Am 25. Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO/GDPR) für alle Mitgliedsstaaten der Europäischen Union (EU) gültig. Zahlreiche Schweizer Unternehmen werden von der DSGVO direkt betroffen sein. Insbesondere, wenn diese Daten von EU-Bürgern verarbeiten und auch, wenn diese als Auftragsverarbeiter in Vertragsbeziehungen zu deutschen Unternehmen stehen.
Foto: Azat Valeev - shutterstock.com
Marktortprinzip
Die DSGVO regelt den einheitlichen Schutz für den Umgang mit personenbezogenen Daten (CH: Personendaten) in der Eurpäischen Union. Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen sich ausgehend vom räumlichen Anwendungsbereich an die Regelungen der DSGVO halten. Dies gilt für Unternehmen mit Sitz außerhalb der Europäischen Union und somit auch für Unternehmen in der Schweiz.
Gemäß Art. 3 Abs. 2 DSGVO (Räumlicher Anwendungsbereich) findet die Verordnung Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen (z. B. Kundendaten), die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter. Man spricht hier vom so genannten Marktortprinzip. Davon betroffen sind somit unter anderem Betreiber von Online-Portalen, Versandhändler, Exporteure, jegliche Dienstleister sofern die Leistungen in der Europäischen Union angeboten werden.
Das Marktortprinzip regelt und erweitert den räumlichen Anwendungsbereich der DSGVO, sofern das Angebot auf den europäischen Markt („Marktort“) gerichtet ist (Schantz NJW 2016, 1841, 1842). Das heißt, wenn sich weder eine Niederlassung noch der Sitz des Unternehmens in der Europäischen Union befinden, dieses aber betroffenen Personen in der EU Dienstleistungen oder Waren anbietet.
Neues Schweizer Datenschutzrecht
Die Schweiz gilt als sicheres Drittland im Sinne des § 4b BDSG. Nach EU-Kriterien bietet die Schweiz somit ein angemessenes Schutzniveau für die Übermittlung von personenbezogenen Daten von der Europäischen Union in die Schweiz.
Damit die Schweiz auch weiterhin, zukünftig nach Art. 45 DSGVO (Datenübermittlung auf der Grundlage eines Angemessenheitsbeschluss), über ein angemessenes Schutzniveau für die Übermittlung von personenbezogenen Daten nach EU-Kriterien verfügt, hat die Schweiz im August 2016 einen Vernehmlassungsentwurf für ein neues Schweizer Datenschutzgesetz erlassen. Mit dieser Revision des Datenschutzgesetzes (DSG) will die Schweiz das eigene Datenschutzniveau auf das der Europäischen Union anpassen. Es sind einige Parallelen zwischen der DSGVO und dem DSG-Entwurf vorhanden, dies ist auch durchaus sinnvoll. Eine dieser Parallelen sind z. B. Art. 11 Entwurf DSG mit dem so genannten Verzeichnis der Bearbeitungstätigkeiten (Art. 30 DSGVO Verzeichnis von Verarbeitungstätigkeiten) und die Datenschutz-Folgenabschätzung.