Die Schweiz ist kein Mitglied der Europäischen Union. Folglich findet auch die Datenschutzgrundverordnung (DSGVO) keine automatische Anwendung. Im Sinne der DSGVO gilt die Schweiz als Drittland. Jedoch liegt für die Schweiz ein Angemessenheitsbeschluss der Europäischen Union vor, der der Schweiz ein der EU gleichwertiges Datenschutzniveau attestiert. Somit dürfen personenbezogene Daten ohne weitere Schutzvorkehrungen in die Schweiz übermittelt werden.
Die DSGVO sieht jedoch eine regelmäßige Überprüfung der Angemessenheitsbeschlüsse vor und hier könnte ein Problem für die Schweiz liegen.
Schweizer Datenschutzrecht
Der Datenschutz ist in der Schweiz im Bundesgesetz über den Datenschutz (DSG) geregelt. Das DSG ist neben einem allgemeinen Teil in einen Teil für die Bundesverwaltung und einen für Private aufgeteilt. Der Teil für die Bundesverwaltung ist schengenrelevant. Hier hat die Bundesversammlung inzwischen Änderungen zugestimmt, so dass die Schweiz ihren Verpflichtungen aus dem Schengen Abkommen nachkommt.
Anpassungen an dem umfangreicheren Teil für Private wurden hingegen noch nicht vorgenommen. Das Gesetz befindet sich immer noch in der Beratungsphase. Es ist fraglich, ob die Neuregelung des DSG wie geplant Anfang 2020 umgesetzt werden kann. Die Gefahr besteht, dass die EU der Schweiz datenschutzrechtliche Auflagen erteilt oder ihr gar den Angemessenheitsbeschluss entzieht, wenn die Schweiz deutlich hinter die Regelungen der DSGVO zurückfällt. Dies hätte fatale Auswirkungen für die Wirtschaft.
DSGVO häufig schon jetzt relevant
Dabei müssen sich viele Schweizer bereits jetzt an die Vorschriften der DSGVO halten (siehe unseren Beitrag), da diese aufgrund ihrer extraterritorialen Anwendung auch für Schweizer gilt, wenn
- ein Schweizer Unternehmen eine Niederlassung in der EU hat,
- ein Auftragsverarbeiter in der EU eingesetzt wird,
- ein Schweizer Unternehmen personenbezogene Daten im Auftrag eines europäischen Unternehmens verarbeitet,
- Daten einer Person, die in der EU niedergelassen ist, verarbeitet werden.
Daniela Windelband
28. November 2018 @ 9:55
Sehr geehrter Herr Steiger,
vielen Dank für Ihren Kommentar. Ich will versuchen, Ihnen meine Einschätzung, warum doch alle vier Punkte zutreffen, zu erläutern:
Zu Punkt 2
Wenn ein Auftragsverarbeiter in der EU eingesetzt wird, greift Artikel 3 Abs. 1 DSGVO, der auch auf Auftragsverarbeiter Anwendung findet. In Erwägungsgrund 22 steht: „Jede Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union sollte gemäß dieser Verordnung erfolgen, gleich, ob die Verarbeitung in oder außerhalb der Union stattfindet.“. Damit ist der Verantwortliche hier genauso der DSGVO unterworfen wie der Auftragsverarbeiter, weil der Auftragsverarbeiter ja keine Datenverarbeitung durchführen darf, die gegen die DSGVO verstößt.
Ich gebe Ihnen aber Recht, dass man hier auch anders argumentieren kann, da die Norm leider etwas unklar formuliert ist. Allerdings wird der Auftragsverarbeiter, da er der DSGVO unterworfen ist, nur DSGVO-konform verarbeiten. Hinzu kommt noch, dass der Auftragsverarbeiter aus dem Auftragsverarbeitungsvertrag heraus regelmäßig verpflichtet ist, den Verantwortlichen zu informieren, wenn eine Verarbeitung gegen die DSGVO verstößt (Art. 28 Abs. 3, S. 2 DSGVO). Also, wie man es dreht und wendet – entweder vertritt man, dass die DSGVO wegen Art. 3 Abs. 1 DSGVO direkt gilt, oder eben mittelbar, weil der Auftragsverarbeiter sich daran halten muss. Allerdings drohen dann dem Schweizer zumindest keine Bußgelder und der Auftragsverarbeiter muss ja z. B. auch nicht nach Art. 13 DSGVO informieren. Die Pflichten des Verantwortlichen beschränken sich also auf die, die er mittelbar durch den Auftragsverarbeiter „durchgereicht“ bekommt.
Zu Punkt 3
Auch hier kann man über die Verkürzung in meinem ursprünglichen Text streiten. Die DSGVO gilt auch hier „nur“ mittelbar für den schweizer Auftragsverarbeiter, weil er nicht unter den Anwendungsbereich von Art. 3 Abs. 2 DSGVO fällt. Dadurch, dass der europäische Verantwortliche aber darunter fällt, muss ein Art. 28-Vertrag geschlossen werden, sodass zumindest insofern die DSGVO gilt.
Zu Punkt 4
Dass die DSGVO in den allermeisten Fällen gilt, folgt aus Art. 3 Abs. 2 DSGVO. Sobald sich ein Unternehmen mit Waren oder Dienstleistungen an europäische Verbraucher richtet oder deren Verhalten beobachtet, gilt die DSGVO.
Ich hoffe, nun ist alles etwas klarer geworden.
Mit freundlichen Grüßen
Daniela Windelband
Rechtsanwalt Martin Steiger
25. November 2018 @ 14:47
Vorsicht, drei der vier erwähnten Fälle sind falsch. Richtig ist lediglich der Fall mit der Niederlassung. (Und in diesem Fall ist zu prüfen, inwiefern ein Schweizer Unternehmen durch eine Niederlassung im EWR über die Niederlassung hinaus mit der DSGVO infiziert wird.)
Deesgevauoh
14. November 2018 @ 16:35
Selbst wenn der Angemessenheitsbeschluss abgeschafft werden sollte: Wären Datenübermittlungen in die Schweiz nicht durch § 2 Abs. 6 S. 1 BDSG (ungeachtet einer Europarechtswidrigkeit der Regelung) gedeckt?