12/2019 – Fachartikel Swiss Infosec AG
Auch das Schweizer Datenschutzrecht nicht vergessen
Zunächst ist daran zu erinnern, dass auf ein Unternehmen mit Sitz in der Schweiz immer das Schweizer Datenschutzrecht zur Anwendung kommt. Bei der Wahl einer geeigneten Strategie, wie mit gleichzeitig geltenden Vorgaben der Europäischen Datenschutzverordnung (DSGVO, GDPR) umzugehen ist, sollte daher immer auch die laufende Revision des Schweizer Datenschutzgesetzes im Auge behalten werden. Bereits am 18. Dezember 2019 wird der Ständerat über den Gesetzesentwurf debattieren.
Obwohl die DSGVO ein europäisches Regelwerk ist und sie somit primär für alle EWR-Länder gilt (EU-Länder plus Liechtenstein, Norwegen und Island), ist sie anhand bestimmter Kriterien auch ausserhalb des europäischen Territoriums anwendbar. Es sind dies:
Kundenausrichtung EWR
Mit Kunden sind nur sog. natürliche Personen gemeint. In B2C-Beziehungen mit angepeilten oder bestehenden Kunden mit Wohnsitz im EWR ist daher die DSGVO grundsätzlich anwendbar, hingegen nicht bei B2B-Beziehungen, wenn nicht gleichzeitig eines der anderen Kriterien greift.
Aber Achtung: Sind die Kunden als Einzelfirmen organisiert, dürfte die DSGVO dennoch regelmässig zu beachten sein, weil sämtliche Daten zum Unternehmen (B2B) dann gleichzeitig einer bestimmten (natürlichen) Person zugeordnet werden können. In keiner Weise relevant ist übrigens die Nationalität einer Person oder ob eine Leistung kostenlos oder entgeltlich angeboten wird.
Kürzlich wurde publik, dass die Datenschutzbehörde Österreich eine Datenschutzverletzung einer schweizerischen Hotelbuchungsplattform festgestellt hat (ungenügende Datenschutzerklärung). Die Ausrichtung auf natürliche Personen in Österreich ergab sich anhand einer .at Domain und der Webseitensprache Deutsch. Es bleibt aber sehr zu hoffen, dass europäische Aufsichtsbehörden in Zukunft für Schweizer Webseiten nicht vorschnell auf eine Ausrichtung auf ein EWR-Land schliessen werden, nur weil diese Webseiten in einer oder mehreren Landessprachen der Schweiz angezeigt werden.
Verhaltensbeobachtung EWR
Die DSGVO gilt weiter, wenn das Verhalten einer Person im EWR beobachtet wird. Der Europäische Datenschutzausschuss (EDSA) hält auch Formen von Offline-Tracking für relevant (beispielsweise über GPS). Im Vordergrund dürften aber die verschiedenen Formen des Online-Tracking stehen.
Für verschiedene Schweizer Unternehmen dürfte es daher von grosser Relevanz sein, wie das häufig genutzte Google Analytics einzustufen ist und ob es die Schwelle der Verhaltensbeobachtung erreicht. Während der EDSA darauf hinweist, dass nicht jede beliebige Online-Erfassung oder -Analyse automatisch als «Überwachung» gelten soll, stuft es ein nachfolgendes Profiling als relevant ein. Unabhängig von einer umgesetzten IP-Kürzung besteht daher die Meinung, dass mit Google Analytics die DSGVO importiert wird (hinsichtlich Webseitenbesucher im EWR).
Niederlassung im EWR
Schliesslich kann die DSGVO auch anwendbar sein auf eine Verarbeitung von Personendaten «im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters» in einem EWR-Land. Eine Niederlassung ist beispielsweise eine Tochtergesellschaft des Schweizer Unternehmens.
Aber nochmals ein Achtung: Der EDSA setzt die Schwelle für eine Niederlassung sehr tief an und will dafür bereits die regelmässige Präsenz eines einzigen Mitarbeitenden genügen lassen. Meisten werden sich hier wohl vertiefende Abklärungen lohnen.
Klagen wegen Datenschutzverletzungen
Damit sind aber noch nicht alle Einfallstore für die DSGVO aufgezählt. Beliebige Personen aus dem EWR können bei Datenschutzverletzungen gegen Unternehmen in der Schweiz klagen und haben dabei regelmässig das Recht, von einem Schweizer Gericht zu verlangen, dass bei der Prüfung ihres Begehrens das Recht des Landes zur Anwendung kommt, wo diese Personen ihren Aufenthalt haben. Handelt es sich um ein EWR-Land, ist damit automatisch auch die DSGVO «im Gepäck».
Wichtig zu wissen ist aber, dass über diesen Kanal gegen das Unternehmen keine Bussen ausgesprochen werden können.
Kennen Sie den Entwurf des Schweizer Datenschutzgesetzes bereits? Wir halten Sie gerne auf dem Laufenden. Kontaktieren Sie uns unter +41 41 984 12 12, infosec@infosec.ch
Gerne beantworten wir all Ihre spezifischen Fragen zu Schweizer Datenschutzrecht und DSGVO und zu allen weiteren datenschutzrechtlichen Fragen in Ihrem Unternehmen. Wir unterstützen Sie bei der Einhaltung des DSG und der DSGVO nach Best Practice: «Genau so viel, wie Sie brauchen und angemessen ist!»