Viele Schweizer Unternehmen fragen sich, ob sie die europäische Datenschutz-Grundverordnung (DSGVO) beachten müssen. Schliesslich ist die DSGVO ein Gesetz der Europäischen Union, und die Schweiz ist kein Mitglied der EU. Die Antwort ist jedoch nicht immer einfach. Die DSGVO kann unter bestimmten Umständen auch für Unternehmen gelten, die ihren Sitz ausserhalb der EU haben, einschliesslich der Schweiz. Dies liegt an ihrem sogenannten extraterritorialen Geltungsbereich. Das heisst, die Regeln der DSGVO können anwendbar sein, auch wenn die Datenverarbeitung nicht in der EU stattfindet und das Unternehmen keinen Sitz in der EU hat.
Die Frage der Anwendbarkeit der DSGVO auf Schweizer Unternehmen ist oft komplex und hängt stark von den spezifischen Aktivitäten des Unternehmens ab. Es gibt klare Fälle, in denen die DSGVO nicht gilt, aber auch einen grossen Graubereich, der eine genaue Analyse erfordert. Insbesondere zwei Konstellationen sind hierbei entscheidend und lösen die Anwendbarkeit der DSGVO für ein Unternehmen ohne Niederlassung in der EU aus.
Wann gilt die DSGVO für Schweizer Unternehmen? Die entscheidenden Kriterien
Die DSGVO findet auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter Anwendung, wenn die Verarbeitungstätigkeiten im Zusammenhang mit einem der folgenden Punkte stehen:
- Der Anbietung von Waren oder Dienstleistungen für betroffene Personen in der Union, unabhängig davon, ob hierfür von den betroffenen Personen eine Zahlung zu leisten ist.
- Der Beobachtung des Verhaltens betroffener Personen, soweit ihr Verhalten in der Union erfolgt.
Die erste Konstellation ist oft einfacher zu beurteilen, die zweite und dritte (Anbieten von Waren/Dienstleistungen und Beobachtung von Verhalten) erfordern eine genauere Betrachtung.
Konstellation 1: Angebot von Waren oder Dienstleistungen an Personen in der EU
Die erste wichtige Situation, in der die DSGVO für ein Schweizer Unternehmen gelten kann, ist das gezielte Anbieten von Waren oder Dienstleistungen an Personen, die sich in der EU aufhalten. Dabei spielt es keine Rolle, ob für diese Angebote bezahlt wird oder ob sie kostenlos sind.
Die Kernfrage ist hier, ob das Angebot *an* Personen in der EU gerichtet ist. Es geht darum, ob das Verhalten des Unternehmens die Absicht erkennen lässt, die Produkte oder Dienstleistungen gezielt EU-Einwohnern anzubieten. Es reicht dabei nicht aus, dass die Webseite des Schweizer Unternehmens einfach nur aus der EU zugänglich ist oder dass eine Sprache verwendet wird, die auch in einem EU-Land gesprochen wird (z.B. Deutsch oder Französisch).
Faktoren, die stark darauf hindeuten, dass ein Angebot auf die EU ausgerichtet ist, können sein:
- Die Möglichkeit, Bestellungen in einer anderen Sprache als der Hauptsprache des Unternehmenslandes aufzugeben.
- Die Erwähnung von Kunden oder Nutzern mit Wohnsitz in der EU auf der Webseite oder in Marketingmaterialien.
- Die Verwendung einer Währung, die in einem EU-Mitgliedstaat gebräuchlich ist (z.B. Euro), als Zahlungsoption.
- Spezielle Adressen oder Telefonnummern, die explizit für Kontakte aus EU-Ländern angegeben sind.
- Die Bewerbung eines internationalen Kundenkreises, der Kunden aus verschiedenen EU-Ländern umfasst.
- Die Nutzung von Top-Level-Domain-Namen, die auf die EU oder einzelne EU-Länder hinweisen (z.B. «.de», «.eu»), anstelle der schweizerischen «.ch».
- Die internationale Natur der angebotenen Tätigkeit, wie beispielsweise bestimmte touristische Angebote oder grenzüberschreitende Online-Dienste.
