Die Ver­ord­nung (EU) 2016/679 des Eu­ro­päi­schen Par­la­ments und des Rates vom 27. April 2016 zum Schutz na­tür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, zum freien Da­ten­ver­kehr und zur Auf­he­bung der Richt­li­nie 95/46/EG (Da­ten­schutz­grund­ver­ord­nung oder DSGVO) wurde vom Eu­ro­päi­schen Par­la­ment am 14. April 2016 an­ge­nom­men und trat am 25. Mai 2018 in Kraft. Seit über einem Jahr ist die DSGVO um­zu­set­zen. Nicht nur in­ner­halb der Eu­ro­päi­schen Union (EU)?!

Was ändert sich mit der DSGVO für Schwei­zer Unternehmen?
Die Art und Weise, wie Daten von na­tür­li­chen Per­so­nen be­ar­bei­tet werden dürfen, ändert sich durch die Da­ten­schutz­grund­ver­ord­nung (DSGVO) für Schwei­zer Un­ter­neh­men nicht we­sent­lich. Die DSGVO ver­langt in erster Linie und vor allem mehr Trans­pa­renz (Artt. 13, 14 DSGVO In­for­ma­ti­ons­pflich­ten), Go­ver­nan­ce und Do­ku­men­ta­ti­on (Art. 5 Abs. 2 DSGVO Rechenschaftspflicht).

Wann ist die DSGVO in der Schweiz anwendbar?
Ge­gen­über der Richt­li­nie 95/46/EG wurde der An­wen­dungs­be­reich er­wei­tert. Er umfasst nun das Kri­te­ri­um der Ziel­grup­pe (ex­tra­ter­ri­to­ria­le An­wen­dung), dem Markt­ort­prin­zip gemäß Artikel 3 DSGVO. Das Markt­ort­prin­zip schließt unter be­stimm­ten Be­din­gun­gen auch Un­ter­neh­men, die nicht in der Eu­ro­päi­schen Union (EU) nie­der­ge­las­sen sind, in den An­wen­dungs­be­reich der DSGVO ein [1].

Die An­wen­dung der DSGVO hängt von zwei Kri­te­ri­en ab:

  • Diese Ver­ord­nung findet An­wen­dung auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, soweit diese im Rahmen der Tä­tig­kei­ten einer Nie­der­las­sung eines Ver­ant­wort­li­chen oder eines Auf­trags­ver­ar­bei­ters in der Union erfolgt, un­ab­hän­gig davon, ob die Ver­ar­bei­tung in der Union stattfindet.
  • Diese Ver­ord­nung findet An­wen­dung auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten von be­trof­fe­nen Per­so­nen, die sich in der Union be­fin­den, durch einen nicht in der Union nie­der­ge­las­se­nen Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter, wenn die Da­ten­ver­ar­bei­tung im Zu­sam­men­hang damit steht 
    1. be­trof­fe­nen Per­so­nen in der Union Waren oder Dienst­leis­tun­gen an­zu­bie­ten, un­ab­hän­gig davon, ob von diesen be­trof­fe­nen Per­so­nen eine Zahlung zu leisten ist;
    2. das Ver­hal­ten be­trof­fe­ner Per­so­nen zu be­ob­ach­ten, soweit ihr Ver­hal­ten in der Union erfolgt.
  • Diese Ver­ord­nung findet An­wen­dung auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch einen nicht in der Union nie­der­ge­las­se­nen Ver­ant­wort­li­chen an einem Ort, der auf­grund Völ­ker­rechts dem Recht eines Mit­glied­staats unterliegt.

Die An­wen­dung der DSGVO hängt daraus ab­ge­lei­tet von den beiden fol­gen­den Kri­te­ri­en ab:

