Die Datenschutz-Grundverordnung («DSGVO») ist ab dem 25. Mai 2018 in der EU unmittelbar anwendbar. Sie hat unter bestimmten Voraussetzungen auch extraterritoriale Wirkung, weshalb auch Schweizer Unternehmen (bzw. deren Datenverarbeitungstätigkeiten) unter die DSGVO fallen können. Bei Verstössen gegen die DSGVO drohen hohe Bussen.
I. EINFÜHRUNG
Die DSGVO hat zum Ziel, die Kontrolle der betroffenen Personen über ihre Personendaten (nachfolgend «Daten») zu verbessern, Unternehmen stärker zur Verantwortung zu ziehen, Meldepflichten der Unternehmen abzubauen und die Datenschutzbehörden zu stärken. Um diese Ziele zu erreichen, wurden den Unternehmen unter anderem neue Pflichten auferlegt.
Verstösse gegen die DSGVO werden teilweise mit hohen Bussen von bis zu EUR 20 Millionen bzw. bis 4% des im vorangegangen Geschäftsjahr weltweit erzielten Jahresumsatzes geahndet.
Die DSGVO hat extraterritoriale Wirkung und kann unter bestimmten Umständen auch für Schweizer Unternehmen ab dem 25. Mai 2018 direkt anwendbar sein. Für entsprechende Schweizer Unternehmen besteht somit dringender Handlungsbedarf.
II. ANWENDBARKEIT FÜR SCHWEIZER UNTERNEHMEN
Gemäss Artikel 3 DSGVO gibt es im Wesentlichen drei Konstellationen, in welchen Schweizer Unternehmen unter die DSGVO fallen können, auch wenn die Datenverarbeitung in der Schweiz erfolgt. Die Anwendbarkeit ist im konkreten Einzelfall zu prüfen:
1. NIEDERLASSUNG IN DER EU
Die DSGVO findet zunächst, unabhängig vom Ort der Datenverarbeitung, auf jede Verarbeitung Anwendung, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt.
Als Verantwortlicher gilt dabei, wer über Zwecke und Mittel der Datenverarbeitung entscheidet, während ein Auftragsverarbeiter Daten im Auftrag des Verantwortlichen verarbeitet.
Eine Niederlassung setzt die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung in der EU voraus, wie z.B. eine Zweigniederlassung oder Tochtergesellschaft, kann aber unter Umständen bereits gegeben sein, wenn ein Unternehmen über einen Vertreter in einem EU-Mitgliedstaat verfügt.
Im Rahmen der Tätigkeit der Niederlassung erfolgt die Datenverarbeitung, wenn diese selber in die Datenverarbeitung miteinbezogen ist. Für Konzerngesellschaften ist deshalb zu prüfen, welche Gesellschaft welche Tätigkeiten ausübt und ob diese Tätigkeiten einen unmittelbar datenverarbeitenden Zusammenhang aufweisen.
Unerheblich ist hingegen, ob die von der Datenverarbeitung betroffene Person ihren Wohnort in- oder ausserhalb der EU hat und ob die Datenverarbeitung in der EU stattfindet oder nicht.
2. MARKTORTPRINZIP
2.1. VORBEMERKUNGEN
Besteht keine Niederlassung in der EU, kann die DSGVO für Schweizer Verantwortliche oder Auftragsverarbeiter Anwendung finden, wenn die Verarbeitung von Daten von Personen, die sich in der EU befinden, im Zusammenhang damit steht:
- dass Personen in der EU Waren oder Dienstleistungen entgeltlich oder unentgeltlich angeboten werden; oder
- dass das Verhalten von Personen beobachtet wird, soweit deren Verhalten in der EU erfolgt.
2.2. ANGEBOT VON WAREN UND DIENSTLEISTUNGEN
Ob ein «Angebot» von Waren oder Dienstleistungen vorliegt, muss anhand der konkreten Umstände beurteilt werden. Abzustellen ist darauf, ob der Anbieter «offensichtlich beabsichtigt», Waren oder Dienstleistungen Personen in der EU anzubieten.