Ein Schweizer Unternehmen kann die Anwendung der DSGVO nicht umgehen, indem es lediglich auf seiner Webseite erklärt, keine Waren oder Dienstleistungen an EU-Kunden anzubieten, wenn diese technisch dennoch bestellt werden können. Wenn jedoch durch technische Massnahmen sichergestellt wird, dass Personen aus einem EU-Staat nicht auf die Webseite zugreifen oder keine Bestellungen ausführen können (z.B. durch Geoblocking), ist die DSGVO in Bezug auf diese Angebote in der Regel nicht anwendbar.
Betrachten wir ein Beispiel, das *nicht* unter diese Konstellation fällt:
Ein Privatunternehmen mit Sitz in Monaco verarbeitet personenbezogene Daten seiner Mitarbeiter für Zwecke der Gehaltszahlung. Zahlreiche Beschäftigte des Unternehmens wohnen in Frankreich und Italien. Obwohl die betroffenen Personen in der EU leben, erfolgt die Verarbeitung der Daten hier im Rahmen des Arbeitsverhältnisses (Personalmanagement, Gehaltszahlung), nicht im Rahmen eines Angebots von Waren oder Dienstleistungen an diese Personen als Kunden oder Nutzer. Daher unterliegt diese spezifische Verarbeitung nicht der DSGVO.
Ein weiteres Beispiel (aus dem Text):
Eine Schweizer Universität bietet einen Master-Studiengang an und nutzt eine Online-Plattform für das Bewerbungsverfahren. Bewerber aus der EU können ihre Unterlagen hochladen. Die Zulassung erfordert ausreichende Deutsch- und Englischkenntnisse und einen Bachelor-Abschluss. Die Universität wirbt nicht gezielt in EU-Ländern und akzeptiert nur Zahlungen in Schweizer Franken. Da die Anforderungen (Sprachkenntnisse, Abschluss) allgemein sind und für alle Bewerber gelten, unabhängig von ihrem Wohnort, und keine gezielte Bewerbung in der EU erfolgt, kann nicht davon ausgegangen werden, dass die Universität beabsichtigt, Studierende aus bestimmten EU-Ländern gezielt anzusprechen. Die DSGVO ist in diesem Fall für die Verarbeitung der Bewerberdaten voraussichtlich nicht anwendbar.
Konstellation 2: Beobachtung des Verhaltens betroffener Personen in der EU
Die zweite wichtige Bedingung, die die DSGVO für ein Schweizer Unternehmen relevant machen kann, ist die Beobachtung des Verhaltens von Personen, deren Verhalten *in der EU* stattfindet. Dies bezieht sich oft auf Online-Verhalten.
Unter «Verhalten» im Sinne der DSGVO kann beispielsweise das Surfverhalten auf einer Webseite verstanden werden. Das «Beobachten» umfasst Tätigkeiten wie das Erstellen von Profilen, um persönliche Vorlieben, Verhaltensweisen oder Gewohnheiten zu analysieren oder vorherzusagen. Es geht darum, das Verhalten von Personen zu verfolgen und auszuwerten, um Erkenntnisse über sie zu gewinnen.
Damit eine Tätigkeit als «Beobachtung des Verhaltens» im Sinne der DSGVO gilt, muss das Unternehmen bei der Erhebung und Weiterverwendung der Daten einen bestimmten Zweck verfolgen, der über die reine technische Notwendigkeit hinausgeht. Nicht jede Online-Erhebung oder -Analyse von Daten von EU-Personen fällt automatisch unter die Definition der Beobachtung. Es muss eine gezielte Verfolgung und Auswertung des Verhaltens stattfinden.
Beispiele für Tätigkeiten, die als Beobachtung des Verhaltens gelten können:
- Schaltung von verhaltensbezogener Werbung (Targeting basierend auf Nutzerverhalten).
- Geolokalisierungsaktivitäten, insbesondere wenn sie für Marketingzwecke genutzt werden.
- Online-Tracking mittels Cookies, Fingerprinting oder ähnlichen Technologien zur Erstellung von Nutzerprofilen.
- Angebote personalisierter Online-Dienste, die auf einer Analyse individueller Daten und Verhaltensweisen basieren (z.B. personalisierte Gesundheits- oder Ernährungspläne online).
