Von der seit 2018 geltenden Datenschutz-Grundverordnung (DSGVO) sind nicht nur Unternehmen in der Europäischen Union betroffen. Die DSGVO ist auch für eine Vielzahl von Schweizer Unternehmen von grosser Bedeutung. Wir erklären Ihnen, wann genau auch Ihre Unternehmung betroffen ist.
Räumlicher Anwendungsbereich der DSGVO für Schweizer Unternehmen
Die DSGVO enthält in Art. 3 hinsichtlich des räumlichen Anwendungsbereichs zwei Prinzipien:
- Zum einen das Niederlassungsprinzip,
- zum anderen das Marktortprinzip, welches wiederum differenziert, ob den betroffenen Personen in der europäischen Union Waren bzw. Dienstleistungen angeboten werden oder ob das Verhalten betroffener Personen in der EU beobachtet
Niederlassung in der EU
Nach dem räumlichen Anwendungsbereich ist ein Schweizer Unternehmen zur Beachtung der DSGVO verpflichtet, wenn das Unternehmen Personendaten im Rahmen der Tätigkeit einer europäischen Zweigstelle oder einer Tochtergesellschaft in der Europäischen Union bearbeitet. Eine Niederlassung setzt die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus, die Rechtsform dieser Einrichtung ist nicht relevant.
Beispiel: Ein Unternehmen mit Sitz in der Schweiz hat eine Zweigstelle in Deutschland, da das Unternehmen in die EU expandieren möchte. Soweit die Datenbearbeitung von Personendaten im Rahmen der Tätigkeit der Niederlassung erfolgt, findet die DSGVO auf alle betroffenen Bearbeitungen Anwendung.
Marktortprinzip – Zielgruppen in der EU
Die DSGVO gilt aufgrund des Marktortprinzips für Schweizer Unternehmen, die sie Waren oder Dienstleistungen an Personen anbieten, die sich in der Europäischen Union aufhalten. Massgeblich ist hierbei die Absicht und nicht der konkrete Erfolg. Irrelevant ist zudem, ob ein Angebot kostenpflichtig ist oder kostenlos.
Faktoren, dass ein Angebot an Personen in der EU gerichtet ist, können die Angabe spezieller Adressen oder Telefonnummern sein, die von Kunden in der Europäischen Union genutzt werden sollen, die Verwendung anderer Sprachen oder Währungen oder die Erwähnung von Kunden in der Europäischen Union.
Beispiel: Ein Unternehmen in der Schweiz betreibt einen Onlineshop und verkauft Waren an Kunden mit Wohnsitz in Deutschland. Die DSGVO findet hier Anwendung da Waren Personen in der EU angeboten werden.
Marktortprinzip – Verhaltensbeachtung von betroffenen Personen in der EU
Schweizer Unternehmen, die zwar keine Waren oder Dienstleistungen an Personen in der Europäischen Union anbieten, aber das Verhalten von Personen in der EU beobachten, fallen ebenfalls in den Anwendungsbereich der DSGVO. Die Person muss sich in der Europäischen Union aufhalten und das beobachtete Verhalten muss ebenfalls in der EU stattfinden.
Die Staatsbürgerschaft dieser Personen ist auch hier nicht relevant. Diese verhaltensbezogene Beobachtung umfasst zum Beispiel die Erstellung eines Profils einer Person, anhand dessen persönliche Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.
Beispiel: Ein Schweizer Unternehmen setzt Webtracking unter der Verwendung von Cookies ein, um Informationen über Interessen, Vorlieben oder Gewohnheiten von Kunden aus der EU zu erlangen. Da die Cookies auf den Endgeräten von Nutzern, die sich in der EU aufhalten, gespeichert werden, findet die Beobachtung in der Europäischen Union statt, auch wenn bspw. die Website bzw. die Analytics-Software in der Schweiz gehostet werden.
DSGVO-Anforderungen und drohende Bussen
Die Anwendbarkeit der DSGVO bringt zahlreiche Pflichten für Schweizer Unternehmen mit sich und die Umsetzung der gesetzlichen Anforderungen erfordert einen gewissen Aufwand. Schweizer Unternehmen, die keine Niederlassung in der EU haben, aber unter das Marktortprinzip der DSGVO fallen, müssen z.B. einen EU-Vertreter benennen.
Verstösse gegen die DGSVO haben durch zunehmende Sanktionen der Aufsichtsbehörden immer öfter schwerwiegende Folgen. Unternehmen können mit einer Busse von bis zu 20 Millionen Euro bzw. 4 Prozent des Jahresumsatzes belegt werden – je nachdem, welcher Betrag höher ist. Zudem drohen gerichtlich durchgesetzte Unterlassungsansprüche und Schadensersatzforderungen von Betroffenen (siehe dazu auch die DSGVO-Urteilsbesprechungen unserer Partnerkanzlei in Deutschland).
Fazit und Ausblick auf das neue schweizerische Datenschutzgesetz
Vor allem aufgrund des DSGVO-Marktortprinzips und der räumlichen Nähe der Schweiz zur EU, greifen für viele Unternehmen in der Eidgenossenschaft auch die Vorgaben der Datenschutz-Grundverordnung. Im Zweifel lohnt es sich, die EU-Vorgaben zum Datenschutz einzuhalten, Um Bussgelder zu vermeiden.
Dafür sind Unternehmen, die bereits die Vorgaben aus der DSGVO umgesetzt haben, im Hinblick auf das neue Schweizer Bundesgesetz über den Datenschutz (Datenschutzgesetz – DSG) gut vorbereitet.
Diejenigen Schweizer Unternehmen, die bisher nicht von der DSGVO betroffen waren, müssen bis zum Inkrafttreten des Schweizer Bundesgesetzes über den Datenschutz am 1. September 2023 unbedingt aufholen, um hohe Bussen zu vermeiden.