Wann muss ein ausländisches Unternehmen einen Datenschutz-Vertreter in der Schweiz ernennen? – Auf dem Weg zum nDSG Teil 12

26.10.2023 von Edona Ademaj

In diesem Blogbeitrag erfährst Du:

  • Unter welchen Voraussetzungen ein Datenschutz-Vertreter ernannt werden muss;

  • welchen Pflichten der Datenschutz-Vertreter hat; und

  • welche Konsequenzen drohen, wenn kein Datenschutz-Vertreter ernannt wird.

Unter welchen Voraussetzungen musss ein Datenschutz-Vertreter ernannt werden?

* Zu bejahen, wenn konkrete Hinweise vorliegen, dass die Absicht besteht, in der Schweiz wirtschaftlich aktiv zu werden (z.B. Preisangaben in Schweizer Franken oder Liefermöglichkeiten in die Schweiz).

** Insbesondere bei einer Datenbearbeitung bzw. Verhaltensbeobachtung mittels Profiling-Techniken zu bejahen. Zu verneinen bei einer blossen Aufzeichnung von Zugriffen auf einen Online-Dienst oder eine Website.

*** Gesetzlich wird nicht definiert, wann numerisch konkret von einer umfangreichen Bearbeitung gesprochen werden kann. Zu bejahen, wenn eine grosse Zahl von Personen in der Schweiz betroffen sind oder ein grosser Bestand von Personendaten bearbeitet wird.

**** Gesetzlich wird nicht definiert, über welchen Zeitraum hinweg Daten bearbeitet werden müssen, damit von einer «regelmässigen Bearbeitung» gesprochen werden kann. Zu bejahen, wenn die Datenbearbeitung zur Erfüllung der Tätigkeit geschieht (z.B. beim Online-Handel) oder wenn Personendaten Dreh- und Angelpunkt der Tätigkeit bilden (z.B. bei sozialen Netzwerken). Zu verneinen, wenn ein Verantwortlicher nur während einer beschränkten Zeitdauer oder nur gelegentlich Daten bearbeitet (z.B. Ausländische Eigentümerin einer Wohnung, die ihre Wohnung während ihrer eigenen Abwesenheit gelegentlich an Schweizer Touristen vermietet).

***** Zu bejahen, wenn spezifische Eigenschaften der geplanten Datenbearbeitung darauf hindeuten, dass die Verfügungsfreiheit der betroffenen Person über ihre Daten übermässig eingeschränkt wird oder werden kann. Dies kann sich z.B. aus der Art der bearbeiteten Daten (besonders schützenswerte Personendaten), der Art und dem Zweck der Bearbeitung, der Menge der Daten, der Übermittlung in Drittstaaten ergeben oder, wenn die Daten einer grossen oder gar unbegrenzte Zahl an Personen zugänglich gemacht werden.

Solltest Du alle Fragen aus der Grafik mit «Ja» beantworten, obliegt Dir die Pflicht, einen Vertreter in der Schweiz zu benennen. Die Verneinung auch nur einer einzigen Frage führt dazu, dass Du von dieser Pflicht nicht betroffen bist.

Von der Pflicht, eine Vertretung in der Schweiz zu bezeichnen, sind insbesondere grosse Internetplattformen und soziale Netzwerke mit Sitz im Ausland betroffen.

Welche Pflichten hat der Datenschutz-Vertreter?

Dein Vertreter fungiert als Anlaufstelle für betroffene Personen und den EDÖB. Deshalb musst Du dem EDÖB Deinen Vertreter melden und dessen Namen und Adresse bspw. auf Deiner Website veröffentlichen oder in Deine Datenschutzerklärung aufnehmen.

Der Vertreter hat drei (3) Pflichten:

1. Er muss ein Bearbeitungsverzeichnis führen.

Ausgenommen: Unternehmen, die am 1. Januar eines Jahres weniger als 250 Mitarbeiter/-innen beschäftigten – es sei denn, sie bearbeiten besonders schützenswerte Personendaten in grossem Umfang oder führen ein Profiling mit hohem Risiko durch.

2. Auf Anfrage des EDÖB hin, muss Dein Vertreter das Bearbeitungsverzeichnis offenlegen (gilt nicht für den freiwillig ernannten Vertreter).

Dein Vertreter muss ausschliesslich Auskunft über sich in der Schweiz befindliche Informationen geben – alle anderen Angaben muss der EDÖB via internationale Rechtshilfe ersuchen.

 

3. Er muss der betroffenen Person auf Anfrage hin Auskunft darüber erteilen, wie sie ihre Rechte ausüben kann.

Beispielsweise muss sie den Betroffenen die Kontaktangaben von Dir oder auch von einem etwaigen Datenschutzberater mitteilen oder Angaben dazu machen, ob die Ansprüche allenfalls via ein elektronisches Formular geltend gemacht werden können.

Weitere Pflichten hat der Vertreter nicht.

Welche Konsequenzen drohen, wenn kein Datenschutz-Vertreter ernannt wird?

Missachtet ein ausländisches Unternehmen die Pflicht, einen Vertreter in der Schweiz zu ernennen, so kann der EDÖB das Unternehmen mittels Verfügung und Strafandrohung dazu verpflichten. Allerdings könnte es regelmässig vorkommen, dass die Verfügung nicht zugestellt werden kann, wenn ein entsprechendes Abkommen mit dem Land besteht, in dem das ausländische Unternehmen seinen Sitz hat.

Für etwaige von Dir begangene Datenschutzverletzungen kann Dein Vertreter nicht verantwortlich gemacht werden. Die Ernennung eines Vertreters befreit somit nicht von der Verantwortung, sondern stellt lediglich eine datenschutzrechtliche Pflicht dar.

Hier erfährst Du mehr zu den Strafbestimmungen.

Ratgeber Weitere Themen

Alle Themen anzeigen
Kontakt

Schildere uns Deinen Fall. Unsere Datenschutzexpert*innen beraten Dich gerne!

Christian Mitscherlich, MLaw, Rechtsanwalt, Partner

subscribe

Melde Dich für unseren Newsletter an, um auf dem Laufenden zu bleiben!

datenschutz.law logo

Domenig & Partner
Rechtsanwälte AG
Laupenstrasse 1
Postfach
CH-3001 Bern

Tel: +41 31 380 11 00
Fax: +41 31 380 11 09

datenschutz@domenig.law
www.domenig.law

Beiträge

Gesetzgebungen

Behördeninformationen

Rechtsprechung

Ratgeber

News

Ratgeber

Datenschutz Schweiz

Datenschutz Unternehmen

Datenschutz online

Die Personendaten

Datenschutz international

Glossar

News

Gesetze

Beratung

Datenschutzerklärung

Impressum