Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrundverordnung oder DSGVO) wurde vom Europäischen Parlament am 14. April 2016 angenommen und trat am 25. Mai 2018 in Kraft. Seit über einem Jahr ist die DSGVO umzusetzen. Nicht nur innerhalb der Europäischen Union (EU)?!
Was ändert sich mit der DSGVO für Schweizer Unternehmen?
Die Art und Weise, wie Daten von natürlichen Personen bearbeitet werden dürfen, ändert sich durch die Datenschutzgrundverordnung (DSGVO) für Schweizer Unternehmen nicht wesentlich. Die DSGVO verlangt in erster Linie und vor allem mehr Transparenz (Artt. 13, 14 DSGVO Informationspflichten), Governance und Dokumentation (Art. 5 Abs. 2 DSGVO Rechenschaftspflicht).
Wann ist die DSGVO in der Schweiz anwendbar?
Gegenüber der Richtlinie 95/46/EG wurde der Anwendungsbereich erweitert. Er umfasst nun das Kriterium der Zielgruppe (extraterritoriale Anwendung), dem Marktortprinzip gemäß Artikel 3 DSGVO. Das Marktortprinzip schließt unter bestimmten Bedingungen auch Unternehmen, die nicht in der Europäischen Union (EU) niedergelassen sind, in den Anwendungsbereich der DSGVO ein [1].
Die Anwendung der DSGVO hängt von zwei Kriterien ab:
- Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.
- Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
- betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
- das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
- Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.
Die Anwendung der DSGVO hängt daraus abgeleitet von den beiden folgenden Kriterien ab:
- dem Kriterium der Niederlassung (= Ort der Niederlassung des Verantwortlichen oder Auftragsbearbeiters; Art. 3 Abs. 1): Der Verantwortliche oder Auftragsbearbeiter hat seine Niederlassung in der Europäischen Union. In diesem Fall findet die Verordnung automatisch Anwendung, unabhängig davon, ob die Bearbeitung in der Union stattfindet oder nicht [2].
- dem Kriterium des Zielmarktes (= Wohnort der von Datenbearbeitung betroffenen Person: Die Niederlassung des Verantwortlichen befindet sich außerhalb der EU. Die Bearbeitung betrifft Waren oder Dienstleistungen, die für Personen in der EU bestimmt sind oder die Bearbeitung betrifft die Beobachtung des Verhaltens einer betroffenen Person, soweit deren Verhalten in der Union erfolgt. Bei Letzterem bezieht sich der europäische Gesetzgeber vor allem auf die Beobachtung des Verhaltens von Internetnutzer. In der Praxis findet die DSGVO wohl dann Anwendung, wenn eine sich in einem Mitgliedstaat der EU aufhaltende Person, unabhängig von ihrer Staatsangehörigkeit oder ihres Wohnsitzes, direkt von einer Datenbearbeitung betroffen ist.
Für die Beurteilung, ob die DSGVO zur Anwendung kommt oder nicht, ist stets der Einzelfall und insbesondere die Absicht des Verantwortlichen zu berücksichtigen, ob Personen im Gebiet der EU Waren oder Dienstleistungen angeboten werden und/oder ihr Verhalten beobachtet wird.
Schweizer Unternehmer müssen die DSGVO erfüllen, wenn sie personenbezogene Daten im Zusammenhang mit Waren und Dienstleistungen, die sie betroffenen Personen in der EU anbieten oder das Verhalten von betroffenen Personen beobachten [3].
Dabei muss ein Angebot nicht zwangsläufig aktiv ausgesprochen werden und es muss auch „kein Geld fließen“. Ein einfaches passives Bereithalten eines Angebotes auf einer Internetpräsenz ist ausreichend, um in den Anwendungsbereich der DSGVO zu sein.
Gilt für Schweizer Webseiten die DSGVO?
Nein, nicht grundsätzlich und auch nicht automatisch. Es ist nicht ausreichend, dass über die Webseite Waren und Dienstleistungen in der EU aufgerufen werden können. Ausschlaggebend ist, ob das Schweizer Unternehmen „offensichtlich beabsichtigt“, Personen in der EU Waren oder Dienstleistungen anzubieten und EU-Bürger „direkt anspricht“. Dies ist z.B. der Fall, bei Verwendung der Sprache oder der Währung Euro.