Kein Angebot stellen dar: die blosse Abrufbarkeit einer Website in der EU oder die Verwendung einer Sprache, die sowohl im Staat des Anbieters als auch in der EU gebräuchlich ist. Für ein Angebot können sprechen: Verwendung einer vom Staat des Anbieters abweichenden Sprache oder Währung, die in einem EU-Mitgliedstaat gebräuchlich ist (v.a. EURO), Erwähnung von in der EU ansässigen Kunden/Nutzern, Verwendung einer Top-Level-Domain eines EU-Mitgliedstaates, besondere Lieferbedingungen für Lieferungen in EU-Mitgliedstaaten.
2.3. VERHALTENSBEOBACHTUNG
Die Verhaltensbeobachtung erfasst vor allem Tätigkeiten, bei denen Internetaktivitäten der betroffenen Person mithilfe von Verarbeitungstechniken nachvollzogen werden, welche beispielsweise die Erstellung eines Profils ermöglichen, anhand dessen die persönlichen Vorlieben und Verhaltensweisen der betroffenen Person analysiert oder vorausgesagt werden sollen.
Die DSGVO erfasst somit jede Form der Verfolgung im Internet (u.a. Webtracking, Cookies, Social Plug-Ins), insbesondere die Verfolgung und Aufzeichnung des Klickverhaltens auf Websites oder in Apps oder die Aufzeichnung des Kaufverhaltens in einem Online-Shop.
3. AUFTRAGSVERARBEITUNG
Umstritten ist derzeit noch, ob Schweizer Unternehmen unter die DSGVO fallen, wenn sie für einen Verantwortlichen in der EU als Auftragsverarbeiter tätig sind, oder umgekehrt Personendaten durch einen Auftragsverarbeiter in der EU verarbeiten lassen. Unseres Erachtens ist dies nicht der Fall. Vielmehr wäre die DSGVO in diesen Fällen von den entsprechenden Parteien in der EU einzuhalten, im ersten Fall vom EU Verantwortlichen und im zweiten Fall vom EU Auftragsverarbeiter. Zumindest im Fall des EU Verantwortlichen wird dieser aber den Schweizer Auftragsverarbeiter sicherlich dazu verpflichten, die DSGVO einzuhalten.
III. RECHTE DER BETROFFENEN PERSONEN
Die DSGVO gewährt betroffenen Personen insbesondere die folgenden Rechte:
- Recht auf Information betreffend Erhebung von Daten bei der betroffenen Person selbst oder bei Dritten;
- Auskunftsrecht in Bezug auf sie betreffende Daten;
- Berichtigungsrecht;
- Löschungsrecht («Recht auf Vergessenwerden»);
- Recht auf Einschränkung der Verarbeitung;
- Recht auf Datenübertragbarkeit (d.h. Übertragung von bereitgestellten Daten auf einen anderen Verantwortlichen);
- Widerspruchsrecht gegen eine Datenverarbeitung, insbesondere wenn diese dem Profiling dient;
- Anspruch nicht einer ausschliesslich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden.
Dies bedeutet beispielsweise, dass Unternehmen auf Begehren einer betroffenen Person in der Lage sein müssen, über konkrete Daten Auskunft zu geben, gezielt Daten zu löschen oder Daten weiterzugeben.
IV. PFLICHTEN DER UNTER-NEHMEN
Wenn die DSGVO für ein Schweizer Unternehmen anwendbar ist, bringt dies eine Vielzahl von Verpflichtungen und Neuerungen mit sich:
Der Datenschutz ist bei Produkten und Dienstleistungen bereits in der Planungsphase zu berücksichtigen, d.h. dass Datenschutzgrundsätze bereits bei der technischen Ausgestaltung berücksichtigt («privacy by design») und Produkte und Dienstleistungen mit datenschutzfreundlichen Voreinstellungen angeboten werden («privacy by default») müssen.