- Markt- und Verhaltensstudien, die auf der Analyse individueller Profile von Personen in der EU beruhen.
Ein klares Beispiel hierfür (aus dem Text):
Ein Beratungsunternehmen mit Sitz in den USA berät ein Einkaufszentrum in Frankreich. Die Beratung basiert auf einer Analyse der Kundenbewegungen innerhalb des Zentrums, die mittels Wi-Fi-Tracking erfasst werden. In diesem Fall findet das Verhalten (die Bewegung der Kunden) in der EU (in Frankreich) statt. Das US-Unternehmen beobachtet dieses Verhalten gezielt zu einem bestimmten Zweck (Beratung des Einkaufszentrums). Folglich unterliegt das US-Beratungsunternehmen als Verantwortlicher für diese Datenverarbeitung der DSGVO.
Folgen der DSGVO-Anwendbarkeit für Schweizer Unternehmen
Wenn die DSGVO auf Ihr Schweizer Unternehmen Anwendung findet, zieht dies wesentliche Pflichten nach sich:
- Einhaltung der DSGVO-Regeln: Sie müssen die (teilweise schärferen) Vorschriften der DSGVO einhalten. Dies betrifft unter anderem die Rechtsgrundlagen für die Datenverarbeitung, Informationspflichten gegenüber Betroffenen, deren Rechte (Auskunft, Löschung, Widerspruch etc.), die Datensicherheit, die Pflicht zur Führung eines Verarbeitungsverzeichnisses, die Durchführung von Datenschutz-Folgenabschätzungen bei risikoreichen Verarbeitungen und die Meldung von Datenpannen. Die Einhaltung kann komplex sein und erfordert oft eine Anpassung der internen Prozesse und Dokumentation.
- Bestellung eines EU-Vertreters: Unternehmen ausserhalb der EU, die unter die DSGVO fallen und keine Niederlassung in der EU haben, müssen in der Regel einen schriftlich beauftragten Vertreter in einem der Mitgliedstaaten bestellen, in dem sich die von der Verarbeitung betroffenen Personen befinden. Dieser Vertreter dient als Anlaufstelle für Aufsichtsbehörden und betroffene Personen in der EU. Es gibt Ausnahmen von dieser Pflicht, z.B. bei gelegentlicher Verarbeitung oder wenn die Verarbeitung voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen birgt, es sei denn, es handelt sich um eine umfangreiche Verarbeitung besonderer Datenkategorien oder von Daten über strafrechtliche Verurteilungen und Straftaten.
- Sanktionen nach der DSGVO: Bei Verstössen gegen die DSGVO findet das europäische Sanktionensystem Anwendung. Dieses sieht potenziell sehr hohe Bussen vor, die deutlich über den Rahmen des schweizerischen Datenschutzgesetzes liegen können. Die Bussen können bis zu 20 Millionen Euro oder 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen, je nachdem, welcher Wert höher ist. Diese Bussen werden gegen das Unternehmen verhängt, nicht gegen einzelne verantwortliche Personen. Die Gefahr empfindlicher Geldbussen ist ein Hauptgrund, warum Schweizer Unternehmen die Anwendbarkeit der DSGVO sorgfältig prüfen sollten.
Der Graubereich und die Empfehlung
Wie die Beispiele zeigen, ist die Abgrenzung, wann die DSGVO für ein Schweizer Unternehmen gilt und wann nicht, oft schwierig. Es gibt einen beträchtlichen Graubereich, in dem die Beurteilung im Einzelfall knifflig sein kann. Die Kriterien sind nicht immer eindeutig und erfordern eine genaue Analyse der konkreten Geschäftstätigkeiten und der Art der Datenverarbeitung.
Die blosse Existenz einer Webseite, die aus der EU aufgerufen werden kann, oder die Verwendung einer in der EU verbreiteten Sprache reichen für sich genommen nicht aus. Aber die Kombination mehrerer Faktoren wie gezielte Werbung in der EU, EU-Währung, EU-spezifische Kontaktinformationen oder das systematische Tracking des Verhaltens von EU-Nutzern kann schnell zur Anwendbarkeit führen.
