Die am 25. Mai 2018 in Kraft tretende EU-Datenschutzgrundverordnung findet nicht nur für Unternehmen mit Sitz in der EU Anwendung. Auch Schweizer Unternehmen können von der EU-Datenschutzgrundverordnung betroffen sein. Und zwar in folgenden Fällen:
1. Niederlassung in der EU
Verarbeitung personenbezogener Daten, soweit sie im Rahmen der Tätigkeiten einer Niederlassung in der Europäischen Union erfolgt (Art. 3 Abs. 1 DSGVO).
- Und zwar unabhängig davon, ob die Verarbeitung in der EU stattfindet.
2. Marktortprinzip
Nach dem sog. Marktortprinzip gilt das EU-Datenschutzrecht auch für Wirtschaftsunternehmen ausserhalb der EU (Art. 3 Abs. 2 DSGVO):
- Wenn sich ein Angebot an einen bestimmten nationalen Markt in der EU richtet. Unabhängig davon, ob eine Zahlung zu leisten ist oder nicht. Es ist ausreichend, wenn die offensichtliche Absicht besteht, Waren oder Dienstleistungen in die EU zu verkaufen, z.B. durch die Angabe der Preise in Euro oder die Auflistung von Referenzkunden aus EU-Mitgliedsländern. Eine Website eines Schweizer Unternehmens, die aus der EU zugänglich ist, aber keine Absicht erkenntlich ist, in der EU Waren oder Dienstleistungen anbieten zu wollen, unterliegt hingegen nicht der EU-Datenschutzgrundverordnung.
- Wenn die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU dient. Dabei muss ein klarer Wille erkennbar sein, das Verhalten von natürlichen Personen im EU-Raum zu verfolgen. Dies ist beispielsweise dann der Fall, wenn auf einer Website Tracking-Tools eingesetzt werden, die personenbezogene Daten erheben und auswerten oder wenn das Nutzerverhalten von Personen systematisch ausgewertet wird („Profiling“).
Damit löst ein Tourist aus dem EU-Mitgliedsland Italien, der auf einer Schweizer Berghütte übernachtet und konsumiert, noch keine Anwendung der EU-Datenschutzgrundverordnung für die Berghütte aus. Auch wenn der Schweizer Berghüttenwirt die Adresse des Touristen notiert und in seiner Kundendatenbank speichert, wird die EU-Datenschutzgrundverordnung noch nicht angewendet. Schickt der Schweizer Berghüttenwirt dem italienischen Touristen Mails mit Übernachtungsangeboten nach Italien, kommt die EU-Datenschutzgrundverordnung zum Tragen. Welche Auflagen dann auf den Schweizer Berghüttenwirt zukommen und welche weiteren Aktivitäten des Berghüttenwirtes dazu führen können, dass er der EU-Datenschutzgrundverordnung unterliegt, wird in den nächsten Teilen dieser EU-DSGVO-Reihe erläutert.
Weitere Fälle:
- Ein Schweizer Unternehmen setzt einen Auftragsverarbeiter in der EU ein.
- Ein Schweizer Unternehmen verarbeitet personenbezogene Daten im Auftrag eines europäischen Unternehmens.
In diesen Fällen greift – je nach konkreter Ausgestaltung – die DSGVO unmittelbar oder mittelbar für das Schweizer Unternehmen.
Welche Gesetzgebung gilt?
Betroffene Unternehmen haben ab 25. Mai 2018 zwei Datenschutzgesetzen Folge zu leisten: dem Schweizerischen Bundesgesetz über den Datenschutz (Revision ist in Vorbereitung) und der EU-Datenschutzgrundverordnung. Hält ein Schweizer Unternehmen, das auch der EU-DSGVO untersteht, das schweizerische Recht ein und verletzt die Vorschriften der EU-DSGVO, kann das Schweizer Unternehmen von der EU oder deren Mitgliedsstaaten sanktioniert werden.
Zu beachten: Die DSGVO ist auf konkrete Datenverarbeitungen anwendbar, nicht auf das gesamte Unternehmen. Beispiel: Die im Rahmen der Personaladministration verarbeiteten Mitarbeiterdaten unterliegen im Regelfall dem Schweizer Datenschutzrecht. Werden im gleichen Unternehmen Waren oder Dienstleistungen angeboten, die sich an den europäischen Markt richten, dann unterliegen die Verarbeitungen der damit verbundenen personenbezogenen Daten dem Schweizer Datenschutzrecht und der DSGVO.
Wer ist Ansprechpartner für Schweizer Unternehmen?
Untersteht ein Schweizer Unternehmen sowohl dem schweizerischen Datenschutzgesetz (DSG) wie auch der EU-DSGVO, dann sind beide Behörden Ansprechpartner für das Unternehmen (zum Beispiel bei Meldepflichten). Jede Behörde wird ihr eigenes Recht anwenden.
Weitere Informationen:
EU-Datenschutzgrundverordnung (finaler Gesetzestext)
KMU-Portal des Staatssekretariats für Wirtschaft SECO: https://www.kmu.admin.ch/kmu/de/home/praktisches-wissen/kmu-betreiben/e-commerce/eu-regelung-zum-datenschutz.html
Revision des Schweizer Bundesgesetzes über den Datenschutz (DSG)
Revisionen des Bundesgesetzes über den Datenschutz (DSG) (www.edoeb.admin.ch)