Wann gilt die DSGVO für Schweizer Unternehmen?

08.02.2024 von Lukas Stoller

Ein Gesetz der EU, dass auch für Schweizer Unternehmen gilt? Das gibt es tatsächlich. Das Datenschutzgesetz der EU, die DSGVO, gilt unter bestimmten Voraussetzungen auch für schweizerische Unternehmen. Dies ist mit weitreichenden Folgen für die betroffenen Unternehmen verbunden. In diesem Beitrag erfährst Du, ob die DSGVO für dein Unternehmen gilt und was die Folgen sind.

 

Wann findet die DSGVO auf schweizerische Unternehmen Anwendung?

Die DSGVO ist ein Gesetz mit «extraterritorialer Wirkung». Das heisst, dass die DSGVO unter bestimmten Voraussetzungen auch ausserhalb der EU zur Anwendung gelangen kann. Bei schweizerischen Unternehmen ist dies in folgenden drei Konstellationen der Fall:

Die erste Konstellation ist unproblematisch und führt kaum zu Problemen, weil klar ist, welche Unternehmen erfasst sind und welche nicht. Bei der zweiten und dritten Konstellation ist dies nicht der Fall. Daher wird nachfolgend näher auf die genauen Voraussetzungen eingegangen.

 

Zweite Konstellation: Angebot von Waren oder Dienstleistungen an Personen in der EU

Die erste Datenbearbeitungstätigkeit, welche die Anwendbarkeit der DSGVO für ein Unternehmen ohne Niederlassung in der EU auslöst, ist das Anbieten von Waren oder Dienstleistungen an Personen, deren Aufenthaltsort die EU ist. Dabei ist es unbedeutend, ob für die angebotene Ware oder Dienstleistung ein Entgelt verlangt wird.

Die entscheidende Frage ist, ob das Angebot von Waren oder Dienstleistungen an eine Person in der EU gerichtet ist bzw. das Verhalten des Verantwortlichen die Absicht zum Ausdruck bringt, die Waren oder Dienstleistungen einer betroffenen Person in der EU anzubieten.

Keine ausreichenden Anhaltspunkte für die Absicht die Waren oder Dienstleistungen einer betroffenen Person in der EU anzubieten ist die blosse Zugänglichkeit der Webseite in der EU oder die Verwendung einer Sprache, die im Land, in dem der Verantwortliche niedergelassen ist, allgemein gebräuchlich ist.

Hingegen handelt es sich um einen Faktor, der für die Absicht des Angebotes in der EU spricht, wenn die Bestellungsmöglichkeit in einer anderen Sprache besteht, Kunden oder Nutzern mit Aufenthaltsort in der EU erwähnt werden oder eine Währung, die in einem Mitgliedstaat der EU gebräuchlich ist, verwendet wird.

Des Weiteren können auch die nachfolgenden Faktoren, möglicherweise in Verbindung miteinander, berücksichtigt werden und unter Umständen für ein Angebot in der EU sprechen:

  • Die fragliche Tätigkeit hat eine internationale Natur, wie bspw. bestimmte touristische Aktivitäten;

  • Die Angabe spezieller Adressen oder Telefonnummern, die von einem EU-Land zu erreichen sind;

  • Die Angabe eines internationalen Kundenkreises, der aus Kunden mit Sitz in verschiedenen EU-Mitgliedstaaten besteht;

  • Die Verwendung eines anderen Top-Level-Domain-Namens als desjenigen Drittlands, in dem der Verantwortliche niedergelassen ist, z.B. «de» oder «eu».

Das schweizerische Unternehmen kann die Anwendung der DSGVO nicht vermeiden, indem auf der Homepage erklärt wird, dass keine Waren oder Dienstleistungen an Kunden in der EU angeboten werden, diese aber dennoch bestellt werden können. Wird hingegen durch technische Massnahmen sichergestellt, dass Personen aus einem EU-Staat nicht auf die Homepage zugreifen können, bzw. keine Bestellungen ausführen können, ist die DSGVO nicht anwendbar.

Beispiel 1: Eine Schweizer Universität leitet ihr Auswahlverfahren für den Master-Abschluss mit der Bereitstellung einer Online-Plattform ein, auf der Bewerber ihren Lebenslauf und das Anschreiben sowie ihre Kontaktdaten hochladen können. Das Auswahlverfahren steht allen Studierenden mit ausreichenden Kenntnissen der deutschen und englischen Sprache und einem Bachelor-Abschluss offen. Die Universität wirbt nicht speziell um Studierende an EU-Universitäten und nimmt Zahlungen lediglich in Schweizer Währung entgegen.

Da im Bewerbungs- und Auswahlverfahren für diesen Master-Abschluss Studierende aus der EU nicht anders oder besonders behandelt werden, kann nicht behauptet werden, dass die Schweizer Universität beabsichtigt, Studierende aus bestimmten EU-Mitgliedstaaten anzusprechen. Ausreichende Deutsch- und Englischkenntnisse sind eine allgemeine Anforderung, die für jeden Bewerber gilt, ob er nun in der Schweiz oder in der EU lebt oder aus einem Drittland kommt. Solange keine weiteren Faktoren darauf hindeuten, dass gezielt Studierende in den EU-Mitgliedstaaten angesprochen werden, kann nicht festgestellt werden, dass die betreffende Bearbeitung im Zusammenhang mit dem Angebot eines Bildungsdienstes an betroffene Personen in der EU steht; daher unterliegt diese Bearbeitung nicht den Bestimmungen der DSGVO.

Beispiel 2: Ein Privatunternehmen mit Sitz in Monaco verarbeitet personenbezogene Daten seiner Mitarbeiter für Zwecke der Gehaltszahlung. Zahlreiche Beschäftigte des Unternehmens wohnen in Frankreich und Italien.