Angesichts der potenziell schwerwiegenden Folgen bei Nichtbeachtung (hohe Bussen) wird generell empfohlen, im Zweifelsfall von der Anwendbarkeit der DSGVO auszugehen, um auf Nummer sicher gehen zu können. Eine vorsichtige Herangehensweise ist hier angebracht.
Für Schweizer Unternehmen, die potenziell unter die DSGVO fallen könnten, ist es ratsam, sich umfassend zu informieren und gegebenenfalls rechtlichen Rat einzuholen. Eine fundierte Rechtsberatung durch Experten im Datenschutzrecht kann helfen, die spezifische Situation des Unternehmens zu bewerten und die notwendigen Massnahmen zur Einhaltung der DSGVO zu ergreifen.
Häufig gestellte Fragen zur DSGVO und Schweizer Unternehmen
- Gilt die DSGVO automatisch für jedes Schweizer Unternehmen?
- Nein, die DSGVO gilt nicht automatisch für jedes Schweizer Unternehmen. Sie gilt nur, wenn das Unternehmen personenbezogene Daten von Personen in der EU verarbeitet und diese Verarbeitung im Zusammenhang mit dem Anbieten von Waren/Dienstleistungen an diese Personen oder der Beobachtung ihres Verhaltens in der EU steht.
- Reicht es aus, wenn meine Webseite aus der EU zugänglich ist, damit die DSGVO gilt?
- Die blosse Zugänglichkeit einer Webseite aus der EU ist in der Regel kein ausreichender Grund für die Anwendung der DSGVO. Es müssen weitere Faktoren hinzukommen, die auf eine gezielte Ausrichtung auf den EU-Markt hindeuten.
- Welche Faktoren deuten darauf hin, dass ich Waren oder Dienstleistungen an Personen in der EU anbiete?
- Faktoren können die Verwendung von EU-Währungen, die Möglichkeit, die Webseite in EU-Sprachen zu nutzen (über die Hauptsprache hinaus), die Erwähnung von EU-Kunden, die Angabe von EU-Kontaktadressen oder die Nutzung von EU-spezifischen Top-Level-Domains sein.
- Kann ich die Anwendbarkeit der DSGVO verhindern, indem ich auf meiner Webseite erkläre, nicht an die EU zu verkaufen?
- Eine solche Erklärung allein verhindert die Anwendbarkeit nicht, wenn Ihre Geschäftstätigkeiten faktisch auf Personen in der EU ausgerichtet sind oder deren Verhalten beobachten. Nur technische Massnahmen, die EU-Nutzer effektiv ausschliessen, können die Anwendbarkeit unterbinden.
- Was versteht man unter "Beobachtung des Verhaltens" im Sinne der DSGVO?
- Darunter fallen Tätigkeiten wie Online-Tracking (mittels Cookies, etc.), Profiling zu Marketingzwecken, Geolokalisierung für Marketing oder andere Analysen des Online-Verhaltens von Personen, die sich in der EU aufhalten.
- Was sind die Hauptfolgen, wenn die DSGVO für mein Schweizer Unternehmen gilt?
- Sie müssen die strengen Regeln der DSGVO einhalten, müssen unter Umständen einen EU-Vertreter bestellen und sind dem Risiko hoher Bussen bei Verstössen ausgesetzt.
Zusammenfassend lässt sich sagen, dass die Frage der DSGVO-Anwendbarkeit für Schweizer Unternehmen komplex ist und eine sorgfältige Prüfung der spezifischen Geschäftstätigkeiten erfordert. Die extraterritoriale Wirkung der DSGVO kann dazu führen, dass auch Unternehmen ohne Sitz in der EU die europäischen Datenschutzvorschriften beachten müssen, insbesondere wenn sie sich an Personen in der EU richten oder deren Verhalten beobachten. Angesichts der potenziell hohen Bussen ist eine proaktive Klärung und gegebenenfalls Anpassung der Datenverarbeitungsprozesse dringend anzuraten.
Hat dich der Artikel DSGVO: Geltung für Schweizer Unternehmen? interessiert? Schau auch in die Kategorie Ogólny rein – dort findest du mehr ähnliche Inhalte!