Ab dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU), auf Englisch spricht man von der General Data Protection Regulation (GDPR). Das EU-Datenschutzrecht soll weltweit gelten. Dadurch werden auch viele Unternehmen in der Schweiz direkt von der DSGVO betroffen sein.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat nun eine Übersicht über die «EU-Datenschutz-Grundverordnung und ihre Auswirkungen auf die Schweiz» (PDF) veröffentlicht. Der EDÖB geht unter anderem bei folgenden Beispielen davon aus, dass die DSGVO auf Schweizer Unternehmen anwendbar ist:
Angebot von Dienstleistungen und Waren an Personen in der EU
«Ein in der Schweiz ansässiges Unternehmen verkauft Uhren über einen Online-Shop an Personen mit Wohnsitz in Frankreich, Belgien, Portugal, Finnland und Griechenland. Die DSGVO ist anwendbar, weil das Schweizer Unternehmen seine Waren Personen in der EU anbietet.»
Die DSGVO gilt auch für Dienstleistungen und Waren, für die nicht bezahlt werden muss. So gilt die DSGVO beispielsweise auch, wenn man kostenlose E-Books und Whitepaper per E-Mail an Personen in der EU verschickt oder einen E-Mail-Newsletter auch an Personen in der EU verschickt.
Website mit Tracking von Personen in der EU
«Der Betreiber einer Website setzt Webtracking ein, um die Besucherbewegungen auf einer Website oder das Surfverhalten von Internetnutzern zu und Rückschlüsse auf deren Interessen, Vorlieben oder Gewohnheiten zu erhalten. Die DSGVO ist wahrscheinlich anwendbar.»
Auch IP-Adressen können als personenbezogene Daten im Sinn der DSGVO gelten. In der Folge muss fast jeder Website-Betreiber in der Schweiz davon ausgehen, unter die DSGVO zu fallen.
Personalisierte Werbung an Personen in der EU
«Ein Hotelier im Engadin erstellt von seinen italienischen, schwedischen, deutschen und polnischen Gästen Profile, um ihnen Angebote für andere Aufenthalte machen zu können. Die DSGVO ist anwendbar, soweit das Profil auf der Grundlage eines Verhaltens in der EU erstellt wird.»
Im Zweifelsfall muss der Hotelier im Beispiel davon ausgehen, dass das Verhalten seiner Gäste aus der EU immer auch teilweise in der EU erfolgt.
Datenschutz-Vertreter in der EU und weitere Pflichten für Schweizer Unternehmen
Schweizer Unternehmen, die unter die DSGVO fallen, unterliegen zahlreichen Pflichten. Eine solche Pflicht ist die Ernennung eines Datenschutz-Vertreters in der EU. Der Datenschutz-Vertreter ist in erster Linie die Anlaufstelle für Aufsichtsbehörden und betroffene Personen in der EU in allen Fragen der Verarbeitung personenbezogener Daten.
Weitere Pflichten betreffen unter anderem Information und Rechte von betroffenen Personen, angemessene organisatorische und technische Schutzmassnahmen sowie ein Verzeichnis von Verarbeitungstätigkeiten.
Wer die DSGVO verletzt, kann mit Geldbussen von bis zu 20 Millionen Euro oder von bis zu 4 Prozent des weltweiten Umsatzes bestraft werden.
Rechtlicher Hintergrund: Marktortprinzip gemäss Art. 3 DSGVO
In Art. 3 Abs. 2 DSGVO hat die EU das sogenannte Marktortprinzip verankert, damit das neue Datenschutzrecht weltweit gilt, wenn die Daten von Personen in der EU bearbeitet werden:
«Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
- betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
- das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.»
Die EU zielt damit insbesondere auf amerikanische Unternehmen wie Facebook, trifft dadurch aber auch Unternehmen in der Schweiz.
Guten Tag Herr Steiger
Die Idee ist gut, auf Neuerungen im EU-Datenschutzrecht hinzuweisen. Nur:
– Oben steht nicht, was die wichtigsten Neuerungen sind.
– Aus den Erklärungen muss ich erraten, dass Benutzer-Tracking in Zukunft verboten ist. Erst dann wird mir den Sinn des Abschnitts «Website mit Tracking von Personen in der EU» klar.
In diesem Sinn rege ich an, als Einstige die wichtigsten Neuerungen zusammenzustellen. Was denken Sie?
@Konrad Staudacher:
https://steigerlegal.ch/2018/02/22/dsgvo-gdpr-pflichten/ hilft Ihnen alles weiter. Tracking ist (auch) in Zukunft nicht verboten, aber es muss – wie eigentlich heute schon – datenschutzkonform erfolgen.
Guten Tag Herr Steiner
An anderer Stelle habe ich gelesen, dass auch Schweizer Unternehmen unter das DSGVO fallen welche Mitarbeiter aus dem EU Raum beschäftigen.
Wie schätzen Sie das ein?
@Damian Arn:
Ja, das ist offensichtlich richtig: Wer personenbezogene Daten von betroffenen Personen in der EU verarbeitet, fällt unter die DSGVO.
@Martin Steiger
Vielen Dank für die rasche Antwort und den guten Beitrag.
