Datenschutz nach Schweizer und EU-Recht

Quellen des Datenschutzrechts

Der Anspruch auf Datenschutz ist in Art. 13 Abs. 2 der Bundesverfassung verankert. Konkretisiert wurde dieser Anspruch im Bundesgesetz über den Datenschutz (DSG) sowie den zugehörigen Verordnungen. Nicht nur der Bund sondern auch die Kantone haben eigene Datenschutzregelungen erlassen. Diese gelten in der Regel jedoch nur für die Kantone und Gemeinden, nicht aber für Privatpersonen untereinander. Als Folge der Globalisierung und der Zunahme des grenzüberschreitenden Warenverkehrs sind auch internationale Datenschutzregelungen in der Schweiz von zunehmender Bedeutung. Eine wichtige Rechtsquelle ist hierbei die Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO). Diese ist unter Umständen auch auf Schweizer Unternehmen anwendbar.

Grundsätze des Schweizer Datenschutzrechts

Damit Personendaten rechtmässig bearbeitet werden dürfen, gilt es verschiedene Grundsätze zu beachten (Art. 4 DSG). Die Datenbearbeitung muss rechtmässig erfolgen, d.h., dass ein sogenannter Rechtfertigungsgrund zur Bearbeitung von Daten vorliegen muss. Rechtmässig ist die Bearbeitung von Daten etwa, wenn die betroffene Person zustimmt oder überwiegende öffentliche Interessen diese Bearbeitung rechtfertigen. Zudem muss die Datenbearbeitung dem Grundsatz von Treu und Glauben genügen. Das bedeutet, dass die Datenbearbeitung nicht ohne Wissen der betroffenen Person oder gegen deren Willen erfolgen darf (Ausnahme: öffentliches Interesse). Ferner muss die Datenbearbeitung verhältnismässig sein. Es dürfen nur jene Daten bearbeitet werden, welche zur Erreichung des konkreten Zwecks notwendig sind. Unverhältnismässig wäre es etwa bei der Bestellung von Esswaren nach der Beschäftigung des Kunden zu fragen. Zudem dürfen die Daten nur für jenen Zweck verwendet werden, für den sie erhoben wurden und dieser Zweck muss für die betroffene Person erkennbar sein.

Grundlagen zur Datensicherheit

Der Art. 7 DSG schreibt vor, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugte Bearbeitung geschützt werden müssen. Diese Pflicht trifft auch Unternehmen. Wie die Datensicherheit genau auszusehen hat, wird im DSG jedoch offengelassen, so dass die konkrete Ausgestaltung der Schutzmassnahmen weitgehend der Selbstregulierung der Unternehmen unterliegt. Einige Anhaltspunkte finden sich jedoch in der Verordnung zum Bundesgesetz über den Datenschutz. Namentlich muss die unbefugte Änderung, Kopierung, Vernichtung, Bearbeitung oder Fälschung der Daten durch die Sicherheitsmassnahmen verhindert werden. Zudem finden sich in der Praxis verschiedene Industriestandards (z.B. ISO-Norm zur Cybersecurity), welche als Anhaltspunkte für eine optimale Ausgestaltung der Datensicherheit dienen.

Weitergabe von Daten im Inland

Eine wichtige Frage im Rahmen des Datenschutzrechts ist, inwieweit es Unternehmen gestattet ist, die von ihnen erhobenen Daten weiterzugeben. Viele Firmen haben keine eigenen IT-Abteilungen, sondern lassen Personendaten von Drittanbietern bearbeiten oder zumindest speichern (Cloud-Computing). Dies ist nicht unbedenklich, denn je mehr Personen Zugang zu den Daten haben, desto grösser ist auch die Missbrauchsgefahr. Gemäss Art. 10a DSG ist der Beizug von Dritten zur Datenbearbeitung zulässig, sofern die Daten nur so bearbeitet werden, wie es das Unternehmen selbst tun dürfte und keine gesetzliche Geheimhaltungspflicht die Weitergabe verbietet. Das Unternehmen muss sich also vergewissern, dass der Dritte die obigen Anforderungen an die Datensicherheit erfüllt.

Weitergabe von Daten ins Ausland

Etwas strenger sind die Anforderungen für die Weitergabe von Personendaten ins Ausland. Namentlich ist der Transfer von Daten ins Ausland nur gestattet, wenn das Land, in dem der Empfänger ansässig ist, ebenfalls ein angemessenes Datenschutzrecht kennt und/oder der Empfänger der Daten anderweitig zertifiziert ist, vergleichbare Datenschutzstandards zu erfüllen. Daten sollten daher nur mit Einwilligung der betroffenen Personen oder aber wenn der Datenschutz anderweitig sichergestellt ist, etwa durch sogenannte Datentransferverträge, ins Ausland übertragen werden.

