Müssen Schweizer Unternehmen einen Vertreter in der EU ernennen?

Die Datenschutz Grundverordnung der Europäischen Union (DSGVO) betrifft auch Schweizer Unternehmen. Zahlreiche Unternehmen, die in den Anwendungsbereich der DSGVO fallen, wissen das bereits und haben sich an die Vorschriften angepasst. Es existiert aber eine unbekannte Vorschrift in der DSGVO, die Schweizer Unternehmen dazu verpflichtet, einen Vertreter als Ansprechperson für europäische Behörden zu ernennen. Verstösse gegen diese Vorschrift können Bussen in Höhe von bis zu 10'000'000 EUR oder 2% des Jahresumsatzes nach sich ziehen. Derartige Verstösse sind daher dringend zu vermeiden. Wie das geht, erfährst Du in diesem Beitrag.

Fällt mein Unternehmen in den Anwendungsbereich der DSGVO?

Die DSGVO ist ein Gesetz der europäischen Union, das auch für die EFTA Staaten Norwegen, Island und Fürstentum Liechtenstein gilt. Wieso findet es dann auch in der Schweiz Anwendung? Es liegt daran, dass die DSGVO «extraterritoriale Wirkung» hat. Das heisst sie wirkt unter gewissen Voraussetzungen auch gegenüber Unternehmen aus Drittstaaten wie die Schweiz. Nachfolgend sind die drei wichtigsten Situationen dargestellt, bei denen Datenbearbeitungen durch Schweizer Unternehmen unter die DSGVO fallen können.

• Dein Unternehmen mit Sitz in der Schweiz hat eine Niederlassung in der EU (Zweigstelle oder Tochtergesellschaft), die personenbezogene Daten bearbeitet und die Bearbeitung steht im Rahmen der Tätigkeit der EU Niederlassung.

• Dein Unternehmen mit Sitz in der Schweiz bietet in der EU Waren/Dienstleistungen an (Es ist unerheblich, ob die Ware/Dienstleistung kostenlos oder kostenpflichtig angeboten wird).

• Dein Unternehmen mit Sitz in der Schweiz beobachtet das Verhalten von Personen, die sich in der EU befinden (Es geht insbesondere um Erhebung von personenbezogenen Daten um verhaltensbasierte Werbung anzeigen zu können).

Schweizerische Unternehmen, die Szenario 2 und 3 erfüllen, sind nach Art. 27 DSGVO verpflichtet, einen Vertreter in der EU zu ernennen. Von dieser Pflicht ausgenommen sind Behörden, öffentliche Stellen und Unternehmen, die nur wenig umfangreiche und risikolose Bearbeitungen von Personendaten vornehmen. Ein solcher Vertreter muss keine Tochtergesellschaft sein, sondern es kann sich dabei auch um einen Dienstleister handeln, der die Vertreterposition gewerbsmässig anbietet.

 (Quelle und weiterführende Informationen: https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/Die_EU_DSGVO_und_ihre_Auswirkungen_auf_die_Schweiz_DE_Nov18.pdf.download.pdf/Die_EU_DSGVO_und_ihre_Auswirkungen_auf_die_Schweiz_DE_Nov18.pdf)

Weshalb muss ein Vertreter in der EU ernannt werden?

Wie bereits erwähnt, hat die DSGVO «extraterritoriale Wirkung». Daraus ergibt sich, dass die EU bestrebt ist, die DSGVO auch gegen Drittstaaten zu vollziehen. In der EU selbst sind alle Mitgliedstaaten verpflichtet, eine Aufsichtsbehörde zu ernennen, welche die Einhaltung der DSGVO überwacht. Die Schweiz ist als Drittland nicht dazu verpflichtet. Wie soll dann die DSGVO in der Schweiz vollzogen werden? Die EU möchte dieses Problem lösen, indem sie Unternehmen aus Drittstaaten verpflichtet einen Vertreter in der EU zu ernennen. Dieser soll als Anlaufstelle für die Aufsichtbehörden dienen. Die EU möchte dadurch einerseits Sprachbarrieren und schlechte Infrastruktur (z.B. unzuverlässige Post in Entwicklungsländern) überwinden und andererseits den Vertreter als «Sündenbock» für allfällige Verstösse einsetzen. Auf diese Weise können die EU-Aufsichtsbehören direkt auf den Vertreter «losgehen» und sich damit die Mühe ersparen, allfällige Vollzugsmassnahmen anderweitig durchsetzen zu müssen.

