Umsetzung EU DSGVO / GDPR in der Schweiz - Beratung und Projektunterstützung

Umsetzung EU DSGVO / GDPR

Umsetzung EU DSGVO / GDPR

Die Anwendung der DSGVO in der Schweiz hängt von den beiden folgenden Kriterien ab: 

  • Dem Kriterium der Niederlassung (= Ort der Niederlassung des Verantwortlichen oder Auftragsbearbeiters; Artikel 3 § 1)
    Der Verantwortliche oder Auftragsbearbeiter hat seine Niederlassung in der Europäischen Union. In diesem Fall findet die Verordnung automatisch Anwendung, unabhängig davon, ob die Bearbeitung in der Union stattfindet oder nicht. In der Causa Weltimmo v. NAIH (C-230/14) hat der EuGH den Begriff der Niederlassung relativ breit und flexibel ausgelegt.
  • Dem Kriterium des Zielmarktes (= Wohnort der von Datenbearbeitung betroffenen Person; Art. 3 § 2)
    Die Niederlassung des Verantwortlichen befindet sich ausserhalb der Europäischen Union, aber die Bearbeitung betrifft Waren oder Dienstleistungen, die für Personen in der Union bestimmt sind, oder die Bearbeitung betrifft die Beobachtung des Verhaltens einer betroffenen Person, soweit deren Verhalten in der Union erfolgt. Bei Letzterem bezieht sich der europäische Gesetzgeber vor allem auf die Beobachtung des Verhaltens von Internetnutzerinnen und -nutzern. In der Praxis findet die DSGVO wohl dann Anwendung, wenn eine in einem Mitgliedstaat der EU niedergelassene Person, unabhängig von ihrer Staatsangehörigkeit, direkt von einer Datenbearbeitung betroffen ist. 

Bei der Beurteilung, ob die Verordnung zur Anwendung kommt, ist stets der Einzelfall und insbesondere die Absicht des Verantwortlichen zu berücksichtigen, Personen im Gebiet der Union 
Waren oder Dienstleistungen anzubieten oder ihr Verhalten zu beobachten.

Anwendbarkeit auf Schweizer Unternehmen (Art. 3 und 27 DSGVO) 

Aus dem Wortlaut der Verordnung und den Erwägungen geht hervor, dass die DSGVO in den folgenden Fällen auf Schweizer Unternehmen anwendbar ist:

 

Niederlassung in der EU (Artikel 3 § 1; Erwägung 22)

  • Bearbeitung personenbezogener Daten im Zusammenhang mit der Tätigkeit einer europäischen Zweigstelle eines schweizerischen Unternehmens in der Europäischen Union;
  • Auftragsbearbeiter:
    1. Bearbeitung personenbezogener Daten für ein Schweizer Unternehmen durch einen Auftragsbearbeiter im EU-Gebiet, unabhängig davon, ob er Daten von betroffenen 
      Personen in der Schweiz oder in der EU bearbeitet;
    2. Bearbeitung personenbezogener Daten in der EU durch ein Schweizer Unternehmen im Auftrag eines europäischen Unternehmens; 
    3. Bearbeitung personenbezogener Daten durch ein Schweizer Unternehmen als Auftragsbearbeiter im Auftrag eines europäischen Unternehmens.

 

Zielgruppe in der EU (Artikel 3 § 2; Erwägungen 23 und 24)

  • Bearbeitung personenbezogener Daten von Personen mit Aufenthalt in der EU durch ein Unternehmen mit Sitz in der Schweiz, soweit es diese Daten für seine Waren- und  Dienstleistungsangebote in der EU bearbeitet, unabhängig davon, ob eine Zahlung erforderlich ist oder nicht (Art. 3 § 2 Buchstabe a) DSGVO);

Beispiel 1: Ein in der Schweiz ansässiges Unternehmen verkauft Uhren über einen Online-Shop an Personen mit Wohnsitz in Frankreich, Belgien, Portugal, Finnland und Griechenland. Die  DSGVO ist anwendbar, weil das Schweizer Unternehmen seine Waren Personen in der EU anbietet. 

  • Bearbeitung personenbezogener Daten von Personen mit Wohnsitz in der EU durch ein in der Schweiz ansässiges Unternehmen, soweit diese Daten zum Zweck der Beobachtung des  Verhaltens der betroffenen Personen innerhalb der Union bearbeitet werden (Art. 3 § 2 Bst. b DSGVO). 

Beispiel 2: Ein Hotelier im Engadin erstellt von seinen italienischen, schwedischen, deutschen und polnischen Gästen Profile, um ihnen Angebote für andere Aufenthalte machen zu können. Die DSGVO ist anwendbar, soweit das Profil auf der Grundlage eines Verhaltens in der EU erstellt wird. 