Wann gilt die DSGVO auch für Schweizer Unternehmen?

Die Datenschutz-Grundverordnung (DSGVO) der EU bezweckt die Regelung des Umgangs und die Verarbeitung von personenbezogenen Daten. Es handelt sich dabei um eine umfassende Datenschutzregelung auch über das Gebiet der EU bzw. des EWR hinaus, die am 25. Mai 2018 in Kraft getreten ist. Die DSGVO ist auch für Schweizer Unternehmer wichtig, denn sie dient nicht nur als Vorlage für die aktuelle Revision des Schweizer Datenschutzgesetzes, sondern gilt unter Umständen auch für in der Schweiz ansässige Firmen. Wer die Bestimmungen missachtet, dem drohen saftige Konsequenzen. Bei einem Verstoss gegen die DSGVO können Unternehmen mit Busse bis EUR 20 Mio. bzw. 4 Prozent des Jahresumsatzes bestraft werden. In den folgenden vier Fällen gilt die DSGVO auch für Schweizer Unternehmer:

Niederlassung in der EU oder im EWR

Die DSGVO ist für Schweizer Unternehmen verbindlich, wenn diese eine Niederlassung in der EU oder im EWR haben (Art. 3 Abs. 1 DSGVO). Als Niederlassung gilt jede dauerhafte Vertretung, sei dies eine Tochtergesellschaft, eine Filiale oder eine Zweigniederlassung. Zu beachten ist, dass die DSGVO nicht für das gesamte Unternehmen verbindlich ist, sondern nur für die entsprechende Niederlassung im Ausland. Hat etwa ein Schweizer Detailhändler eine Filiale in Deutschland, müssen die Richtlinien der DSGVO für die Verarbeitung der Kundendaten der deutschen Filiale beachtet werden.

Angebot von Waren oder Dienstleistungen in der EU oder im EWR

Ebenfalls anwendbar ist die DSGVO, wenn ein Schweizer Unternehmen beabsichtigt, Dienstleistungen oder Waren an Personen im EWR anzubieten (Art. 3 Abs. 2 lit. a DSGVO). Dabei ist es irrelevant, ob das Schweizer Unternehmen auch tatsächlich Erfolg in der EU/im EWR hat. Entscheidend ist allein die Absicht, Kunden in den entsprechenden Ländern bedienen zu wollen. Die Verpflichtung besteht aber nicht zwangsläufig nur weil Waren ins Ausland geliefert werden. Vielmehr muss die Schweizer Firma ihre Absicht, den EU-Markt zu bedienen, erkennbar und aktiv zum Ausdruck bringen, etwa durch konkrete Werbung oder Preise in Euro im Onlineshop. Wiederum gilt die DSGVO nur für die Verarbeitung jener Personendaten, die sich auf ausländische Endkunden beziehen.

Datenbearbeitung mit Bezug zu einem EU/EWR-Unternehmen

Die DSGVO gilt auch, wenn das Schweizer Unternehmen Daten im Auftrag eines Unternehmens mit Sitz in der EU oder dem EWR bearbeitet oder aber die Datenbearbeitung selbst an ein ausländisches Unternehmen outsourct. In diesen Fällen kann die Abgrenzung, ob nun die DSGVO oder das Schweizer Datenschutzrecht anwendbar ist, schwierig sein. Es gilt auch hier die Grundregel, dass die DSGVO nur jeweils auf jene Datenbearbeitungen anwendbar ist, welche die entsprechenden Voraussetzungen erfüllen, nicht aber auf alle Personendaten per se.

Verhaltensbeobachtung in der EU oder im EWR (Tracking)

Auch das sogenannte Tracking, d.h. die Beobachtung des Verhaltens von Personen in der EU bzw. im EWR, fällt unter die Vorschriften der DSGVO (Art. 3 Abs. 2 lit. b DSGVO). Hier gilt, dass das die betroffenen Personen sich in der EU/im EWR aufhalten müssen und das beobachtete Verhalten ebenfalls dort stattfinden muss. Die Staatsangehörigkeit der beobachteten Person ist irrelevant. Kauft etwa ein Deutscher in der Schweiz ein, ist die DSGVO nicht anwendbar, weil das beobachtete Verhalten nicht im Ausland stattgefunden hat.

In Kooperation mit startups.ch: Unsere Kanzlei ist Exklusivpartner von startups.ch – Marktführer für erfolgreiche Firmengründungen in der Schweiz