  1. dem Kri­te­ri­um der Nie­der­las­sung (= Ort der Nie­der­las­sung des Ver­ant­wort­li­chen oder Auf­trags­be­ar­bei­ters; Art. 3 Abs. 1): Der Ver­ant­wort­li­che oder Auf­trags­be­ar­bei­ter hat seine Nie­der­las­sung in der Eu­ro­päi­schen Union. In diesem Fall findet die Ver­ord­nung au­to­ma­tisch An­wen­dung, un­ab­hän­gig davon, ob die Be­ar­bei­tung in der Union statt­fin­det oder nicht [2].
  2. dem Kri­te­ri­um des Ziel­mark­tes (= Wohnort der von Da­ten­be­ar­bei­tung be­trof­fe­nen Person: Die Nie­der­las­sung des Ver­ant­wort­li­chen be­fin­det sich au­ßer­halb der EU. Die Be­ar­bei­tung be­trifft Waren oder Dienst­leis­tun­gen, die für Per­so­nen in der EU be­stimmt sind oder die Be­ar­bei­tung be­trifft die Be­ob­ach­tung des Ver­hal­tens einer be­trof­fe­nen Person, soweit deren Ver­hal­ten in der Union erfolgt. Bei Letz­te­rem bezieht sich der eu­ro­päi­sche Ge­setz­ge­ber vor allem auf die Be­ob­ach­tung des Ver­hal­tens von In­ter­net­nut­zer. In der Praxis findet die DSGVO wohl dann An­wen­dung, wenn eine sich in einem Mit­glied­staat der EU auf­hal­ten­de Person, un­ab­hän­gig von ihrer Staats­an­ge­hö­rig­keit oder ihres Wohn­sit­zes, direkt von einer Da­ten­be­ar­bei­tung be­trof­fen ist.

Für die Be­ur­tei­lung, ob die DSGVO zur An­wen­dung kommt oder nicht, ist stets der Ein­zel­fall und ins­be­son­de­re die Absicht des Ver­ant­wort­li­chen zu be­rück­sich­ti­gen, ob Per­so­nen im Gebiet der EU Waren oder Dienst­leis­tun­gen an­ge­bo­ten werden und/oder ihr Ver­hal­ten be­ob­ach­tet wird.

Schwei­zer Un­ter­neh­mer müssen die DSGVO er­fül­len, wenn sie per­so­nen­be­zo­ge­ne Daten im Zu­sam­men­hang mit Waren und Dienst­leis­tun­gen, die sie be­trof­fe­nen Per­so­nen in der EU an­bie­ten oder das Ver­hal­ten von be­trof­fe­nen Per­so­nen be­ob­ach­ten [3].

Dabei muss ein Angebot nicht zwangs­läu­fig aktiv aus­ge­spro­chen werden und es muss auch „kein Geld fließen“. Ein ein­fa­ches pas­si­ves Be­reit­hal­ten eines An­ge­bo­tes auf einer In­ter­net­prä­senz ist aus­rei­chend, um in den An­wen­dungs­be­reich der DSGVO zu sein.

Gilt für Schwei­zer Web­sei­ten die DSGVO?
Nein, nicht grund­sätz­lich und auch nicht au­to­ma­tisch. Es ist nicht aus­rei­chend, dass über die Web­sei­te Waren und Dienst­leis­tun­gen in der EU auf­ge­ru­fen werden können. Aus­schlag­ge­bend ist, ob das Schwei­zer Un­ter­neh­men „of­fen­sicht­lich be­ab­sich­tigt“, Per­so­nen in der EU Waren oder Dienst­leis­tun­gen an­zu­bie­ten und EU-Bürger „direkt an­spricht“. Dies ist z.B. der Fall, bei Ver­wen­dung der Sprache oder der Währung Euro.

Er­wä­gungs­grund 23 der DSGVO:

  1. Um fest­zu­stel­len, ob dieser Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter be­trof­fe­nen Per­so­nen, die sich in der Union be­fin­den, Waren oder Dienst­leis­tun­gen an­bie­tet, sollte fest­ge­stellt werden, ob der Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter of­fen­sicht­lich be­ab­sich­tigt, be­trof­fe­nen Per­so­nen in einem oder meh­re­ren Mit­glied­staa­ten der Union Dienst­leis­tun­gen anzubieten.
  2. Während die bloße Zu­gäng­lich­keit der Website des Ver­ant­wort­li­chen, des Auf­trags­ver­ar­bei­ters oder eines Ver­mitt­lers in der Union, einer E-Mail-Adresse oder anderer Kon­takt­da­ten oder die Ver­wen­dung einer Sprache, die in dem Dritt­land, in dem der Ver­ant­wort­li­che nie­der­ge­las­sen ist, all­ge­mein ge­bräuch­lich ist, hierfür kein aus­rei­chen­der An­halts­punkt ist, können andere Fak­to­ren wie die Ver­wen­dung einer Sprache oder Währung, die in einem oder meh­re­ren Mit­glied­staa­ten ge­bräuch­lich ist, in Ver­bin­dung mit der Mög­lich­keit, Waren und Dienst­leis­tun­gen in dieser anderen Sprache zu be­stel­len, oder die Er­wäh­nung von Kunden oder Nutzern, die sich in der Union be­fin­den, darauf hin­deu­ten, dass der Ver­ant­wort­li­che be­ab­sich­tigt, den Per­so­nen in der Union Waren oder Dienst­leis­tun­gen anzubieten.

