Viele Berater haben bereits darauf hingewiesen, dass Unternehmen bei Verstössen gegen die Rechte von betroffenen Personen gemäss der Datenschutzgrundverordnung (DSGVO) mit Geldbussen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher Wert höher ist) belegt werden können. Allerdings ist die DSGVO in der Schweiz nicht direkt anwendbar. Stattdessen gilt, zumindest vorerst, das Schweizer Bundesdatenschutzgesetz (DSG) von 1992. Wie hoch ist also das Risiko, dass die Aufsichtsbehörden der EU-Mitgliedsstaaten trotzdem mit einem Bussgeldbescheid an die Tür von Schweizer Unternehmen klopfen, und was können Unternehmer tun, um dies zu vermeiden? In diesem Blogartikel geben wir (1) einen Überblick darüber, wann die DSGVO für Unternehmen in der Schweiz gilt, (2) wie hoch das tatsächliche Durchsetzungsrisiko ist und (3) einige Tipps, wie Unternehmer das Risiko für ihre Firma minimieren können.
DSGVO – das Kriterium der Niederlassung
Zunächst müssen Sie Ihr Unternehmen anhand des Kriteriums der “Niederlassung” des Art. 3 (1) DSGVO überprüfen.
Das Kriterium beinhaltet folgende Fälle: die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit einer EU-Niederlassung oder Tochtergesellschaft eines Schweizer Unternehmens; oder die Verarbeitung personenbezogener Daten durch ein Schweizer Unternehmen, das als Auftragsverarbeiter im Auftrag eines europäischen Unternehmens handelt.
Wenn Unternehmen also der Versuchung nachgegeben haben, die Verarbeitung personenbezogener Daten an einen billigeren Auftragsverarbeiter in Deutschland oder Italien auszulagern, unterliegt das verarbeitende Unternehmen der DSGVO, unabhängig davon, ob sich die personenbezogenen Daten auf EU- oder Schweizer Betroffene beziehen. Im Falle eines Verstosses durch den ausländischen Auftragsverarbeiter wird wahrscheinlich dieser zur Verantwortung gezogen werden.
DSGVO – das Kriterium des Targeting
Als zweites sollten Unternehmen darüber nachdenken, ob sie für die Bereitstellung von Waren oder Dienstleistungen “Targeting” von EU-Betroffenen im Sinne von Art. 3 (2) DSGVO betreiben.
Die DSGVO enthält keine genaue Definition darüber, was das “Anbieten von Waren und Dienstleistungen” genau beinhaltet. Nach Erwägungsgrund 23 muss geprüft werden, ob es offensichtlich ist, dass der Verantwortliche oder der Auftragsverarbeiter beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedstaaten der EU seine Dienstleistungen anzubieten.
Um festzustellen, ob dieses Ziel verfolgt wird, wird eine Reihe von Faktoren berücksichtigt, darunter “die Verwendung einer Sprache oder einer Währung, die in einem oder mehreren Mitgliedstaaten allgemein verwendet wird, mit der Möglichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Nennung von Kunden oder Nutzern, die sich in der Europäischen Union befinden”.
Das bedeutet, dass ein Schweizer Unternehmen seine Webseite in den Sprachen Deutsch, Französisch oder Italienisch, den offiziellen Sprachen der Schweiz, darstellen kann, ohne dass dies Auswirkungen auf die DSGVO hat. Eine Version in z. B. Niederländisch, Portugiesisch, Schwedisch oder Spanisch könnte jedoch darauf hinweisen, dass das Unternehmen beabsichtigt, in der EU Geschäfte zu machen (Englisch wird im Allgemeinen nicht als Auslöser für das Kriterium angesehen). Das Gleiche gilt für die Angabe von Produktpreisen in Euro im Online-Shop eines Unternehmens.
In einem anderen Zusammenhang (Rechtsfall C-585/08 und C-144/09) hat der Gerichtshof der Europäischen Union Faktoren identifiziert, die darauf hinweisen, ob das Angebot von Waren und Dienstleistungen als auf einen bestimmten EU-Mitgliedstaat gerichtet angesehen werden kann.
Indizien wie die Angabe der Telefonnummer des Unternehmens mit internationaler Vorwahl auf der Unternehmenswebseite, die Beschreibung der Route von einem Mitgliedstaat zum Geschäftssitz des Unternehmens (z. B. “So erreichen Sie unseren Standort von Deutschland aus”) können darauf hindeuten, dass das Unternehmen beabsichtigt, sich an betroffene Personen in der EU zu richten. Die blosse Erreichbarkeit der Unternehmenswebseite oder E-Mail-Adresse in der EU reicht nicht aus, um eine solche Absicht festzustellen, aber Webseiten-domains, die auf Länderabkürzungen wie .fr, .it oder .nl enden, sind hingegen starke Indizien.
Zusammenfassung
Die Reichweite der EU-Behörden in der Schweiz scheint derzeit begrenzt zu sein, und bisher sind uns keine Bussgeldaktionen gegen Schweizer Unternehmen bekannt. Ausserdem wichtig zu beachten ist, dass die maximalen Bussgelder für die Facebooks und Googles dieser Welt gelten und niemals die gleichen Höhen für durchschnittliche Unternehmen erreichen werden, die z.B. einen falschen Website-Haftungsausschluss haben.
Die hohen Bussgelder haben den Datenschutz definitiv in das Bewusstsein von Unternehmern und Geschäftsführern gerückt. Während hohe Bussgelder für das durchschnittliche Schweizer Unternehmen sehr unwahrscheinlich sind, kann eine grundlegende Datenschutz-Compliance recht einfach umgesetzt werden und ist zu einem wichtigen Reputationsfaktor geworden. Um die Umsetzung der Compliance einfacher zu machen, haben wir ein LEXR-Standardpaket zur Datenschutz-Compliance entwickelt. Für Fragen dazu stehen wir jederzeit zur Verfügung.
