Datenschutz außerhalb der EU

DSGVO kann auch Schweizer Unternehmen betreffen

01.02.2018
Von 


Regina Mühlich ist Geschäftsführerin der Unternehmensberatung AdOrga Solutions GmbH. Als Expertin für Datenschutz, anerkannte und geprüfte Sachverständige für Datenschutz und Informationsverarbeitung, Auditorin für Datenschutz und Qualitätsmanagement berät und unterstützt sie internationale Unternehmen aus unterschiedlichsten Branchen. Dank ihrer langjährigen Erfahrung als COO, Projekt-/QM-Leiterin und Konzerndatenschutzbeauftragte verfügt sie über profunde Kenntnisse in Unternehmensstrukturen und -abläufen.
Was bedeutet das neue EU-Datenschutzgesetz für die Schweiz?

Am 25. Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO/GDPR) für alle Mitgliedsstaaten der Europäischen Union (EU) gültig. Zahlreiche Schweizer Unternehmen werden von der DSGVO direkt betroffen sein. Insbesondere, wenn diese Daten von EU-Bürgern verarbeiten und auch, wenn diese als Auftragsverarbeiter in Vertragsbeziehungen zu deutschen Unternehmen stehen.

Die DSGVO kann auch schweizer Unternehmen betreffen, sofern sie mit einem in der EU ansässigen Unternehmen personenbezogene Daten austauschen.
Die DSGVO kann auch schweizer Unternehmen betreffen, sofern sie mit einem in der EU ansässigen Unternehmen personenbezogene Daten austauschen.
Foto: Azat Valeev - shutterstock.com

Marktortprinzip

Die DSGVO regelt den einheitlichen Schutz für den Umgang mit personenbezogenen Daten (CH: Personendaten) in der Eurpäischen Union. Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen sich ausgehend vom räumlichen Anwendungsbereich an die Regelungen der DSGVO halten. Dies gilt für Unternehmen mit Sitz außerhalb der Europäischen Union und somit auch für Unternehmen in der Schweiz.

Gemäß Art. 3 Abs. 2 DSGVO (Räumlicher Anwendungsbereich) findet die Verordnung Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen (z. B. Kundendaten), die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter. Man spricht hier vom so genannten Marktortprinzip. Davon betroffen sind somit unter anderem Betreiber von Online-Portalen, Versandhändler, Exporteure, jegliche Dienstleister sofern die Leistungen in der Europäischen Union angeboten werden.

Das Marktortprinzip regelt und erweitert den räumlichen Anwendungsbereich der DSGVO, sofern das Angebot auf den europäischen Markt („Marktort“) gerichtet ist (Schantz NJW 2016, 1841, 1842). Das heißt, wenn sich weder eine Niederlassung noch der Sitz des Unternehmens in der Europäischen Union befinden, dieses aber betroffenen Personen in der EU Dienstleistungen oder Waren anbietet.

Neues Schweizer Datenschutzrecht

Die Schweiz gilt als sicheres Drittland im Sinne des § 4b BDSG. Nach EU-Kriterien bietet die Schweiz somit ein angemessenes Schutzniveau für die Übermittlung von personenbezogenen Daten von der Europäischen Union in die Schweiz.

Damit die Schweiz auch weiterhin, zukünftig nach Art. 45 DSGVO (Datenübermittlung auf der Grundlage eines Angemessenheitsbeschluss), über ein angemessenes Schutzniveau für die Übermittlung von personenbezogenen Daten nach EU-Kriterien verfügt, hat die Schweiz im August 2016 einen Vernehmlassungsentwurf für ein neues Schweizer Datenschutzgesetz erlassen. Mit dieser Revision des Datenschutzgesetzes (DSG) will die Schweiz das eigene Datenschutzniveau auf das der Europäischen Union anpassen. Es sind einige Parallelen zwischen der DSGVO und dem DSG-Entwurf vorhanden, dies ist auch durchaus sinnvoll. Eine dieser Parallelen sind z. B. Art. 11 Entwurf DSG mit dem so genannten Verzeichnis der Bearbeitungstätigkeiten (Art. 30 DSGVO Verzeichnis von Verarbeitungstätigkeiten) und die Datenschutz-Folgenabschätzung.