Wann gilt die DSGVO für Schweizer Unternehmen?
Bei der DSGVO handelt es sich um die von der EU erlassenen Datenschutzgrundverordnung. Sie enthält Regeln für die Verarbeitung personenbezogener Daten. Anders als man vielleicht vermuten mag, gilt die DSGVO unter bestimmten Umständen auch für Schweizer Unternehmer. Firmen, welche die Verordnung missachten, drohen hohe Bussen. Finden Sie im Beitrag heraus, ob auch Ihr Unternehmen von der DSGVO betroffen ist.
Die Datenschutz-Grundverordnung (DSGVO) der EU bezweckt die Regelung des Umgangs und die Verarbeitung von personenbezogenen Daten. Es handelt sich dabei um eine umfassende Datenschutzregelung auch über das Gebiet der EU bzw. des EWR hinaus, die am 25.5.2018 in Kraft getreten ist. Die DSGVO ist auch für Schweizer Unternehmer wichtig, denn sie dient nicht nur als Vorlage für die aktuelle Revision des Schweizer Datenschutzgesetzes, sondern gilt unter Umständen auch für in der Schweiz ansässige Firmen. Wer die Bestimmungen missachtet, dem drohen saftige Konsequenzen. Bei einem Verstoss gegen die DSGVO können Unternehmen mit Busse bis 20 Mio. bzw. 4 Prozent des Jahresumsatzes bestraft werden. In diesen vier Fällen gilt die DSGVO auch für Schweizer Unternehmer:
Niederlassung in der EU oder im EWR
Die DSGVO ist für Schweizer Unternehmen verbindlich, wenn diese eine Niederlassung in der EU oder im EWR haben (Art. 3 Abs. 1 DSGVO). Als Niederlassung gilt jede dauerhafte Vertretung, sei dies eine Tochtergesellschaft, eine Filiale oder eine Zweigniederlassung. Zu beachten ist, dass die DSGVO nicht für das gesamte Unternehmen verbindlich ist, sondern nur für die entsprechende Niederlassung im Ausland. Hat etwa ein Schweizer Detailhändler eine Filiale in Deutschland, müssen die Richtlinien der DSGVO für die Verarbeitung der Kundendaten der deutschen Filiale beachtet werden.
Angebot von Waren oder Dienstleistungen in der EU oder im EWR
Ebenfalls anwendbar ist die DSGVO, wenn ein Schweizer Unternehmen beabsichtigt Dienstleistungen oder Waren an Personen im EWR anzubieten (Art. 3 Abs. 2 lit. a DSGVO). Dabei ist es irrelevant, ob das Schweizer Unternehmen auch tatsächlich Erfolg in der EU/im EWR hat. Entscheidend ist allein die Absicht Kunden in den entsprechenden Ländern bedienen zu wollen. Die Verpflichtung besteht aber nicht zwangsläufig nur weil Waren ins Ausland geliefert werden. Vielmehr muss die Schweizer Firma ihre Absicht den EU-Markt zu bedienen erkennbar und aktiv zum Ausdruck bringen, etwa durch konkrete Werbung oder Preise in Euro im Onlineshop. Wiederum gilt die DSGVO nur für die Verarbeitung jener Personendaten, die sich auf ausländische Endkunden beziehen.
Datenbearbeitung mit Bezug zu einem EU/EWR-Unternehmen
Die DSGVO gilt auch, wenn das Schweizer Unternehmen Daten im Auftrag eines Unternehmens mit Sitz in der EU oder dem EWR bearbeitet oder aber die Datenbearbeitung selbst an ein ausländisches Unternehmen outsourct. In diesen Fällen kann die Abgrenzung ob nun die DSGVO oder das Schweizer Datenschutzrecht anwendbar ist schwierig sein. Es gilt auch hier die Grundregel, dass die DSGVO nur jeweils auf jene Datenbearbeitungen anwendbar ist, welche die entsprechenden Voraussetzungen erfüllen, nicht aber auf alle Personendaten per se.
Verhaltensbeobachtung in der EU oder im EWR (Tracking)
Auch das sogenannte Tracking d.h. die Beobachtung des Verhaltens von Personen in der EU bzw. im EWR fällt unter die Vorschriften der DSGVO (Art. 3 Abs. 2 lit. b DSGVO). Hier gilt, dass das die betroffenen Personen sich in der EU/im EWR aufhalten müssen und das beobachtete Verhalten ebenfalls dort stattfinden muss. Die Staatsangehörigkeit der beobachteten Person ist irrelevant. Kauft etwa ein Deutscher in der Schweiz ein, ist die DSGVO nicht anwendbar, weil das beobachtete Verhalten nicht im Ausland stattgefunden hat.
Haben Sie eine innovative Geschäftsidee, die Sie gerne umsetzen möchten? Die Experten von STARTUPS.CH stehen Ihnen gerne zur Verfügung und begleiten Sie in berufliche Selbständigkeit.
» Blog» Online gründen