Der Europäischer Datenschutzausschuss (EDSA) soll eine einheitliche Anwendung der Datenschutz-Grundverordnung (DSGVO) gewährleisten. Nun hat der EDSA den Entwurf für seine Leitlinien 3/2018 über den räumlichen Geltungsbereich der DSGVO veröffentlicht.
Die Leitlinien sind für Unternehmen und andere Verantwortliche in der Schweiz von grosser Bedeutung. Die DSGVO ist ausserhalb von Europäischer Union (EU) beziehungsweise Europäischem Wirtschaftsraum (EWR) anwendbar. Art. 3 DSGVO unterscheidet zwischen drei Fällen:
Fall 1: Niederlassung in der EU beziehungsweise im EWR
Die DSGVO ist «im Rahmen der Tätigkeiten einer Niederlassung» in der EU anwendbar (Art. 3 Abs. 1 DSGVO). Massgeblich ist «im Rahmen». Ein Unternehmen in der Schweiz, das beispielsweise über eine Niederlassung in Deutschland verfügt, wird allein durch eine Niederlassung nicht mit der DSGVO «infiziert», sondern es kommt auf die Aktivitäten beziehungsweise Tätigkeiten an.
Für das Bestehen einer Niederlassung im datenschutzrechtlichen Sinn sind die Hürden gering. So kann ohne offizielle Niederlassung oder Tochtergesellschaft unter Umständen ein einzelner Arbeitnehmer oder Repräsentant vor Ort in der EU genügen. Immerhin begründet allein die Abrufbarkeit einer Website in der EU noch keine Niederlassung:
«Although the notion of establishment is broad, it is not without limits. It is not possible to conclude that the non-EU entity has an establishment in the Union merely because the undertaking’s website is accessible in the Union.»
Sofern eine Niederlassung im datenschutzrechtlichen Sinn in der EU vorhanden ist, muss im Einzelfall sorgfältig geprüft werden, inwiefern und wo eine Bearbeitung von Personendaten in einem Zusammenhang mit den Aktivitäten der Niederlassung erfolgt. Der EDSA folgt einer weiten Auslegung, was einen solchen Zusammenhang betrifft (mit Hervorhebungen):
«[…] it is not necessary that the processing in question is carried out ‹by› the relevant EU establishment itself; the controller or processor will be subject to obligations under the GDPR whenever the processing is carried out ‹in the context of the activities› of its relevant establishment. […] Each scenario must be assessed on its own merits, taking into account the specific facts of the case.»
Und:
«If a case by case analysis on the facts shows that there is an inextricable link between the activities of an EU establishment and the processing of data carried out by a non-EU controller, EU law will apply to that processing by the non-EU entity, whether or not the EU establishment plays a role in that processing of data.»
Und weiter:
«Revenue-raising in the EU by a local establishment, to the extent that such activities can be considered as ‹inextricably linked› to the processing of personal data taking place outside the EU and individuals in the EU, may be indicative of processing by a non-EU controller or processor being carried out ‹in the context of the activities of the EU establishment›, and may be sufficient to result in the application of EU law to such processing.»
Immerhin hält der EDSA fest, dass ein Auftragsverarbeiter ausserhalb der EU, der für einen Verantwortlichen in der EU tätig ist, nicht unter die DSGVO fällt. Der Verantwortliche in der EU muss aber mit einem Auftragsverarbeitungsvertrag sicherstellen, dass beim Auftragsverarbeiter ein angemessener Datenschutz gewährleistet ist.
Umgekehrt «infiziert» die Auftragsbearbeitung, die ein Verantwortlicher ausserhalb der EU durch einen Auftragsverarbeiter in der EU vornehmen lässt, den Verantwortlichen nicht mit der DSGVO, sondern nur der Auftragsverarbeiter unterliegt der DSGVO.
Fall 2: Beabsichtigtes Angebot von Dienstleistungen und Waren an Personen in der EU
Auch das beabsichtigte (oder tatsächliche) Angebot von Dienstleistungen und Waren an natürliche Personen in der EU unterliegt der DSGVO (Art. 3 Abs. 2 lit. a DSGVO). Die DSGVO gilt unabhängig von der jeweiligen Staatsbürgerschaft für alle betroffenen Personen in der EU. Massgeblich ist, ob sich eine betroffene Person gerade in der EU aufhält. Informationsangebote können unter die DSGVO fallen. Ob ein Angebot kostenlos oder kostenpflichtig ist, spielt keine Rolle:
«[…] Whether the activity of a controller or processor not established in the Union is to be considered as an offer of a good or a service is not therefore dependent whether payment is made in exchange for the goods or services provided.»
Im Einzelfall muss geprüft werden, ob ein beabsichtigtes Angebot im datenschutzrechtlichen Sinn vorliegt. Allein die Abrufbarkeit einer Website stellt noch kein beabsichtigtes Angebot dar. Der EDSA nennt verschiedene Faktoren, die allein oder gemeinsam auf ein beabsichtigtes Angebot hinweisen können, unter anderem:
- Erwähnung der EU oder mindestens eines Mitgliedstaates im Zusammenhang mit einem Angebot;
- Werbung, die auf die EU ausgerichtet ist, zum Beispiel bei Suchmaschinen;
- Aktivitäten mit internationalem Charakter, zum Beispiel touristische Aktivitäten;
- Veröffentlichung von Kontaktadressen für Personen in der EU;
- Verwendung von Top Level Domains mit Bezug zur EU (.eu) oder zu einem Mitgliedstaat (zum Beispiel .at, .de oder .li);
- Verwendung einer fremden Sprache oder Währung wie insbesondere Euro;
- Lieferung von Waren in die EU.