Eine der wesentlichsten Neuerungen ist die Rechenschaftspflicht. Demnach ist jeder Verantwortliche nicht nur für die Einhaltung der Datenverarbeitungs-Grundsätze verantwortlich, sondern muss auch deren Einhaltung nachweisen können.
Dazu dient unter anderem das Verzeichnis aller Verarbeitungstätigkeiten, welches jeder Verantwortliche führen muss; Ausnahmen von dieser Pflicht gibt es unter bestimmten Voraussetzungen für Unternehmen mit weniger als 250 Mitarbeitenden.
Der Verantwortliche muss ferner unter Berücksichtigung der Modalitäten der einzelnen Verarbeitungstätigkeit und der Wahrscheinlichkeit des Eintritts und der Schwere der Risiken für die Rechte der betroffenen Personen geeignete technische und organisatorische Massnahmen umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gesetzeskonform erfolgt.
Birgt die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, hat der Verantwortliche sodann vorab eine Datenschutz-Folgeabschätzung vorzunehmen und gegebenenfalls vor der Verarbeitung die zuständige Aufsichtsbehörde zu konsultieren.
Im Falle von Datenschutzverletzungen besteht – ausser wenn diese voraussichtlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen – eine unverzügliche Meldepflicht an die zuständige Aufsichtsbehörde; bei einem hohen Risiko für die persönlichen Rechte und Freiheiten muss zudem auch die betroffene Person über die Verletzung informiert werden.
Unter Umständen muss ein Datenschutzbeauftragter ernannt werden, namentlich wenn die Kerntätigkeit eines Unternehmens eine umfangreiche, regelmässige und systematische Überwachung von betroffenen Personen erforderlich macht oder die umfangreiche Verarbeitung besonderer Kategorien von Daten (z.B. rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen; strafrechtliche Verurteilungen und Straftaten) betrifft.
Nicht in der EU niedergelassene Verantwortliche oder Auftragsverarbeiter müssen sodann einen Vertreter in der EU benennen, ausser wenn die Verarbeitung nur gelegentlich erfolgt, keine umfangreiche Verarbeitung besonderer Kategorien von Daten einschliesst und voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Person führt.
Und schliesslich führen die verstärkten Informationsrechte der betroffenen Personen für die Unternehmen zu umfangreichen Informations- und Transparenzpflichten im Zeitpunkt der Datenbeschaffung, so dass Hinweise in Allgemeinen Geschäftsbedingungen nicht mehr ausreichend sein werden, sondern Datenschutzerklärungen entsprechend auszugestalten sein werden.
V. FAZIT
In folgenden Konstellationen fallen Datenverarbeitungstätigkeiten von Schweizer Unternehmen in den Anwendungsbereich der DSGVO:
- Niederlassung in der EU
- Bearbeitung von Daten von in der EU befindlichen Personen, um Waren oder Dienstleistungen anzubieten oder deren Verhalten zu beobachten
Ist die DSGVO auf ein Schweizer Unternehmen anwendbar, bedeutet dies unter anderem, dass ein eigentliches Datenschutzmanagement implementiert werden muss. Da sich das schweizerische Datenschutzgesetz in Revision befindet und sich stark an der DSGVO orientieren wird, werden die neuen Datenschutzstandards gemäss DSGVO früher oder später ohnehin von sämtlichen Schweizer Unternehmen einzuhalten sein.
Sie werden sich also unabhängig von der Anwendbarkeit der DSGVO künftig auch unter revidiertem schweizerischem Datenschutzrecht stärker mit dem Datenschutz auseinandersetzen müssen. Prüfen Sie rechtzeitig die konkreten Auswirkungen auf Ihr Unternehmen.
Originally published February 2018
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