Können sich Schwei­zer Un­ter­neh­men der An­wend­bar­keit der DSGVO entziehen?
Richtet sich das Angebot von Dienst­leis­tun­gen und/oder Waren nicht an EU-Bürger, so kann ein Aus­schluss (dis-tar­­ge­­ting) der EU-We­b­­sei­­ten­­nu­t­­zer mit­hil­fe einer Geo-Lo­­ka­­li­­sie­rung er­fol­gen [4]. Ein Dis­clai­mer, dass sich das Angebot nicht an Per­so­nen, die sich in der EU auf­hal­ten, führt grund­sätz­lich zur Nicht­an­wen­dung der DSGVO. [5]

Folgen:
Schwei­zer Un­ter­neh­men, wie alle Un­ter­neh­men au­ßer­halb der EU, auf deren Ver­ar­bei­tungs­tä­tig­kei­ten die DSGVO an­wend­bar ist, müssen grund­sätz­lich einen in einem be­trof­fe­nen Mit­glied­staat nie­der­ge­las­se­nen Ver­tre­ter be­nen­nen. Der Ver­tre­ter ist aus­drück­lich zu be­stel­len und schrift­lich zu be­auf­tra­gen, in Bezug auf die sich aus der DSGVO er­ge­ben­den Pflich­ten an Stelle des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters zu handeln.

Des Wei­te­ren müssen die Un­ter­neh­men im Rahmen der Ver­ar­bei­tungs­tä­tig­kei­ten die Re­chen­schafts­pflich­ten der DSGVO er­fül­len wie u. a. die Führung des Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten gemäß Art. 30 DSGVO, In­for­ma­ti­ons­pflich­ten gemäß Art. 13 DSGVO, Ge­währ­leis­tung der Rechte der be­trof­fe­nen Person (Kapitel III DSGVO). Ein Verstoß gegen die Pflich­ten ist buß­geld­be­wehrt (Art. 83 DSGVO).

Fazit:
Auch Un­ter­neh­men, die keine Nie­der­las­sung in der EU haben, aber auf dem eu­ro­päi­schen Markt tätig sind, müssen die DSGVO voll an­wen­den. Schwei­zer Un­ter­neh­men, die sich mit ihrem Angebot ex­pli­zit an EU-Bürger und Ver­brau­cher richten, welche sich in der EU be­fin­den, müssen daher davon aus­ge­hen, dass die DSGVO An­wen­dung findet.

Ver­stö­ße gegen die DSGVO können z. B. in Deutsch­land unter Um­stän­den un­lau­te­rer Wett­be­werb sein. Ein Un­ter­neh­men, das die Da­ten­schutz­ge­set­ze nicht einhält, verhält sich un­lau­ter. Das be­deu­tet, dass ein Verstoß ggf. eine Ab­mah­nung auslöst. Beim un­lau­te­ren Wett­be­werb gilt das Markt­aus­wir­kungs­prin­zip: Werden die Regeln nicht ein­ge­hal­ten, kann man diese in Deutsch­land ein­kla­gen (Lugano Übereinkommen).

Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: per E-Mail consulting@AdOrgaSolutions.de.

(Autorin: Regina Mühlich: Als Ex­per­tin für Daten­schutz, Da­ten­­­schutz-Au­­di­­to­rin sowie Com­pli­ance Officer berät und un­ter­stützt sie Un­ter­neh­men im Bereich Daten­schutz, Com­pli­ance und Qualitäts­management in Deutsch­land, Ös­ter­reich sowie der Schweiz. Sie ist Lehr­be­auf­trag­te an der Hoch­schu­le Furt­wan­gen und Vor­stands­mit­glied des Be­rufs­ver­ban­des für Datenschutz­beauftragte Deutsch­land (BvD) e. V.)

 

[1] https://www.lda.bayern.de/media/dsk_kpnr_7_marktortprinzip.pdf
[2]  Welt­im­mo v. NAIH (C-230/14) der EuGH hat den Begriff der Nie­der­las­sung relativ breit und fle­xi­bel ausgelegt.
[3] www.kmu.admin.ch.
[4] Chris­ti­an Peter, Jus­let­ter, 26.02.2018
[5] Chris­ti­an Peter, Jus­let­ter, 26.02.2018

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!