Datenschutz: Was uns das EU-Recht angeht

» Von Dr. Ursula Widmer, 29.07.2016 16:00.

weitere Artikel

Die neue EU-Regelung muss bei der Revision des Schweizer Datenschutzgesetzes berücksichtigt werden. Noch dieses Jahr wird der Bundesrat die Vernehmlassung zum revidierten Datenschutzgesetz durchführen. Es ist wichtig, dass das schweizerische Datenschutzrecht im Wesentlichen mit demjenigen der EU übereinstimmt. Nur dann anerkennt die EU den Datenschutz in der Schweiz als gleichwertig. Andernfalls würde der für schweizerische Unternehmen unerlässliche Datenaustausch mit Unternehmen in der EU unverhältnismässig erschwert.

Welcher Spielraum der Schweiz im Rahmen des autonomen Nachvollzugs des EU-Rechts verbleibt, wird sich zeigen. Neue Datenschutzvorgaben insbesondere für die Behörden, werden auch aus der Fortentwicklung des Rechts zum Schengen-Raum entstehen. Ohnehin beachten Schweizer Unternehmen zunehmend auch ausländische Datenschutzvorgaben, die sie hier eigentlich (noch) nicht befolgen müssten. Ein Beispiel dafür ist die Information von betroffenen Personen im Fall von «Data Breaches» (Datenverlust, Datendiebstahl, Offenbarung von Daten an Unbefugte). Vor allem Tochterunternehmen aus Ländern, in denen solche Informationspflichten bereits gesetzlich vorgesehen sind (etwa Deutschland oder USA), befolgen diese oft auch hierzulande.

Betroffene Firmen 

Die EU-DSGVO gilt für alle Datenverarbeitungen im Zusammenhang mit den Geschäftsaktivitäten einer EU-Niederlassung oder mit den Tätigkeiten eines von der Firma mit der Datenbearbeitung beauftragten, in der EU domizilierten Dritten (Auftragsdatenverarbeiter). Es spielt dabei keine Rolle, ob die eigentliche Datenbearbeitung in der EU erfolgt oder in die Schweiz ausgelagert wurde. Wenn daher ein Unternehmen in der Schweiz über eine zentrale IT-Organisation verfügt, die auch Daten für Niederlassungen in der EU verarbeitet, so gilt für die Bearbeitung dieser Daten EU-Recht. Das Gleiche gilt, wenn ein schweizerisches Rechenzentrum für EU-Unternehmen oder als Subunternehmer eines Auftragsdatenverarbeiters in der EU tätig ist.

Ebenso gilt die Verordnung für alle Unternehmen ausserhalb der EU, wenn sie Daten von in der EU ansässigen Personen bearbeiten, um diesen Waren oder Dienstleistungen in der EU anzubieten, oder wenn die Daten dazu dienen, das Verhalten der Personen zu beobachten, etwa durch Datenauswertung von Websitebesuchern oder von App-Nutzern aus der EU. 

Das EU-Recht gilt somit für alle Schweizer Exporteure, Versandhändler, Betreiber von Plattformen für Onlinebestellungen jeder Art sowie für jeden Dienstleister, der seine Leistungen Kunden in der EU anbietet. Diese Unternehmen müssen einen Vertreter in der EU benennen, ausser die Bearbeitung der Daten von in der EU ansässigen Personen erfolgt nur gelegentlich und beinhaltet keine umfangreiche Bearbeitung von besonders schützenswerten Personendaten (etwa Gesundheitsdaten).

Nicht dem EU-Recht unterstehen dagegen Unternehmen, die ihre Leistungen zwar an in der EU ansässige Personenerbringen, diese jedoch nicht in der EU anbieten wie Restaurants, Hotels oder Bergbahnen. Betreiben solche Unternehmen jedoch eine Website und ermöglichen auf dieser Onlinebestellungen aus der EU, so sind sie dem EU-Datenschutzrecht unterstellt, denn ihre Leistungen werden in der EU angeboten.

Nächste Seite: wichtigste Neuerungen

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.