Wann gilt die DSGVO in der Schweiz?
Von der EU-DSGVO sind nicht nur Unternehmen in EU-Staaten betroffen. In gewissen Fällen müssen sich auch hiesige Firmen mit der Datenschutz-Grundverordnung beschäftigen. Nun hat der Europäische Datenschutzausschuss seine finalisierten Leitlinien über den räumlichen Geltungsbereich der DSGVO veröffentlicht. Rechtsanwalt Martin Steiger zeigt drei Szenarien auf, in denen die DSGVO auch für Verantwortliche in der Schweiz gilt.
Die Datenschutz-Grundverordnung (DSGVO) beziehungsweise General Data Protection Regulation (GDPR) gilt nicht nur im Europäischen Wirtschaftsraum (EWR) einschliesslich Europäischer Union (EU). Die DSGVO gilt teilweise auch für Unternehmen und sonstige Verantwortliche in der Schweiz sowie anderen – aus Sicht der EU – sogenannten Drittstaaten.
Nun hat der Europäische Datenschutzausschuss (EDSA) seine finalisierten Leitlinien 3/2018 über den räumlichen Geltungsbereich der DSGVO auf Englisch veröffentlicht.
In folgenden Fällen gilt die DSGVO für Verantwortliche in der Schweiz und anderswo ausserhalb von EU-Europa:
Fall 1: Beabsichtigtes Angebot von Dienstleistungen und Waren an Personen im EWR
Gemäss dem sogenannten Marktortprinzip gilt die DSGVO für das beabsichtigte (oder tatsächliche) Angebot von Dienstleistungen und Waren an natürliche Personen im EWR (Art. 3 Abs. 2 lit. a DSGVO). Massgeblich ist die Absicht und nicht der Erfolg.
Die DSGVO gilt unabhängig von der jeweiligen Staatsbürgerschaft für alle betroffenen Personen im Europäischen Wirtschaftsraum (EWR) einschliesslich Europäischer Union (EU). Ob ein Angebot kostenlos oder kostenpflichtig ist, spielt keine Rolle.
In seinen Leitlinien nennt der EDSA neun Beispiele für die Anwendung von Art. 3 Abs. 2 lit. a DSGVO, unter anderem einen türkischen Onlineanbieter für Fotoalben (mit Hervorhebung):
A website, based and managed in Turkey, offers services for the creation, editing, printing and shipping of personalised family photo albums. The website is available in English, French, Dutch and German and payments can be made in Euros. The website indicates that photo albums can only be delivered by post mail in France, Benelux countries and Germany.
In this case, it is clear that the creation, editing and printing of personalised family photo albums constitute a service within the meaning of EU law. The fact that the website is available in four languages of the EU and that photo albums can be delivered by post in six EU Member States demonstrates that there is an intention on the part of the Turkish website to offer its services to individuals in the Union.
As a consequence, it is clear that the processing carried out by the Turkish website, as a data controller, relates to the offering of a service to data subjects in the Union and is therefore subject to the obligations and provisions of the GDPR, as per its Article 3(2)(a).
Bei diesem Beispiel muss ausserdem ein EU-Datenschutz-Vertreter gemäss Art. 27 DSGVO benannt werden:
In accordance with Article 27, the data controller will have to designate a representative in the Union.
Ein anderes Beispiel bezieht sich direkt auf die Schweiz (mit Hervorhebungen):
A Swiss University in Zurich is launching its Master degree selection process, by making available an online platform where candidates can upload their CV and cover letter, together with their contact details. The selection process is open to any student with a sufficient level of German and English and holding a Bachelor degree. The University does not specifically advertise to students in EU Universities, and only takes payment in Swiss currency.
As there is no distinction or specification for students from the Union in the application and selection process for this Master degree, it cannot be established that the Swiss University has the intention to target students from a particular EU member states. The sufficient level of German and English is a general requirement that applies to any applicant whether a Swiss resident, a person in the Union or a student from a third country. Without other factors to indicate the specific targeting of students in EU member states, it therefore cannot be established that the processing in question relates to the offer of an education service to data subject in the Union, and such processing will therefore not be subject to the GDPR provisions.
The Swiss University also offers summer courses in international relations and specifically advertises this offer in German and Austrian universities in order to maximise the courses’ attendance. In this case, there is a clear intention from the Swiss University to offer such service to data subjects who are in the Union, and the GDPR will apply to the related processing activities.