Guten Tag Herr Steiger
Fällt unter das «Beobachten des Verhaltens» auch das Verhalten der Mitarbeiter?
Grüsse
@Baumgartner:
Nein, aber das ist in der Schweiz heute schon geregelt und zwar im Zusammenhang mit dem Arbeitnehmer-Datenschutz:
https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/arbeitsbereich.html
Sehr geehrter Herr Steiger
Ich bin Autorin und habe eine Homepage. Die hat keinen Newsletter, keine Kommentarfunktion, keine Kontaktmöglichkeit (mit Impressum natürlich) und keine Buttons der Sozialen Netzwerke. Es gibt nur Links zu Homepages Dritter und zu Amazon. Dazu nutze ich Jimdo und habe keinen Einfluss auf diese Firma und deren Datenerhebung. Was ich brauche, ist mir absolut nicht klar. Aber einen Datenschutzbeauftragten in der EU? Ich glaube, ich schliesse die Seite einfach.
Le. Alex Sax
@Le. Alex Sax:
Mir ist auf Anhieb nicht klar, wieso Sie einen Datenschutzbeauftragten (in der EU) benötigen sollten. Aber ja, wenn man nicht bereit ist, geltendes und künftiges Datenschutzrecht einzuhalten, kann es eine Lösung sein, auf die Bearbeitung von Personendaten zu verzichten. Ich glaube aber nicht, dass bei Ihnen ein solch radikaler Schritt notwendig sein sollte.
Was Jimdo betrifft, so haben Sie selbstverständlich Einfluss, denn Sie haben den Anbieter ja gewählt. Jimdo hat seine Kundinnen und Kunden auch längst schon über die Umsetzung der DSGVO informiert, nach aussen ist https://de.jimdo.com/magazin/gdpr-dsgvo-website-jimdo/ ein sichtbares Beispiel dafür.
Der ganze Wirbel um die Europäische Verordnung überrascht mich als Schweizer Betreiber von Webseites, die durchaus auch von EU-Bürgern genutzt werden kann. Die Schweiz ist ja nicht Teil der EU und hat eine unabhängige Judikative und Exekutive. Im Gegensatz zu den bedauernswerten Deutschen, die durch Abmahnungen terrorisiert werden können, besteht doch in der Schweiz a priori kein Grund zur Panik. Oder haben sie in Bern schon wieder etwas Unsinniges unterzeichnet, wonach die EU direkt auf uns durchgreifen oder unsere Polizei und Gerichte verpflichtet ist, zu Gunsten der EU auch im Inland durchzugreifen?
@R.K.:
Die Erklärung finden Sie in Art. 3 Abs. 2 DSGVO (Marktortprinzip). Grund zur Panik besteht allerdings tatsächlich nicht. Es ist auch nicht ungewöhnlich, dass man das Recht jener Staaten, an deren Bevölkerung man sich richtet, einhalten muss. Beim grenzüberschreitenden E-Commerce beispielsweise ist das alltäglich.
Ein interessanter Bericht. Was mir bei all diesen Informationen noch nicht klar ist, ist die Frage, ob die DSGVO auch zur Anwendung kommt, wenn EU-Bürger in der Schweiz wohnen. Hat ein EU-Bürger der in der Schweiz wohnt bezüglich DSGVO die gleichen Rechte, wie wenn er in er EU wohnen würde, wenn er z.B. auf einem Online-Shop etwas bestellt oder ein Formular ausfüllt? Vielen Dank.
@Beat Bachmann:
Nein, die Staatsbürgerschaft in einem Land, wo die DSGVO gilt – das heisst in Mitgliedstaaten von EU und EWR – führt allein nicht zur Anwendbarkeit der DSGVO in der Schweiz.
Die DSGVO ist in erster Linie anwendbar, wenn Personendaten in der EU oder im EWR bearbeitet werden (Art. 3 Abs. 1 DSGVO). Davon können übrigens auch Personen in der Schweiz profitieren, zum Beispiel bei einer Bestellung bei einem deutschen Onlinehändler.
Nein, nicht wenn er sich in der Schweiz befindet und seine Daten in der Schweiz bearbeitet werden.
(Anders ist die Situation, wenn sich eine Person – unabhängig von ihrer Staatsbürgerschaft – in einem Migliedstaat von EU oder EWR befindet und ihre Personendaten in der Schweiz bearbeitet werden. Dann kann die DSGVO unter bestimmten Voraussetzungen anwendbar sein (Art. 3 Abs. 2 DSGVO).
Guten Tag
In Deutschland wird DSGVO x fach ignoriert.zum Beispiel können Kriminelle Park Raum A… Halter Daten abfragen ohne schadung und Grundlage wenn parkscheibe felht (P 30min).Da Bauordung in jedem Bundesland ein Duldung und bereitstellung Eigentumer Aldi und Co Kg per Gesetzt verplichtet.Nur es gibt ja fast kein die sicht trauen dagen vor zu gehen Herr Steiger könne sie gute Kanzlei empfehlen in Sud DE Baden.MfgT.Engel
@Engel:
Leider kann ich Ihnen in Südbaden in diesem Bereich niemanden empfehlen.
Und koperations Partner in DE ?