Die Datenschutzgrundverordnung gilt ab dem 25. Mai 2018 in der gesamten Europäischen Union. Doch aufgrund ihrer extraterritorialen Anwendung wird sie auch für viele Schweizer Unternehmen zu beachten sein. Sie gilt immer dann (vgl. die Informationen der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten), wenn
- ein Schweizer Unternehmen eine Niederlassung in der Europäischen Union hat und zwar selbst dann, wenn die konkrete Verarbeitung gar nicht innerhalb der Union stattfindet,
- wenn ein Auftragsverarbeiter in der EU eingesetzt wird,
- ein Schweizer Unternehmen personenbezogene Daten im Auftrag eines europäischen Unternehmens verarbeitet,
- Daten einer Person, die in der EU niedergelassen ist, verarbeitet werden. Dieser Fall gilt z.B. beim Onlineversand an Personen mit einem Wohnsitz innerhalb der EU aber auch beim Webtracking, wenn dieses personenbeziehbar ist (nicht anonymisierte IP-Adresse).
Schweizer Unternehmen sind also ab Mai vielfach der DSGVO unterworfen. Doch damit nicht genug! Der Schweiz steht noch ein viel größeres Problem bevor. Die EU-Kommission könnte ihr ein gleichwertiges Datenschutzniveau absprechen und den Angemessenheitsbeschluss aufheben. Der Angemessenheitsbeschluss ist aber Voraussetzung dafür, dass personenbezogene Daten aus der EU ohne weitere Schutzvorkehrungen in die Schweiz übermittelt werden dürfen.
Schweizer Datenschutzrecht
Der Datenschutz ist in der Schweiz im Bundesgesetz über den Datenschutz (DSG) geregelt. Das DSG ist neben dem allgemeinen Teil in einen Teil für die Bundesverwaltung und einen für Private aufgeteilt. Der Teil für die Bundesverwaltung ist schengenrelevant, d.h. hier muss die Schweiz Anpassungen (vor allem die Ratifikation der revidierten Europaratskonvention SEV 108 und die Übernahme der EU-Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts) vornehmen, um ihren Verpflichtungen aus dem Schengen Abkommen nachzukommen. Nun hat die Schweiz entschieden, die Revision des DSG in zwei Phasen zu beraten. Zuerst soll über den schengenrelevanten Teil beraten und abgestimmt werden, bevor (wann ist bisher unklar) mit den Beratungen über die Anpassung des zweiten Teils begonnen werden soll.
Die EU-Kommission ist nach Inkrafttreten der DSGVO verpflichtet, alle Angemessenheitsbeschlüsse (derzeit sind es zwölf) dahingehend zu überprüfen, ob den jeweiligen Ländern ein der Europäischen Union vergleichbares Datenschutzniveau bescheinigt werden kann.
Sollte die Schweiz mit der Komplettrevision des DSG nicht zeitnah beginnen, besteht die Gefahr, dass ihr eben dieser Angemessenheitsbeschluss entzogen wird. Dies hätte weitreichende Folgen für die Wirtschaft. Personenbezogene Daten aus der EU dürften dann nur noch in die Schweiz transferiert werden, wenn zusätzliche Schutzmaßnahmen, wie EU-Standardvertragsklauseln oder Binding Corporate Rules von allen Vertragspartnern unterzeichnet werden. Der Mehraufwand für die Wirtschaft ist nicht zu unterschätzen.