Ob ein beabsichtigtes Angebot gemäss Art. 3 Abs. 2 lit. a DSGVO vorliegt, muss im Einzelfall geprüft werden. Der EDSA nennt unter anderem folgende Faktoren, die allein oder gemeinsam auf ein beabsichtigtes Angebot hinweisen können:
Erwähnung der EU oder mindestens eines EWR-Mitgliedstaates im Zusammenhang mit angebotenen Dienstleistungen oder Waren;
Lieferung beziehungsweise Versand von Waren an Personen im EWR;
Werbung, die sich an ein Publikum im EWR richtet, zum Beispiel entsprechende Suchmaschinen-Werbung;
Veröffentlichung von Kontaktadressen und Telefonnummern oder Wegbeschreibungen für Personen im EWR;
Verwendung von Top Level Domains (TLDs) mit Bezug zur EU (.eu) oder zu mindestens einem EWR-Mitgliedstaat (zum Beispiel .at, .de oder .li);
Verwendung einer Sprache oder Währung, die in mindestens einem EWR-Mitgliedstaat verwendet wird;
Aktivitäten mit internationalem Charakter, zum Beispiel bestimmte touristische Aktivitäten;
Erwähnung einer internationalen Kundschaft mit Wohnsitz in verschiedenen EWR-Mitgliedstaaten.
Ein Angebot, das aus Versehen oder Zufall an Personen im EWR erfolgt, fällt nicht unter die DSGVO:
[…] the EDPB recalls that when goods or services are inadvertently or incidentally provided to a person on the territory of the Union, the related processing of personal data would not fall within the territorial scope of the GDPR.
Fall 2: Beobachtung von Personen und ihrem Verhalten im EWR (Tracking)
Die Beobachtung von Personen und ihrem Verhalten im Europäischen Wirtschaftsraum (EWR) einschliesslich Europäischer Union (EU) führt ebenfalls zu einer Geltung der DSGVO für die Bearbeitung der betreffenden Personendaten (Art. 3 Abs. 2 lit. b DSGVO). Die betroffenen Personen müssen sich im EWR aufhalten und das beobachtete Verhalten muss im EWR erfolgen. Es spielt keine Rolle, welche Staatsbürgerschaft eine betroffene Person hat.
Solche Verhaltensbeobachtung ist nicht auf das Internet beschränkt:
[…] the EDPB considers that tracking through other types of network or technology involving personal data processing should also be taken into account in determining whether a processing activity amounts to a behavioural monitoring, for example through wearable and other smart devices.
Nicht jede Beobachtung fällt in den Anwendungsbereich der DSGVO:
[…] The EDPB does not consider that any online collection or analysis of personal data of individuals in the EU would automatically count as ‹monitoring›. It will be necessary to consider the controller’s purpose for processing the data and, in particular, any subsequent behavioural analysis or profiling techniques involving that data. The EDPB takes into account […] that to determine whether processing involves monitoring of a data subject behaviour, the tracking of natural persons on the Internet, including the potential subsequent use of profiling techniques, is a key consideration.
Die Beispiele des EDSA, was als Verhaltensbeobachtung gelten kann, zeigen allerdings, dass viele Verantwortliche für Apps und Websites in der Schweiz sowie in anderen Drittstaaten davon ausgehen müssen, unter die DSGVO zu fallen:
personalisierte beziehungsweise verhaltensbasierte Werbung;
Geo-Lokalisierung, insbesondere für Marketingzwecke;
Tracking mit Cookies oder Fingerprinting;
personalisierte Auswertung von Essgewohnheiten und Gesundheitsdaten;
personalisierte Studien und Umfragen für Marktforschung;
Videoüberwachung (CCTV).
In seinen Leitlinien nennt der EDSA fünf Beispiele, unter anderem das WLAN-Tracking in einem französischen Einkaufszentrum durch ein amerikanisches Beratungsunternehmen (mit Hervorhebung):
A retail consultancy company established in the US provides advice on retail layout to a shopping centre in France, based on an analysis of customers’ movements throughout the centre collected through Wi-Fi tracking.
The analysis of a customers’ movements within the centre through Wi-Fi tracking will amount to the monitoring of individuals’ behaviour. In this case, the data subjects’ behaviour takes place in the Union since the shopping centre is located in France. The consultancy company, as a data controller, is therefore subject to the GDPR in respect of the processing of this data for this purpose as per its Article 3(2)(b).
Bei diesem Beispiel muss ausserdem ein EU-Datenschutz-Vertreter gemäss Art. 27 DSGVO benannt werden:
In accordance with Article 27, the data controller will have to designate a representative in the Union.
Fall 3: Niederlassung im Europäischen Wirtschaftsraum (EWR)
Die DSGVO ist "im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters" im Europäischen Wirtschaftsraum (EWR) einschliesslich Europäischer Union (EU) anwendbar und zwar "unabhängig davon, ob die Verarbeitung in der [EU] stattfindet" (Art. 3 Abs. 1 DSGVO).
Massgeblich ist "im Rahmen". Ein Unternehmen in der Schweiz, das beispielsweise über eine Niederlassung in Deutschland verfügt, wird allein durch die Niederlassung nicht mit der DSGVO "infiziert". Für die deutsche Niederlassung gilt hingegen vollumfänglich die DSGVO. Ob die DSGVO teilweise für das Unternehmen in der Schweiz gilt, hängt von den Aktivitäten beziehungsweise Tätigkeiten im Einzelfall ab.
Keine Anwendbarkeit der DSGVO folgt aus der blossen Abrufbarkeit einer schweizerischen Website im EWR. Genauso fallen Unternehmen in der Schweiz, die als Auftragsverarbeiter für Kunden im EWR tätig sind, allein dadurch nicht unter die DSGVO. Sie müssen aber einem Auftragsverarbeitungsvertrag gemäss Art. 28 DSGVO zustimmen, welcher dem Auftraggeber im EWR die Einhaltung der DSGVO ermöglicht.
In seinen Leitlinien nennt der EDSA sieben Beispiele, unter anderem eine chinesische E-Commerce-Anbieterin mit einer Niederlassung in Berlin (mit Hervorhebung):
An e-commerce website is operated by a company based in China. The personal data processing activities of the company are exclusively carried out in China. The Chinese company has established a European office in Berlin in order to lead and implement commercial prospection and marketing campaigns towards EU markets.
In this case, it can be considered that the activities of the European office in Berlin are inextricably linked to the processing of personal data carried out by the Chinese e-commerce website, insofar as the commercial prospection and marketing campaign towards EU markets notably serve to make the service offered by the e-commerce website profitable. The processing of personal data by the Chinese company in relation to EU sales is indeed inextricably linked to the activities of the European office in Berlin relating to commercial prospection and marketing campaign towards EU market. The processing of personal data by the Chinese company in connection with EU sales can therefore be considered as carried out in the context of the activities of the European office, as an establishment in the Union. This processing activity by the Chinese company will therefore be subject to the provisions of the GDPR as per its Article 3(1).
Gleichzeitig begründet ein Arbeitnehmer, der im EWR arbeitet, nicht zwingend ein «stable agreement», das zu einer Niederlassung und damit zur Anwendbarkeit der DSGVO führt (mit Hervorhebung):
[…] in some circumstances, the presence of one single employee or agent of a non-EU entity in the Union may be sufficient to constitute a stable arrangement […]. Conversely, when an employee is based in the EU but the processing is not being carried out in the context of the activities of the EU-based employee in the Union (i.e. the processing relates to activities of the controller outside the EU), the mere presence of an employee in the EU will not result in that processing falling within the scope of the GDPR. In other words, the mere presence of an employee in the EU is not as such sufficient to trigger the application of the GDPR, since for the processing in question to fall within the scope of the GDPR, it must also be carried out in the context of the activities of the EU-based employee.
Welche Verantwortlichen benötigen einen EU-Datenschutz-Vertreter?
Unternehmen und sonstige Verantwortliche in Drittstaaten müssen, sofern sie in den Anwendungsbereich der DSGVO fallen, grundsätzlich einen EU-Datenschutz-Vertreter als (zusätzliche) Anlaufstelle für Aufsichtsbehörden und betroffene Personen benennen:
Data controllers or processors subject to the GDPR […] are under the obligation to designate a representative in the Union. A controller or processor not established in the Union but subject to the GDPR failing to designate a representative in the Union would therefore be in breach of the Regulation.