Im vorliegenden Fall steht die von dem Unternehmen vorgenommene Verarbeitung zwar im Zusammenhang mit betroffenen Personen in Frankreich und Italien, erfolgt jedoch nicht im Rahmen eines Angebots von Waren oder Dienstleistungen. Das Personalmanagement einschließlich der Zahlung von Gehältern durch ein Drittlandsunternehmen unterliegt folglich nicht den Bestimmungen des DSGVO.

 

Dritte Konstellation: Beobachtung des Verhaltens betroffener Personen

Die zweite Art von Tätigkeit, welche die Anwendbarkeit der DSGVO für ein Unternehmen ohne Niederlassung in der EU auslöst, ist die Beobachtung des Verhaltens betroffener Personen, soweit ihr Verhalten in der EU erfolgt.

Ein «Verhalten» könnte beispielsweise das Internetverhalten einer Person darstellen. Unter dem «Beobachten» versteht man u.a. das Erstellen von Profilen, anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden.

Damit von einer «Beobachtung des Verhaltens» im Sinne der DSGVO gesprochen werden kann, muss der Verantwortliche bei der Erhebung und Weiterverwendung der entsprechenden Daten einen bestimmten Zweck verfolgen. Dabei ist zu beachten, dass nicht jede Online-Erhebung oder -Analyse personenbezogener Daten von Personen in der EU automatisch als «Beobachtung» gelten. Zur Beurteilung im Einzelfall muss der Zweck des Verantwortlichen genau analysiert werden.

Beispielsweise könnte es sich in den nachfolgenden Fällen um eine Beobachtungstätigkeit handeln:

  • Verhaltensbezogene Werbung;

  • Geolokalisierungsaktivitäten, insbesondere zu Marketingzwecken;

  • Online-Tracking durch Verwendung von Cookies oder anderen Verfolgungstechniken wie Fingerabdrücken;

  • Personalisierte Ernährungs- und Gesundheitsanalyse-Dienste im Internet;

  • Marktstudien und andere Verhaltensstudien auf der Grundlage individuelle Profile.

Beispiel 3: Ein in den USA ansässiges Beratungsunternehmen für Privatkunden berät ein Einkaufszentrum in Frankreich auf der Grundlage einer Analyse der Bewegungen der Kunden im gesamten Zentrum, die über Wi-Fi-Tracking erfasst werden.

Die Analyse der Kundenbewegungen innerhalb des Zentrums durch Wi-Fi-Tracking ist der Beobachtung des Verhaltens von Personen gleichzusetzen. In diesem Fall erfolgt das Verhalten der betroffenen Personen in der Union, da sich das Einkaufszentrum in Frankreich befindet. Das Beratungsunternehmen als Verantwortlicher unterliegt daher gemäß Artikel 3 Absatz 2 Buchstabe b für die Verarbeitung dieser Daten zu diesem Zweck der DSGVO.

 

Was sind die Folgen, wenn mein Unternehmen unter die DSGVO fällt?

Im Wesentlichen werden damit zwei Pflichten begründet:  

  1. Das betroffene Unternehmen muss sich an die (teilweise schärferen) Regeln der DSGVO halten. Auf die einzelnen Pflichten einzugehen, würde vorliegend den Rahmen dieses Beitrags sprengen. Den Betroffenen wird empfohlen, eine Rechtsberatung in Betracht zu ziehen, sofern sie unter die DSGVO fallen.

  2. Es muss grundsätzlich eine Vertretung in der EU ernannt werden (sofern das Unternehmen keinen Sitz in der EU hat). Auf die Pflicht einen Vertreter zu bestellen, wir in folgendem Beitrag näher eingegangen.

Zudem findet das Sanktionensystem der DSGVO Anwendung. Dieses sieht deutlich höhere Bussen als das schweizerische Datenschutzgesetz vor, allerdings werden diese nicht gegen die verantwortliche Person verhängt, sondern gegen das Unternehmen.

 

Fazit

Es lässt sich kaum eine genaue Grenze ziehen, wann die DSGVO gilt und wann nicht. Der Graubereich ist sehr gross. Daher kann sich die Bewertung, ob die DSGVO anwendbar ist, im Einzelfall als knifflige Aufgabe herausstellen. Grundsätzlich wird vorliegend empfohlen, im Zweifelsfall von der Anwendbarkeit der DSGVO auszugehen, um auf Nummer sicher zu gehen.

Falls Du eine Beratung zum Thema Anwendbarkeit der DSGVO wünschst, stehen Dir die Expertinnen und Experten aus dem Datenschutzrechtsteam gerne zur Verfügung.

Ratgeber Weitere Themen

Alle Themen anzeigen
Kontakt

Schildere uns Deinen Fall. Unsere Datenschutzexpert*innen beraten Dich gerne!

Christian Mitscherlich, MLaw, Rechtsanwalt, Partner

subscribe

Melde Dich für unseren Newsletter an, um auf dem Laufenden zu bleiben!

datenschutz.law logo

Domenig & Partner
Rechtsanwälte AG
Laupenstrasse 1
Postfach
CH-3001 Bern

Tel: +41 31 380 11 00
Fax: +41 31 380 11 09

datenschutz@domenig.law
www.domenig.law

Beiträge

Gesetzgebungen

Behördeninformationen

Rechtsprechung

Ratgeber

News

Ratgeber

Datenschutz Schweiz

Datenschutz Unternehmen

Datenschutz online

Die Personendaten

Datenschutz international

Glossar

News

Gesetze

Beratung

Datenschutzerklärung

Impressum