Die Datenschutz-Grundverordnung (DSGVO) ist eine europäische Datenschutzgesetzgebung, die darauf abzielt, den Schutz personenbezogener Daten zu stärken und die Datenschutzrechte von Einzelpersonen zu gewährleisten. Die Anwendung der DSGVO für Schweizer Firmen hängt von verschiedenen Kriterien ab, insbesondere von der Niederlassung des Verantwortlichen oder Auftragsbearbeiters und dem Zielmarkt der Datenbearbeitung. In diesem Blogbeitrag werden die Richtlinien für die Anwendung der DSGVO anhand von zwei Kriterien erläutert.
Kriterium der Niederlassung
Das erste Kriterium, das die Anwendung der DSGVO bestimmt, ist die Niederlassung des Verantwortlichen oder Auftragsbearbeiters. Gemäss Artikel 3 Abs. 1 der DSGVO findet die Verordnung in räumlicher Hinsicht Anwendung, wenn der Verantwortliche oder Auftragsbearbeiter seine Niederlassung in der Europäischen Union hat, unabhängig davon, ob die Datenbearbeitung in der Union stattfindet oder nicht. Der Europäische Gerichtshof hat den Begriff der Niederlassung in der Causa Weltimmo v. NAIH (C-230/14) relativ breit und flexibel ausgelegt.
Das bedeutet, dass Unternehmen, die in der EU niedergelassen sind, die DSGVO beachten müssen, auch wenn die Datenbearbeitung ausserhalb der EU stattfindet. Dies gilt sowohl für Unternehmen mit Hauptsitz in der EU als auch für Unternehmen mit Niederlassungen oder Tochtergesellschaften in der EU. Es ist wichtig zu beachten, dass die Niederlassung nicht nur physische Büros oder Einrichtungen umfasst, sondern auch virtuelle Präsenzen wie Websites oder Online-Shops.
Kriterium des Zielmarktes
Das zweite Kriterium, das die Anwendung der DSGVO bestimmt, ist das Kriterium des Zielmarktes gemäss Artikel 3 Absatz 2 der Verordnung. Es besagt, dass die DSGVO auch dann Anwendung findet, wenn der Verantwortliche ausserhalb der Europäischen Union ansässig ist, aber die Datenverarbeitung Waren oder Dienstleistungen betrifft, die für Personen in der EU bestimmt sind, oder wenn die Datenverarbeitung das Verhalten von Personen in der EU beobachtet.
Insbesondere bezieht sich dieser Teil der Verordnung auf die Beobachtung des Verhaltens von Internetnutzern. Das bedeutet, dass Unternehmen ausserhalb der EU, die beispielsweise Waren oder Dienstleistungen für EU-Bürger anbieten oder das Verhalten von EU-Bürgern im Internet beobachten, der DSGVO unterliegen können, auch wenn sie keine Niederlassung in der EU haben.
Es ist jedoch wichtig zu beachten, dass die Anwendung der DSGVO im Einzelfall und unter Berücksichtigung der Absicht des Verantwortlichen zu prüfen ist, Personen im Gebiet der EU Waren oder Dienstleistungen anzubieten oder ihr Verhalten zu beobachten.
Wenn eine Einzelfallanalyse des Sachverhalts erbringt, dass die Verarbeitung personenbezogener Daten durch einen nicht in der EU ansässigen Verantwortlichen oder Auftragsverarbeiter und die Tätigkeiten einer Niederlassung in der EU untrennbar miteinander verbunden sind, gilt für diese Verarbeitung durch das Nicht-EU-Unternehmen das Unionsrecht, und zwar unabhängig davon, ob die Niederlassung in der EU bei dieser Verarbeitung von Daten eine Rolle spielt.
Beispiel für die Anwendung der DSGVO
Eine Kette von Hotels und Ferienanlagen in Südafrika offeriert über seine Website Paketangebote in englischer, deutscher, französischer und spanischer Sprache. Das Unternehmen verfügt in der EU weder über ein Büro noch über eine Vertretung oder eine feste Einrichtung. In diesem Fall kann in Ermangelung einer Vertretung oder festen Einrichtung der Kette von Hotels und Ferienanlagen im Hoheitsgebiet der Union kein mit diesem Verantwortlichen in Südafrika verbundenes Unternehmen als Niederlassung in der EU im Sinne der DSGVO gelten. Daher kann die betreffende Verarbeitung nicht unter Artikel 3 Absatz 1 DSGVO fallen.
Es ist jedoch konkret zu prüfen, ob die Verarbeitung durch diesen Verantwortlichen, der nicht in der EU niedergelassen ist, möglicherweise unter Artikel 3 Absatz 2 DSGVO fällt. Ob sich die EU als Zielmarkt qualifiziert, hängt beispielsweise davon ab, in welchen Sprachen und in welcher Währung die Dienstleistungen angeboten werden. Wird die Dienstleistung in Euro angeboten, ist dies zumindest als ein starkes Indiz für die Anwendung der DSGVO zu werten.
Relevante Informationen zum DSGVO
Datenschutzerklärung
Wenn Sie eine Website betreiben, müssen Sie Ihre Besucher umfassend informieren, wie Sie mit ihren personenbezogenen Daten bezüglich des Datenschutzes umgehen. Dazu gibt es die Datenschutzerklärung, die Ihre Kunden mit einem Klick von überall aus auf Ihrer Seite einsehen können.
Impressum
Als Websitebetreiber brauchen Sie ein Impressum, damit Ihre Besucher wissen, an wen Sie sich wenden können, falls sie Fragen zu oder Probleme mit Ihrem Angebot haben.
Cookies
Für Cookies müssen Sie eine Einwilligung nach DSGVO einholen, sofern diese nicht für den Betrieb der Seite technisch notwendig sind. Umsetzen können Sie das mit einem Banner oder einem Cookie-Consent-Tool, in dem Sie auf die Datenverarbeitung hinweisen.
Bildrechte
Wenn Sie auf Ihrer Website Bilder veröffentlichen möchten, brauchen Sie die Zustimmung des Urhebers. Für Fotos von Personen brauchen Sie ebenfalls deren Einwilligung.
Mitarbeiterdaten
Wer Mitarbeiter beschäftigt, hat beim Thema Datenschutz und Datensicherheit einiges zu beachten. Sie müssen etwa in bestimmten Fällen Einwilligungen nach der DSGVO einholen oder Ihre Arbeitnehmer für den Datenschutz sensibilisieren.
Disclaimer
Die Ausführungen in diesem Beitrag dienen einzig als summarische Übersicht. Ein Anspruch auf Vollständigkeit besteht nicht.
Quellen
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
