Anwendbarkeit auf Schweizer Unternehmen

Anwendbarkeit auf Schweizer Unternehmen (Art. 3 und 27 DSGVO) Aus dem Wortlaut der Verordnung und den Erwägungen geht hervor, dass die DSGVO in den folgenden Fällen auf Schweizer Unternehmen anwendbar ist:

Niederlassung in der EU

Niederlassung in der EU (Artikel 3 § 1; Erwägung 22):
Bearbeitung personenbezogener Daten im Zusammenhang mit der Tätigkeit einer europäischen Zweigstelle eines schweizerischen Unternehmens in der Europäischen Union;

Auftragsbearbeiter

Bearbeitung personenbezogener Daten für ein Schweizer Unternehmen durch einen Auftragsbearbeiter im EU-Gebiet, unabhängig davon, ob er Daten von betroffenen Personen in der Schweiz oder in der EU bearbeitet;

  • Bearbeitung personenbezogener Daten in der EU durch ein Schweizer Unternehmen im Auftrag eines europäischen Unternehmens;
  • Bearbeitung personenbezogener Daten durch ein Schweizer Unternehmen als Auftragsbearbeiter im Auftrag eines europäischen Unternehmens.

Zielgruppe in der EU

Zielgruppe in der EU (Artikel 3 § 2; Erwägungen 23 und 24):
Bearbeitung personenbezogener Daten von Personen mit Aufenthalt in der EU durch ein Unternehmen mit Sitz in der Schweiz, soweit es diese Daten für seine Waren- und Dienstleistungsangebote in der EU bearbeitet, unabhängig davon, ob eine Zahlung erforderlich ist oder nicht (Art. 3 § 2 Buchstabe a) DSGVO);

Beispiel 1:
Ein in der Schweiz ansässiges Unternehmen verkauft Uhren über einen Online-Shop an Personen mit Wohnsitz in Frankreich, Belgien, Portugal, Finnland und Griechenland. Die DSGVO ist anwendbar, weil das Schweizer Unternehmen seine Waren Personen in der EU anbietet.

Die DSGVO enthält keine genaue Definition des Begriffs Waren- und Dienstleistungsangebot. In der Erwägung 23 heisst es, es müsse festgestellt werden, „ob der Verantwortliche oder Auftragsverarbeiter offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedstaaten der Union Dienstleistungen anzubieten.“ Um dies festzustellen, ist es notwendig, eine Reihe von Hinweisen zu berücksichtigen, wie zum Beispiel „die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der Union befinden.“ In einem speziellen Zusammenhang (siehe verbundene Rechtssachen C-585/08 und C-144/09) hat der EuGH bereits geprüft, ob das Angebot von Waren und Dienstleistungen als an den Mitgliedstaat der Union gerichtet angesehen werden kann. In diesem Zusammenhang hat er auch folgende Faktoren berücksichtigt: die Angabe einer Telefonnummer mit internationaler Vorwahl, die Wegbeschreibung aus einem Mitgliedstaat zu dem Ort, wo der Dienst angeboten wird (z. B. Beschreibung der Anreise aus dem Ausland zu einem Hotel in der Schweiz), die Erwähnung auf der Website einer internationalen Kundschaft mit Sitz in verschiedenen EU Mitgliedstaaten, die Nutzung einer anderen First-Level-Domain als derjenigen des Mitgliedstaats, in dem der Dienst angeboten wird (z. B. www.beispiel.ch ist auch unter www.beispiel.fr und www.beispiel.eu abrufbar).

„Die blosse Zugänglichkeit der Website des Verantwortlichen, des Auftragsverarbeiters oder eines Vermittlers in der Union, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Drittland, in dem der Verantwortliche niedergelassen ist, allgemein gebräuchlich ist, [ist] hierfür [aber] kein ausreichender Anhaltspunkt.“

Die Auflistung dieser Faktoren ist allerdings nicht abschliessend und die Frage muss immer von Fall zu Fall analysiert werden.
Bearbeitung personenbezogener Daten von Personen mit Wohnsitz in der EU durch ein in der Schweiz ansässiges Unternehmen, soweit diese Daten zum Zweck der Beobachtung des Verhaltens der betroffenen Personen innerhalb der Union bearbeitet werden (Art. 3 § 2 Bst. b DSGVO).
In Bezug auf die Beobachtung des Verhaltens und die Bestimmung, ob eine Bearbeitung als solche gilt, hält die Erwägung 24 fest: „Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivitäten nachvollzogen werden, einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die ein Profil von einer natürlichen Person erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.“

Es geht insbesondere um verhaltensbasierte Werbung, wie sie die Artikel-29Datenschutzgruppe in ihrer Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting definiert wird: „Werbung, die auf der Beobachtung des Verhaltens von Personen über einen Zeitraum hinweg basiert. Werbung auf Basis von Behavioural Targeting versucht, die Charakteristika dieses Verhaltens durch die Handlungen (wiederholte Besuche von Websites, Interaktionen, Schlüsselwörter, Produktion von Online-Inhalten usw.) zu untersuchen, um ein konkretes Profil zu erstellen und den betroffenen Personen dann Werbung zu senden, die auf ihre aus den Daten erschlossenen Interessen zugeschnitten ist.“

Beispiel 2:
Ein Hotelier im Engadin erstellt von seinen italienischen, schwedischen, deutschen und polnischen Gästen Profile, um ihnen Angebote für andere Aufenthalte machen zu können. Die DSGVO ist anwendbar, soweit das Profil auf der Grundlage eines Verhaltens in der EU erstellt wird.

Beispiel 3:
Der Betreiber einer Website setzt Webtracking ein, um die Besucherbewegungen auf einer Website oder das Surfverhalten von Internetnutzern zu und Rückschlüsse auf deren Interessen, Vorlieben oder Gewohnheiten zu erhalten. Die DSGVO ist wahrscheinlich anwendbar.

Quelle: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB