Aufrufe
vor 3 Jahren

Netzwoche 09/2018

14 Business

14 Business Titelgeschichte Wieso auch Schweizer Behörden unter EU-Datenschutz fallen Das revidierte europäische Datenschutzrecht kann nicht nur bei Schweizer Unternehmen möglichen Anpassungsbedarf auslösen. Auch schweizerische Behörden und öffentliche Institutionen stellt das vor neue datenschutzrechtliche Herausforderungen. Autor: Reto Fanger Die Anwendbarkeit der EU-Datenschutz-Grundverordnung (EU-DSGVO/GDPR) steht unmittelbar vor der Tür: Am 25. Mai 2018 wird die DSGVO als Kernstück der europäischen Datenschutzreform anwendbar sein. Als Folge der extraterritorialen Wirkung der DSGVO wurden in den letzten Jahren und Monaten die konkreten Voraussetzungen, unter denen das neue europäische Datenschutzrecht auf Schweizer Unternehmen bei der Verarbeitung personenbezogener Daten anwendbar ist, bereits eingehend – und je nach Anwendungsfall mehr oder weniger kontrovers – diskutiert. Die Bestimmungen der DSGVO sehen eine Anwendbarkeit auf Unternehmen von Drittstaaten vor, wenn diese •• eine Niederlassung in der EU haben (Art. 3 Abs. 1 DSGVO) oder •• in Anwendung des neu eingeführten Marktortprinzips nach Art. 3 Abs. 2 DSGVO ·· Waren oder Dienstleistungen an Personen in der EU anbieten (lit. a) oder aber ·· Personen in der EU in ihrem Webverhalten beobachten (lit. b) oder •• bei einer Kombination der verschiedenen Voraussetzungen. DSGVO für Behörden und öffentliche Institutionen? So weit, so gut … Aber wie verhält sich das revidierte EU- Datenschutzrecht eigentlich in Bezug auf Behörden und öffentliche Institutionen aus Drittstaaten wie der Schweiz. Gilt für diese auch das Niederlassungs- sowie das Marktortprinzip? Fallen Schweizer Behörden und öffentliche Institutionen unter die DSGVO, wenn sie Waren und Dienstleistungen an Personen in der EU anbieten oder das Verhalten ihrer Webbesucher aus der EU beobachten? Die Frage lässt sich leicht beantworten, da die neue europäische Datenschutzregelung generell zum Ziel hat, den Schutz von Personen in der EU unter anderem auch bei der Verarbeitung von personenbezogenen Daten durch Verantwortliche aus Drittstaaten sicherzustellen. Dieser Schutz soll selbst dann gewährleistet sein, wenn die Datenverarbeitung ausserhalb der EU erfolgt. Organisationen aus Drittstaaten sollen datenschutzrechtlich nicht bessergestellt werden als EU- Organisationen, die künftig strengen Anforderungen zu genügen haben. Dadurch soll ein sogenanntes «Forum Shopping» verhindert werden; ein Anbieter soll sich nicht durch die Wahl seines Sitzes ausserhalb des EU-Binnenmarktes den datenschutzrechtlichen Vorgaben entziehen können. Fällt daher eine Datenverarbeitung im Zusammenhang mit einem Drittstaat entweder nach dem Niederlassungs- oder dem Marktortprinzip in den räumlichen Anwendungsbereich der DSGVO, spielen weder der Ort der Datenverarbeitung noch die Person des Verantwortlichen eine Rolle. So werden nicht nur natürliche oder juristische Personen aus diesen Drittstaaten wie beispielsweise der Schweiz in die Pflicht genommen, sondern gegebenenfalls auch unsere schweizerischen Behörden und öffentlichen Institutionen auf Stufe Bund, Kanton oder Gemeinde. 09 / 2018 www.netzwoche.ch © netzmedien ag

Business Titelgeschichte 15 Illustration: iStock (3): aurielaki; Ylivdesign; Snyde88 Die Verwendung von EU-Sprachen über die schweizerischen Landes sprachen hinaus, das Auflisten von Kundenreferenzen aus dem EU- Raum oder das Anbieten der Leistungen auch in Euro kann als Indiz eines DSGVOrelevanten Angebots dienen. Niederlassung in der EU So ist die DSGVO unter anderem auf Schweizer Behörden und öffentliche Institutionen anwendbar, die über eine Niederlassung in der EU verfügen. Eine Niederlassung im Sinne der DSGVO liegt dann vor, wenn in der EU eine feste Einrichtung besteht, von der aus eine Tätigkeit effektiv und tatsächlich stattfindet. Dies gilt weder für mobile Einrichtungen wie Messestände oder Ähnliches noch für Briefkastenfirmen oder reine Serverstandorte. Keine Rolle spielt, ob die Niederlassung eine eigene Rechtspersönlichkeit hat. Infrage kommen neben internen Abteilungen von Behörden oder öffentlichen Institutionen wie Produktionsstätten, Rechenzentren oder der Buchhaltung auch Zweigstellen und Agenturen. Die Verarbeitung der personenbezogenen Daten muss dabei im Rahmen der Tätigkeit der jeweiligen EU-Niederlassung stattfinden. So liegt es durchaus im Bereich des Möglichen, dass Behörden und öffentliche Institutionen aus der Schweiz Niederlassungen im grenznahen Ausland oder in wichtigen europäischen Hauptstädten haben, beispielsweise •• im Gesundheitsbereich (Kliniken, Labors, Röntgeninstitute) oder •• im Bereich Tourismus- und Standortmarketing (Tourismus, Stadt- und Wohnortmarketing sowie Wirtschaftsförderung). Angebot von Waren und Dienstleistungen Selbst wenn das Niederlassungsprinzip auf eine schweizerische Behörde oder öffentliche Institution nicht anwendbar ist, kann diese in Anwendung des Marktortprinzips durch Waren- oder Dienstleistungsangebote an Personen im EU-Raum unter den räumlichen Anwendungsbereich der DSGVO fallen. Auch dann, wenn solche Angebote aus der Schweiz erfolgen. Das Marktortprinzip zielt primär auf die Verarbeitung personenbezogener Daten im Rahmen des Internets ab. Unter Waren werden dabei alle beweglichen körperlichen Gegenstände verstanden, die einen Geldwert haben und Gegenstand von Handelsgeschäften sein können, während der Begriff der Dienstleistungen umfassend zu verstehen ist und insbesondere auch jede Art von Internetdienstleistungen umfasst. Das reine Anbieten von Waren oder Dienstleistungen reicht für die Anwendbarkeit der DSGVO auf Drittländer aber nicht aus. Der fragliche Verantwortliche muss ein solches Angebot in den EU-Raum vielmehr offensichtlich beabsichtigen. Dieses Kriterium ist beispiels- www.netzwoche.ch © netzmedien ag 09 / 2018

Archiv

Specials