Es ist noch anzumerken, dass in Bezug auf die Schweiz vor allem die Durchsetzung von Vollzugsmassnahmen ein Problem darstellt. Daher ist in erster Linie auf diesen Problembereich einzugehen. Keine Kontaktmöglichkeiten oder Sprachbarrieren stellen kaum ein Problem dar.

Was passiert wenn ein Schweizer Unternehmen keinen Vertreter ernennt?

Wieso sollte ein Schweizer Unternehmen einen Vertreter ernennen? Das ist eine berechtigte Frage. Die DSGVO stellt den Anspruch, auch in Drittländern die DSGVO durchsetzen zu können. Dies erfolgt mittels Untersuchungshandlungen, Verwarnungen, Verhaltensweisen und Geldbussen. Die Durchsetzung der DSGVO ist aber nur möglich, wenn es jemanden gibt, gegen den man sie durchsetzen kann.

Es scheint daher strategisch klug, einfach keinen Verteter zu ernennen. Ganz nach dem Motto: «Wo kein Angeklagter, da kein Richter». Eine allfällige Busse wegen einem Vertoss gegen die Vertreterpflicht könnten die EU-Aufsichtsbehörden schliesslich nicht durchsetzen, zumal kein Vertreter existiert gegen den die EU-Aufsichtsbehörden Vollzugsmassnahmen durchsetzen können. Diese Strategie ist vertretbar, aber mit Risiken und Nachteilen verbunden und daher kritisch zu betrachten.

Was sind die Risiken und Nachteile der Vertreterverweigerung?

Vorweg ist anzumerken, dass es in diesem Zusammenhang keine gängige Praxis oder Präzedenzfälle gibt. Es handelt sich bei den nachstehenden Ausführungen um reine Einschätzungen.

Wird kein Vertreter ernannt, wird es für die EU-Aufsichtsbehörden schwierig, die DSGVO direkt gegen Schweizer Unternehmen durchzusetzen. So schwierig, dass es als formell unmöglich bezeichnet werden kann. Lothar Determann, ein Experte für Datenschutz schreibt dazu:

«fines imposed under the GDPR against companies outside the EU will be difficult if not impossible to enforce outside the EU»

(Quelle: https://tmt.bakermckenzie.com/-/media/minisites/tmt/files/2018/10/representatives-under-art-27-of-the-gdpr-iapp-2018.pdf?la=en)

Doch wo ein Wille ist, ist auch ein Weg. Ein mögliches Mittel ist ein Hinweis an den EDÖB. Nach internationalem Recht ist der EDÖB berechtigt das DSG (Schweizer Datenschutzgesetz) auch auf Datenverarbeitungen im Ausland anzuwenden. Zudem ist der EDÖB berechtigt, die zwingenden Bestimmungen der DSGVO zu berücksichtigen, insofern ein offensichtlich überwiegendes und schützenswertes Interesse an der Berücksichtigung vorliegt.