Erwägungsgrund 23 der DSGVO:
- Um festzustellen, ob dieser Verantwortliche oder Auftragsverarbeiter betroffenen Personen, die sich in der Union befinden, Waren oder Dienstleistungen anbietet, sollte festgestellt werden, ob der Verantwortliche oder Auftragsverarbeiter offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedstaaten der Union Dienstleistungen anzubieten.
- Während die bloße Zugänglichkeit der Website des Verantwortlichen, des Auftragsverarbeiters oder eines Vermittlers in der Union, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Drittland, in dem der Verantwortliche niedergelassen ist, allgemein gebräuchlich ist, hierfür kein ausreichender Anhaltspunkt ist, können andere Faktoren wie die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der Union befinden, darauf hindeuten, dass der Verantwortliche beabsichtigt, den Personen in der Union Waren oder Dienstleistungen anzubieten.
Können sich Schweizer Unternehmen der Anwendbarkeit der DSGVO entziehen?
Richtet sich das Angebot von Dienstleistungen und/oder Waren nicht an EU-Bürger, so kann ein Ausschluss (dis-targeting) der EU-Webseitennutzer mithilfe einer Geo-Lokalisierung erfolgen [4]. Ein Disclaimer, dass sich das Angebot nicht an Personen, die sich in der EU aufhalten, führt grundsätzlich zur Nichtanwendung der DSGVO. [5]
Folgen:
Schweizer Unternehmen, wie alle Unternehmen außerhalb der EU, auf deren Verarbeitungstätigkeiten die DSGVO anwendbar ist, müssen grundsätzlich einen in einem betroffenen Mitgliedstaat niedergelassenen Vertreter benennen. Der Vertreter ist ausdrücklich zu bestellen und schriftlich zu beauftragen, in Bezug auf die sich aus der DSGVO ergebenden Pflichten an Stelle des Verantwortlichen oder des Auftragsverarbeiters zu handeln.
Des Weiteren müssen die Unternehmen im Rahmen der Verarbeitungstätigkeiten die Rechenschaftspflichten der DSGVO erfüllen wie u. a. die Führung des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO, Informationspflichten gemäß Art. 13 DSGVO, Gewährleistung der Rechte der betroffenen Person (Kapitel III DSGVO). Ein Verstoß gegen die Pflichten ist bußgeldbewehrt (Art. 83 DSGVO).
Fazit:
Auch Unternehmen, die keine Niederlassung in der EU haben, aber auf dem europäischen Markt tätig sind, müssen die DSGVO voll anwenden. Schweizer Unternehmen, die sich mit ihrem Angebot explizit an EU-Bürger und Verbraucher richten, welche sich in der EU befinden, müssen daher davon ausgehen, dass die DSGVO Anwendung findet.
Verstöße gegen die DSGVO können z. B. in Deutschland unter Umständen unlauterer Wettbewerb sein. Ein Unternehmen, das die Datenschutzgesetze nicht einhält, verhält sich unlauter. Das bedeutet, dass ein Verstoß ggf. eine Abmahnung auslöst. Beim unlauteren Wettbewerb gilt das Marktauswirkungsprinzip: Werden die Regeln nicht eingehalten, kann man diese in Deutschland einklagen (Lugano Übereinkommen).
Wenn Sie Fragen haben, kontaktieren Sie uns: per E-Mail consulting@AdOrgaSolutions.de.
(Autorin: Regina Mühlich: Als Expertin für Datenschutz, Datenschutz-Auditorin sowie Compliance Officer berät und unterstützt sie Unternehmen im Bereich Datenschutz, Compliance und Qualitätsmanagement in Deutschland, Österreich sowie der Schweiz. Sie ist Lehrbeauftragte an der Hochschule Furtwangen und Vorstandsmitglied des Berufsverbandes für Datenschutzbeauftragte Deutschland (BvD) e. V.)
[1] https://www.lda.bayern.de/media/dsk_kpnr_7_marktortprinzip.pdf
[2] Weltimmo v. NAIH (C-230/14) der EuGH hat den Begriff der Niederlassung relativ breit und flexibel ausgelegt.
[3] www.kmu.admin.ch.
[4] Christian Peter, Jusletter, 26.02.2018
[5] Christian Peter, Jusletter, 26.02.2018