Beispiel 3: Der Betreiber einer Website setzt Webtracking ein, um die Besucherbewegungen auf einer Website oder das Surfverhalten von Internetnutzern zu und Rückschlüsse auf deren Interessen, Vorlieben oder Gewohnheiten zu erhalten. Die DSGVO ist wahrscheinlich anwendbar.

 

 

Pflichten der unter die Verordnung fallenden Unternehmen

Eine der wichtigsten Neuerungen gegenüber der Richtlinie 95/46/EG ist die Verankerung des Grundsatzes der Rechenschaftspflicht („accountability“) des Verantwortlichen (vgl. Art. 5 § 2 DSGVO), wonach dieser die Einhaltung der allgemeinen Grundsätze (vgl. Art. 5 § 1 DSGVO) aktiv nachweisen können muss. Auf dieser Grundlage wurde das Prinzip der Beweislastumkehr eingeführt2. Die Verordnung sieht insbesondere die folgenden Pflichten vor:

  •  Artikel 24 DSGVO hält fest, dass der Grundsatz der Verantwortlichkeit mit dem risikobasierten Ansatz einhergeht, wonach der Verantwortliche die Wahrscheinlichkeit und den Grad der Gefährdung der Rechte und Freiheiten von Personen zu Beginn einer Bearbeitung objektiv beurteilen muss.
  •  Artikel 25 DSGVO verlangt, dass der Datenschutz bei Produkten und Dienstleistungen bereits in der Planungsphase berücksichtigt werden: Die Grundsätze des Datenschutzes müssen schon bei der technischen Ausgestaltung berücksichtigt werden („privacy by design“); Produkte und Dienstleistungen müssen mit datenschutzfreundlichen Voreinstellungen angeboten werden („privacy by default“).
  •  Artikel 30 DSGVO sieht vor, dass jeder Verantwortliche oder sein Vertreter ein Register der unter seiner Verantwortung ausgeführten Bearbeitungstätigkeiten (in elektronischer Form) führen muss. Der Inhalt des Registers ist in Artikel 30 § 1 DSGVO detailliert beschrieben. Dieses Register muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden. Unternehmen mit weniger als 250 Beschäftigten sind – mit einigen Ausnahmen – von dieser Pflicht ausgenommen (vgl. Art. 30 § 5 DSGVO).
  •  Artikel 35 DSGVO sieht die Durchführung einer Datenschutz-Folgenabschätzung vor, wenn die Bearbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge haben kann.3 In den Fällen, in denen diese Voranalyse zur Identifizierung spezifischer Risiken führt, ist der Verantwortliche verpflichtet, vor der Bearbeitung die Datenschutzbehörde zu konsultieren; ist ein Datenschutzverantwortlicher ernannt worden, so ist dieser zu konsultieren. In bestimmten Fällen ist eine Datenschutz-Folgenabschätzung obligatorisch (vgl. Artikel 35 § 3). Die inhaltlichen Mindestanforderungen sind in Artikel 35 § 7 aufgeführt. 
 
  • Artikel 33 DSGVO sieht ein Meldesystem und eine Meldeverpflichtung bei Verletzungen des Schutzes personenbezogener Daten vor („data breaches“).
  • Artikel 34 DSGVO regelt die Modalitäten der Mitteilung einer Verletzung des Datenschutzes an die betroffenen Personen.
  • In drei bestimmten Fällen (vgl. Art. 37 DSGVO) ist die Benennung eines Datenschutzbeauftragten zwingend, und zwar:
    1) für Behörden oder öffentliche Stellen,
    2) für Unternehmen, die Bearbeitungen durchführen, die eine umfangreiche regelmässige und systematische Überwachung der betroffenen Personen erfordern,
    3) für Unternehmen, die sensible Datenbearbeitungsvorgänge durchführen.
  • Kommt Artikel 3 § 2 DSGVO zur Anwendung, so verpflichtet Artikel 27 DSGVO den Verantwortlichen und den Auftragsbearbeiter, die nicht in der Union niedergelassen sind, schriftlich einen Vertreter zu benennen, sofern die Verordnung für ihre Bearbeitungstätigkeiten gilt. Dieser Vertreter muss in einem der Mitgliedstaaten ansässig sein, in dem die natürlichen Personen ihren Wohnsitz haben, deren  personenbezogene Daten im Zusammenhang mit einem Waren- oder Dienstleistungsangebot bearbeitet werden oder deren Verhalten beobachtet wird (Art. 27 § 3). 

Umsetzung EU DSGVO / GDPR - Beratung und Projektunterstützung?

Sie starten ein Datenschutz-Projekt und brauchen fachliche Unterstützung? Sie suchen einen Projektleiter, Experten, Berater oder Spezialisten? Dann sollten Sie mit uns sprechen. Gerne erläutern wir Ihnen die verschiedenen Möglichkeiten, um Sie zu unterstützen.

 Kontaktieren Sie uns oder rufen Sie uns an  +41 44 360 40 40.