Diese Methode funktioniert nur, wenn der EDÖB daran interessiert ist, das DSG im Ausland oder die DSGVO gegen CH-Unternehmen durchzusetzen. Ist er das nicht, besteht kaum eine Chance für die EU auf eine erfolgreiche Durchsetzung der DSGVO gegen schweizerische Unternehmen ohne Vertreter. Der EDÖB hat sich öffentlich bisher nicht dazu geäussert. Auf Nachfrage verweist er auf die fehlende Praxis und weist darauf hin, dass es primär vom Vorgehen und Durchsetzungwillen der EU-Aufsichtbehörden abhängt, wie der EDÖB reagieren wird. Theoretisch ist davon auszugehen, dass der EDÖB in Fällen, welche die Interessen der Schweiz besonders schwer tangieren, auf die Hinweise der EU-Aufsichtsbehörden reagieren wird. Die Praxis der kommenden Jahre wird Klarheit schaffen. Auf anderweitige Amts- und Rechtshilfe können die EU-Behörden nicht setzen, weil entsprechende Abkommen fehlen. Schweizer Unternehmen dürfen aber nicht vergessen, dass sie in der EU nicht nur dem EU-Recht unterstehen, sondern auch dem nationalen Recht des entsprechenden Landes. Ein Beispiel: Wenn ein Schweizer Unternehmen gegen eine Vorschrift des (nationalen) deutschen Datenschutzrechts verstösst, die mit Geld- oder Freiheitsstrafe bedroht ist, so ist die Schweiz verpflichtet Rechtshilfe zu leisten.

Die Schweiz muss sich auch folgende Überlegungen machen: Die EU bietet einen Markt, an dem auch Schweizer Unternehmen schwellenlos teilnehmen möchten. Die Europäische Kommission verleiht dazu gewissen Drittstaaten den Status der «data adequacy». Diesen Status erhalten Staaten, die ein ähnliches Datenschutzniveau wie die EU aufweisen. Dies erlaubt es Unternehmen in Drittstaaten, ohne zusätzliche und hindernde Schutzmassnahmen Daten im Europäischen Wirtschaftsraum auszutauschen und damit schwellenlos an datenintensiven Branchen des EU-Markts teilzunehmen. Tim Bell, Chef der DPR-Gruppe und Datenschutzexperte schreibt dazu:

«There is also a particular reason why it will be seen by non-EU countries as desirable to be able to enforce GDPR fines, which is the desire among the international community to obtain (or keep) an adequacy finding.”

(Quelle: https://iapp.org/news/a/is-article-27-the-gdprs-hidden-obligation/)

Wenn die Schweiz Bussen der EU nicht durchsetzt, könnte dies von der Europäischen Kommission als Indiz dafür gesehen werden, dass die Schweiz keinen gleichwertigen Datenschutz wie die EU aufweist. Dadurch würde die Schweiz risikieren, ihre Vorteile aus ihrem Status der «data adequacy» zu verlieren.

Fazit

Die Vertreterverweigerung bringt Nachteile und Risiken mit sich. Dennoch kann es unter Umständen strategisch sinnvoll sein, fürs Erste auf einen Vertreter zu verzichten. Es ist eine Frage der Zeit, bis der EDÖB sich zu dieser Thematik äussern oder bis ein Präzedenzfall geschaffen wird. Spätestens dann wissen Schweizer Unternehmen, wie ernst die Vertreter-Regelung zu nehmen ist und können entsprechend darauf reagieren. Bis dahin können Unternehmen auf einen Vertreter verzichten, sofern sie das Risiko tragen möchten.

Datenschutz.law hält dich über weitere Entwicklung zum Vertreter in der EU auf dem Laufenden.

Update 18. Mai 2022

Inzwischen wurde eine hohe Busse aufgrund eines Verstosses gegen Art. 27 DSGVO verhängt. Die italienische Datenschutzbehörde (GPDP) hat mehrere Verstösse von Clearview AI gegen die DSGVO festgestellt. Clearview AI hat gegen zahlreiche Vorschriften der DSGVO verstossen. Der Verstoss gegen die Vertreterpflicht, hat sich besonders stark auf die Höhe des Bussgelds (20'000'000 Euro) ausgewirkt.

Damit hat die italienische Datenschutzbehörde einen Präzedenzfall geschaffen, welcher zumindest signalisiert, dass die EU-Behörden es mit der Vertreterpflicht von Art. 27 DSGVO ernst meinen. Daher ist es für Schweizer Unternehmen fortan nicht mehr empfehlenswert, auf eine Vertretung in der EU zu verzichten.