In seinen Leitlinien hält der EDSA in Bezug auf die EU-Datenschutz-Vertretung fest, was sich im Wesentlichen bereits dem einschlägigen Art. 27 DSGVO entnehmen lässt, unter anderem:
Der EU-Datenschutz-Vertreter kann eine juristische oder natürliche Person mit Sitz in einem Mitgliedstaat sein, wo sich Personen aufhalten, deren Daten durch einen Verantwortlichen ausserhalb der EU befinden, bearbeitet werden;
Ein EU-Datenschutz-Vertreter kann für mehrere Verantwortliche und Auftragsverarbeiter tätig sein;
Ein EU-Datenschutz-Vertreter kann nicht gleichzeitig als Auftragsverarbeiter oder Datenschutzbeauftragter tätig sein;
Verantwortliche und Auftragsverarbeiter müssen ihren jeweiligen EU-Datenschutz-Vertreter dokumentieren, damit dieser seine Aufgaben wahrnehmen kann, zum Beispiel bei direkten Anfragen von Aufsichtsbehörden.
Ein EU-Datenschutz-Vertreter soll in erster Linie die Kommunikation zwischen betroffenen Personen und Verantwortlichen erleichtern, damit betroffene Personen ihre datenschutzrechtlichen Ansprüche wirkungsvoll wahrnehmen können;
Verantwortliche und Auftragsverarbeiter müssen ihren EU-Datenschutz-Vertreter nicht an Aufsichtsbehörden melden, aber im Rahmen der allgemeinen Informationspflichten auf den EU-Datenschutz-Vertreter hinweisen, zum Beispiel in der Datenschutzerklärung auf ihrer Website;
Ein EU-Datenschutz-Vertreter soll bei Anfragen von Aufsichtsbehörden in erster Linie den formellen oder informellen Austausch zwischen der anfragenden Aufsichtsbehörde sowie dem jeweiligen Verantwortlichen oder Auftragsverarbeiter ermöglichen.
Der jeweilige EU-Datenschutz-Vertreter ist keine Niederlassung gemäss Art. 3 Abs. 1 DSGVO. Verantwortliche, die es versäumen, einen erforderlichen EU-Datenschutz-Vertreter zu benennen, verletzen die DSGVO.
Fazit: DSGVO gilt in vielen Fällen für Unternehmen in der Schweiz
Die Leitlinien 2018/3 helfen bei der Beurteilung, ob Unternehmen und sonstige Verantwortliche in der Schweiz sowie in anderen Drittstaaten unter die DSGVO fallen.
Erfreulicherweise räumen die Leitlinien mit einigen populären Missverständnissen auf. So wird festgehalten, dass ein schweizerischer Auftragsverarbeiter allein durch Kunden im EWR nicht mit der DSGVO "infiziert" wird und dass die DSGVO unabhängig von der Staatsbürgerschaft der betroffenen Personen gilt.
Im Ergebnis bestätigen die Leitlinien, dass die DSGVO in vielen Fällen für Unternehmen in der Schweiz gilt: Unternehmen und andere Verantwortliche in der Schweiz müssen sich fragen, ob sie auch ohne formelle Niederlassung im EWR unter die DSGVO fallen. Mit – auch kostenlosen – Angeboten an Personen im EWR oder mit dem allgegenwärtigen Tracking in Apps sowie auf Websites sind die Voraussetzungen für eine teilweise Anwendbarkeit der DSGVO in vielen Fällen erfüllt.
Für zahlreiche Unternehmen in der Schweiz gilt die DSGVO, weil sich ihr Angebot an Personen im Fürstentum Liechtenstein richtet. Bei Online-Angeboten, gerade auch kostenlosen Online-Angeboten, ist das Tracking von Personen im EWR weit verbreitet.
Immerhin: Die DSGVO ist für schweizerische Unternehmen fast immer nur teilweise anwendbar, nämlich auf die Bearbeitung von Daten von Personen aus dem EWR:
The EDPB stresses that a controller or processor may be subject to the GDPR in relation to some of its processing activities but not subject to the GDPR in relation to other processing activities. The determining element to the territorial application of the GDPR as per Article 3(2) lies in the consideration of the processing activities in question.
Es ist deshalb wichtig, sich nicht leichtfertig vollständig der DSGVO zu unterstellen. Die eigene Datenschutzerklärung, aber auch Verträge mit Geschäftspartnern und Kunden im EWR müssen sorgfältig geprüft werden.
Es gibt inzwischen unzählige Fälle, wo sich Unternehmen in der Schweiz ohne Not durch eine entsprechende Datenschutzerklärung oder durch die Unterzeichnung von entsprechenden Verträgen vollständig der DSGVO unterstellt haben, ohne die DSGVO aber einhalten zu können oder zu wollen.
Dieser Beitrag erschien zuerst auf steigerlegal.ch