Das Datenschutzrecht in der Schweiz wird zum 1. September reformiert und auf die DSGVO abgestimmt. Unternehmen, die auf dem Schweizer Markt aktiv sind, sollten sich darauf vorbereiten. So gibt es erstmals die Anforderung, eine “Datenschutz-Vertretung” in der Schweiz zu benennen. Die Schweizer Rechtsanwältin Sophie Winkler beantwortet die wichtigsten Fragen hierzu:
Was ist eine Datenschutz-Vertretung in der Schweiz?
Das Konzept der Datenschutz-Vertretung in der Schweiz lehnt sich an den EU-Vertreter gemäß DSGVO an. Nach der DSGVO müssen Unternehmen ohne Niederlassung in der EU, die sich auf den EU-Markt ausrichten und dabei personenbezogene Daten verarbeiten, einen Vertreter für Datenschutzfragen in der EU benennen. Das neue Schweizer Datenschutzgesetz (nDSG) greift dieses Konzept auf und wendet es auf die Schweiz an. Es erfordert, dass Datenverantwortliche mit Sitz oder Wohnsitz außerhalb der Schweiz, welche Daten von Schweizer Personen bearbeiten, eine Vertretung in der Schweiz ernennen müssen.
Wann fällt man unter das Schweizer Datenschutzgesetz und braucht ggf. eine Datenschutz-Vertretung in der Schweiz?
Erfasst werden Unternehmen und Privatpersonen, welche Daten über natürliche Personen in der Schweiz bearbeiten. Dabei werden Sachverhalte erfasst, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden, sofern folgende Kriterien erfüllt sind:
- Die Bearbeitung erfolgt im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz;
- Es handelt sich um eine umfangreiche Bearbeitung;
- Es handelt sich um eine regelmäßige Bearbeitung;
- Die Bearbeitung bringt ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich.
Was gilt als hohes Risiko? Dies ist im Zweifel erfüllt, wenn der ganze Schweizer Markt angesprochen wird und damit ein großer Kreis von Personen betroffen ist. Das hohe Risiko kann sich aber auch aus der Art der bearbeiteten Daten bzw. deren Inhalt (z.B. besonders schützenswerte Daten) ergeben, der Art und dem Zweck der Datenbearbeitung (z.B. Profiling), der Menge an bearbeiteten Daten (z.B. ganzer Schweizer Markt), der Übermittlung in Drittstaaten (z.B. wenn die ausländische Gesetzgebung keinen angemessenen Schutz von Personendaten gewährleistet wie die USA, Indien, etc.) oder wenn eine große oder gar unbegrenzte Anzahl Personen auf die Daten zugreifen können.
Muss man demnach bereits dann eine Datenschutz-Vertretung bestellen, wenn die Unternehmens-Website in der Schweiz verfügbar ist (z.B. auf Deutsch) und Tracking einsetzt?
Ein Unternehmen mit einer Website, welche sich mit ihrem Angebot (auch) an Schweizer Konsumenten wendet und dabei eine Menge an Daten (inkl. Tracking) erfasst, hat im Zweifel eine Vertretung zu ernennen.
Muss man auch tätig werden, wenn man schon ein Büro oder eine Tochtergesellschaft in der Schweiz hat?
Ja. Die Pflicht, eine Datenschutz-Vertretung in der Schweiz zu bezeichnen, richtet sich an Datenverantwortliche mit Sitz außerhalb der Schweiz – gemeint sein dürfte hiermit der Hauptsitz. Nach dem Wortlaut des Gesetzes hängt die Pflicht nicht davon ab, ob eine selbständige oder unselbständige Zweigniederlassung in der Schweiz besteht. Auch in diesem Fall sollte daher die Pflicht zur Bezeichnung eines Datenschutz-Vertreters geprüft werden. Das Unternehmen kann die Pflicht aber ggf. dadurch erfüllen, die vorhandene Niederlassung oder Tochtergesellschaft als Datenschutz-Vertreter zu benennen.
Was sind die Pflichten der Vertretung?
Die Vertretung muss ein Verzeichnis der Bearbeitungstätigkeiten des Datenverantwortlichen, welches die Angaben gemäss dem Schweizer Datenschutzgesetz enthält, führen. Die Vorgaben sind in Art. 12 nDSG festgehalten. Art. 12 nDSG entspricht im Wesentlichen den Vorgaben der DSGVO, jedoch sind einige zusätzliche Angaben nötig.
Zudem ist die Vertretung Anlaufstelle für Anfragen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und muss diesem auf Verlangen die im Verzeichnis enthaltenden Angaben von betroffenen Personen mitteilen. Arbeitet der Vertreter nicht ausreichend mit dem EDÖB zusammen, kann dieser Sanktionen aussprechen.
Auch muss der Vertreter bei Anfragen einer betroffenen Person Auskünfte darüber erteilen, wie sie ihre Rechte ausüben kann. Entsprechend hat die Vertretung eine Adresse bzw. Ansprechmöglichkeit in der Schweiz zur Verfügung zu stellen (z.B. postalische Adresse und E-Mail), welche veröffentlicht werden muss. In der Regel werden diese Angaben in der Datenschutzerklärung publiziert.
Wer kann als Vertreter beauftragt werden?
Es können Unternehmen oder natürliche Personen, die ihren Sitz bzw. Wohnsitz in der Schweiz haben, als Vertretung in der Schweiz bezeichnet werden. Weitere Vorgaben bestehen von Gesetzes wegen nicht. Es ist jedoch zu empfehlen, dass die Person grundlegende Kenntnisse und Erfahrung mit dem Schweizer Datenschutzgesetz hat und mit der Thematik vertraut ist.
Ab wann gilt diese Pflicht?
Das neue Datenschutzgesetz tritt am 1. September 2023 in Kraft. Ab dann haben die betroffenen Unternehmen eine Vertretung in der Schweiz zu stellen und die Kontaktangaben zu veröffentlichen.
Kontakt: Für weitere Fragen zum neuen Schweizer Datenschutzrecht können Sie sicher jederzeit an Sophie Winkler von FlyingLawyers wenden. Die Kanzlei übernimmt bei Bedarf für Sie auch die Aufgaben der Datenschutz-Vertretung in der Schweiz.