Aus schweizerischer Sicht ist zu beachten, dass die DSGVO im gesamten Europäischen Wirtschaftsraum (EWR) und damit im Fürstentum Liechtenstein gilt.
Fall 3: Beobachtung von Personen und ihrem Verhalten in der EU (Tracking)
Schliesslich führt die Beobachtung von Personen und ihrem Verhalten in der EU zu einer Anwendbarkeit der DSGVO auf die betreffende Bearbeitung von Personendaten (Art. 3 Abs. 2 lit. b DSGVO). Die betroffenen Personen müssen sich in der EU aufhalten und das beobachtete Verhalten muss in der EU erfolgen. Es spielt keine Rolle, welche Staatsbürgerschaft eine betroffene Person hat.
Gemäss dem EDSA gilt die DSGVO nicht allein für die Verhaltensbeobachtung im Internet (Tracking), sondern zum Beispiel auch für Wearables:
«[…] the EDPB considers that tracking through other types of network or technology involving personal data processing should also be taken into account in determining whether a processing activity amounts to a behavioural monitoring, for example through wearable and other smart devices.»
Die DSGVO bezieht sich nicht auf jede Art von Verhaltensbeobachtung, sondern ist auf Tracking sowie Profiling beschränkt. Die Beispiele, die der EDSA unter anderem nennt, zeigen allerdings, dass viele Apps und Websites ausserhalb der EU ohne weiteres im Rahmen von Verhaltensbeobachtung unter die DSGVO fallen können:
- personalisierte Werbung;
- Tracking mit Cookies, Geolokalisierung oder Fingerprinting;
- personalisierte Auswertung von Essgewohnheiten und Gesundheitsdaten;
- personalisierte Studien und Umfragen für Marktforschung;
- Videoüberwachung (CCTV).
- Der EU-Datenschutz-Vertreter kann eine juristische oder natürliche Person mit Sitz in einem Mitgliedstaat sein, wo sich Personen aufhalten, deren Daten durch einen Verantwortlichen ausserhalb der EU befinden, bearbeitet werden;
- Ein EU-Datenschutz-Vertreter kann für mehrere Verantwortliche und Auftragsverarbeiter tätig sein;
- Ein EU-Datenschutz-Vertreter kann nicht gleichzeitig als Datenschutzbeauftragter tätig sein;
- Verantwortliche und Auftragsverarbeiter müssen ihren EU-Datenschutz-Vertreter nicht an Aufsichtsbehörden melden, aber im Rahmen der allgemeinen Informationspflichten auf den EU-Datenschutz-Vertreter hinweisen, zum Beispiel in der Datenschutzerklärung auf ihrer Website;
- Ein EU-Datenschutz-Vertreter soll in erster Linie die Kommunikation zwischen betroffenen Personen und Verantwortlichen erleichtern, damit betroffene Personen ihre datenschutzrechtlichen Ansprüche wirkungsvoll wahrnehmen können;
- Der jeweilige EU-Datenschutz-Vertreter ist keine Niederlassung im datenschutzrechtlichen Sinn.
Der EDSA schreibt von einer «broad range of monitoring activities.» Im Einzelfall muss geprüft werden, welche Absicht mit der Verhaltensbeobachtung verfolgt wird.
Nicht vergessen: Datenschutz-Vertreter in der EU
Verantwortliche ausserhalb der EU, die gemäss Art. 3 Abs. 2 DSGVO (Angebot oder Tracking) teilweise der DSGVO unterliegen, benötigen einen Datenschutz-Vertreter in der EU als (zusätzliche) Anlaufstelle für Aufsichtsbehörden und betroffene Personen.
In diesem Zusammenhang hält der EDSA im Wesentlichen fest, was sich bereits dem einschlägigen Art. 27 DSGVO entnehmen lässt, unter anderem:
Fazit: DSGVO bleibt relevant für Schweizer Unternehmen
Der Entwurf für die Leitlinien enthält erfreulicherweise keine bösen Überraschung. Auch räumt der Entwurf mit einigen populären Missverständnissen auf, zum Beispiel in Bezug auf die «Infizierung» durch die DSGVO allein aufgrund von Auftragsverarbeitung oder auf die Geltung der DSGVO in Abhängigkeit der Staatsbürgerschaft von betroffenen Personen.
Gleichzeitig zeigen die Leitlinien, dass die DSGVO grosse Relevanz für Schweizer Unternehmen hat:
Viele Unternehmen und andere Verantwortliche in der Schweiz können argumentieren, sie verfügten nicht über eine Niederlassung in der EU im datenschutzrechtlichen Sinn. Mit – auch kostenlosen – Angeboten an Personen in der EU oder mit dem heute allgegenwärtigen Tracking in Apps sowie auf Websites fallen solche Unternehmen in vielen Fällen aber doch unter die DSGVO. So richten sich viele Angebot in der Schweiz ausdrücklich an Personen im Fürstentum Liechtenstein oder das Tracking von Nutzern in der EU ist ohne weiteres beabsichtigt.
Dabei dürfen Unternehmen und andere Verantwortliche in der Schweiz nicht vergessen, dass die DSGVO in den meisten Fällen nur teilweise anwendbar ist. Es lohnt sich deshalb beispielsweise, Verträge mit Geschäftspartnern und Kunden in der EU sorgfältig zu prüfen. Es gibt inzwischen unzählige Fälle, wo Schweizer Unternehmen ohne Not vertragliche Verpflichtungen im Zusammenhang mit dem Datenschutz eingegangen sind, die sie nicht einhalten können oder wollen.