Datenschutz ist in aller Munde. In der Schweiz ist derzeit eine Revision des Datenschutzrechts im Gange, welche zu Verschärfungen führen wird. Auf EU-Ebene wird dies bereits am 25. Mai 2018 Realität. Dann wird die sogenannte EU-Datenschutz-Grundverordnung (DSGVO) in allen EU-Mitgliedstaaten verbindlich. Auch Unternehmen in der Schweiz sind tangiert.

Mit der sogenannten DSGVO soll in der EU ein höheres Datenschutzniveau erreicht werden. Während vor allem Privatpersonen mehr Rechte erhalten werden, gelten für alle Personen, die Daten bearbeiten – und somit für fast jedes Unternehmen –  neue Pflichten.
Die DSGVO ist nicht auf die leichte Schulter zu nehmen: Einzelne Datenschutzverletzungen können neu mit Bussen bis zu EUR 20 Mio. oder im Fall eines Unternehmens bis zu 4% des gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden.
Unter gewissen Umständen sind auch Schweizer Unternehmer direkt von der DSGVO betroffen, selbst wenn die Bearbeitung der Daten in der Schweiz stattfindet.
In diesem ersten Alert (Teil 1) zeigen wir anhand von Beispielen auf, in welchen Fällen auch Sie als Schweizer Unternehmen direkt betroffen sein können. In wenigen Wochen folgt unser zweiter Alert (Teil 2) zu diesem Thema. Darin werden Sie Hinweise finden, was konkret zu unternehmen ist, damit man sich DSGVO-konform verhält.

Die nachfolgenden Fragen werden aus der Perspektive eines Schweizer Unternehmens gestellt.

Fall 1: Unser Unternehmen hat eine Tochtergesellschaft in der EU. Ist die DSGVO anwendbar?

Die DSGVO ist primär auf die Tochtergesellschaft anwendbar. Sobald Ihr Unternehmen aber auch Zugriff auf die EU-Personendaten der Tochtergesellschaft hat bzw. diese bearbeitet, ist die DSGVO auch auf Ihr Unternehmen anwendbar. Gleich würde es sich im umgekehrten Fall verhalten, wenn die Muttergesellschaft Sitz in der EU und die Tochtergesellschaft Sitz in der Schweiz hätte.

Fall 2: Unser Unternehmen hat zwecks Datenauslagerung einen EU-Cloud-Provider beigezogen. Ist die DSGVO anwendbar?

Nein, auf Ihr Unternehmen ist die DSGVO nicht anwendbar, da keine Daten von EU-Bewohnern bearbeitet werden. Auf den EU-Cloud-Provider ist die EU-DSGVO anwendbar.

Fall 3: Unser Unternehmen bietet Produkte oder Dienstleistungen an Personen in der EU an und bearbeitet dazu Personendaten. Ist die DSGVO anwendbar? Macht es einen Unterschied, ob die Produkte/Dienstleistungen kostenlos angeboten werden?

Ja, die DSGVO ist anwendbar, und nein, es spielt keine Rolle, ob Produkte/Dienstleistungen kostenlos angeboten werden.

Fall 4: Die Website unseres Unternehmens ist in der EU abrufbar; allerdings werden Personen in der EU keine Leistungen angeboten. Ist die DSGVO anwendbar?

Nein. Die entscheidende Frage ist, ob ein „Angebot“ an in der EU ansässige Personen vorliegt (vgl. Fall 8). Die blosse Abrufbarkeit einer Website in der EU genügt nicht.

Fall 5: Unser Unternehmen verfügt über eine zentrale IT-Organisation, welche auch Daten für die Tochtergesellschaften in der EU verarbeitet. Ist die DSGVO anwendbar?

Ja, die DSGVO ist anwendbar.

Fall 6: Unser Unternehmen speichert u.a. Daten über Personen in der EU im Auftrag eines EU-Unternehmens. Ist die DSGVO anwendbar?

Ja, die DSGVO ist anwendbar.

Fall 7: Unser Unternehmen hat zwar Kunden in der EU, aber ausschliesslich Geschäftskunden. Ist die DSGVO anwendbar?

Nein, die DSGVO ist nicht anwendbar, sofern in den zu bearbeitenden Daten keine solche von natürlichen EU-Personen enthalten sind; die DSGVO schützt Daten juristischer Personen grundsätzlich nicht.

Fall 8: Unser Unternehmen richtet sich nicht primär an EU-Kunden, bietet aber auch Produkte/Dienstleistungen in englischer Sprache unter Angabe von EUR-Preisen an; ausserdem werden Angaben zu Versandkosten in einzelne EU-Länder gemacht. Ist die DSGVO anwendbar?

Ja, die DSGVO ist aller Wahrscheinlichkeit nach anwendbar. Wird eine Sprache oder Währung verwendet, die in einem oder mehreren EU-Mitgliedstaaten gebräuchlich ist, nicht aber in der Schweiz, und ist es möglich, Produkte in dieser anderen Sprache zu bestellen, wird dies regelmässig als relevantes Indiz für die Absicht des Anbieters gewertet, auch Leistungen an Personen in der EU anzubieten.

 

Fall 9: Die Daten, die unser Unternehmen bearbeitet, dienen dazu, das Verhalten von Personen aus der EU zu beobachten, z.B. Datenauswertung von Website-Besuchern oder von App-Nutzern. Ist die DSGVO anwendbar?

Ja, die Anwendbarkeit der DSGVO erstreckt sich explizit auch auf solche Konstellationen – selbst wenn die Website oder die App von der Schweiz aus betrieben wird.

Zusammenfassung

Die DSGVO findet auf alle Datenbearbeitungen Anwendung, soweit entweder (i) diese Bearbeitungen im Rahmen der Tätigkeiten einer Niederlassung in der EU erfolgen oder (ii) ein Schweizer Datenbearbeiter auf dem Gebiet der EU Waren und Dienstleistungen anbietet oder (iii) das Verhalten von Personen mit Aufenthalt in der EU beobachtet wird (z.B. Tracking durch Cookies, Profiling durch Analysetools).

Schlussfolgerung

Wenn Sie als Schweizer Unternehmen EU-Kunden bedienen oder sonstwie Personendaten mit Bezug zur EU bearbeiten oder über eine Niederlassung in der EU verfügen, sollten Sie prüfen, ob die DSGVO Anwendung findet und welche Massnahmen gegebenenfalls zur Umsetzung der DSGVO erforderlich sind.
Ist die DSGVO anwendbar, sind Sie verpflichtet, einen Vertreter in der EU zu benennen (Ausnahme: Sie bearbeiten Daten von in der EU ansässigen Personen nur gelegentlich und tätigen keine umfangreiche Bearbeitung von besonders schützenswerten Personendaten, wie z.B. Gesundheitsdaten). Zudem werden Sie sich an zahlreiche Pflichten unter der DSGVO halten müssen (z.B. Dokumentationspflichten). Es müssen ausserdem Verträge mit Auftragsdatenbearbeitern überprüft und möglicherweise explizite Einwilligungen der Personen eingeholt werden, über welche Daten bearbeitet werden. Datenschutzverstösse müssen der Behörde innert 72 Stunden und bei schweren Folgen auch den Betroffenen gemeldet werden.

Im Teil 2 werden wir detailliert zu einigen dieser Punkte berichten. Zwischenzeitlich steht Ihnen unser Team bei Beratungsbedarf jederzeit gerne zur Verfügung.

Weitere Artikel