch
+41 44 204 90 90