Die DSGVO und die Schweiz: Ein paar Gedanken zu Hype und Hysterie

24. Mai 2018 - von Martina Arioli

Ab 25. Mai 2018 gilt die EU Datenschutzgrundverordnung (DSGVO oder englisch GDPR). Wer das nicht mitbekommen hat, lebt in einem beneidenswerten digital detox Loch. Wir von Apps with love haben dank unserer geschätzten Anwältin, Martina Arioli, Inhaberin von Arioli Law, glücklicherweise gute Beratung und möchten in diesem Gast-Blogbeitrag von ihr mit ein paar Irrtümern und Missverständnissen aufräumen.



Die Berichterstattung in den Medien ist allgegenwärtig und täglich werden wir im Hinblick auf die DSGVO mit E-Mails über angepasste Datenschutzerklärungen oder Allgemeine Geschäftsbedingungen beglückt, die wir zur Kenntnis nehmen sollen oder aufgefordert werden zu akzeptieren (dazu mehr in einem zweiten Blogbeitrag zu diesem Thema). Aktuell hat dies zu einer regelrechten Panik bei Schweizer Unternehmen geführt, was sie schnell noch fixen müssen, damit sie den drakonischen Strafen der DSGVO entgehen. Selbst Kleinstanbieter, die auf ihrer Website bloss Informationen über Events in der Schweiz bereitstellen und dabei auf ein Schweizer Publikum zielen, lassen es sich nur schwerlich ausreden einen Newsletter über ihre neue DSGVO konforme Datenschutzerklärung zu versenden. Ja, auch bei Apps with love, als Schweizer Full Service Digitalagentur, machen wir uns etliche Gedanken zu diesem Thema.

Sicherlich macht es Sinn die DSGVO zum Anlass zu nehmen, den Umgang mit Personendaten zu überprüfen und zu verbessern, auch und gerade in der Schweiz. Aber die derzeitige Panik ist ungesund und schiesst bisweilen übers Ziel hinaus. Und resultiert auch in der Schweiz in einer grossangelegten Arbeitsbeschaffungsmassnahme für selbsternannte Datenschutzexperten bei Beratungsunternehmen und Anwaltskanzleien.

Irrtum 1: Die DSGVO gilt auch in der Schweiz

Die DSGVO harmonisiert Datenschutzrecht in der EU, gilt in allen Mitgliedstaaten direkt und wird, sobald der Übernahmebeschluss gefällt worden ist, auch in den EWR-Mitgliedstaaten gelten, so bspw. Liechtenstein.

In der Schweiz gilt jedoch weiterhin das Schweizer Datenschutzgesetz (DSG), und Schweizer Unternehmen haben sich primär an dieses zu halten. Die DSGVO findet auf Schweizer Unternehmen nur in folgenden Konstellationen direkte Anwendung auf: 1. Geschäftsaktivitäten einer EU Niederlassung eines Schweizer Unternehmens; 2. ein Schweizer Unternehmen (ohne EU-Niederlassung), welches aktiv Produkte und Dienstleistungen an Personen in der EU anbietet; 3. ein Schweizer Unternehmen (ohne EU-Niederlassung), welches im Rahmen seines Angebots von Produkten und Dienstleistungen an Personen in der EU deren Verhalten beobachtet.

Wenn dein Unternehmen primär auf den Schweizer Markt ausgerichtet ist, aber auch Personen in der EU auf deren Wunsch hin mit Dienstleistungen oder Waren versorgt, bspw. eine App zur Verfügung stellt, dann heisst das nicht, dass dein Unternehmen sich nun komplett an der DSGVO auszurichten hat - oder aber die Erbringung von Leistungen oder Lieferungen von Waren an Personen in der EU aus Angst vor den Implikationen der DSGVO verweigern soll: Für die Anwendbarkeit der DSGVO fehlt es hierbei an der Voraussetzung, dass dein Unternehmen aktiv den EU Markt bearbeitet und den Personen in der EU ein Angebot unterbreitet.

Auch wenn dein Unternehmen auf der Website tracking Tools einsetzt, um beispielsweise die Verweildauer auf bestimmten Seiten zu erheben, dann führt dies noch nicht zur direkten Anwendbarkeit der DSGVO für die mit dem Tool erhobenen Daten, nur weil auch Personen in der EU deine Website besuchen könnten. Das Beobachten von Personen in der EU muss wiederum mit dem konkreten aktiven Angebot von Produkten und Dienstleistungen an Personen in der EU im Zusammenhang stehen (ausser dein Unternehmen bietet schmutzige Dienstleistungen an wie Cambridge Analytica…)

Irrtum 2: Wenn die DSGVO für einzelne Aktivitäten des Schweizer Unternehmens gilt, dann gilt sie auch für sämtliche weiteren Aktivitäten

Sofern dein Unternehmen für konkrete Angebote an Personen in der EU in den Anwendungsbereich der DSGVO kommt, dann gilt die DSGVO nur für die spezifische Bearbeitung von Personendaten im Zusammenhang mit diesen konkreten Angeboten, erfasst aber nicht dein gesamtes Unternehmen oder die gesamte Datenverarbeitung. Wenn also mit deiner App auch Personen in der EU als potentielle Nutzer angesprochen werden sollen, dann gilt die DSGVO für die Bearbeitung der Personendaten dieser EU-Nutzer.

Irrtum 3: Die DSGVO gilt für ein Schweizer Unternehmen, sobald es einen EU-Provider bei einer Datenbearbeitung beizieht

Wenn dein Unternehmen einen Provider in der EU beizieht und dabei Personendaten bearbeitet werden, (z.B. Hosting in einem Rechenzentrum), dann muss zwar der Provider die DSGVO einhalten, aber dies bedeutet noch nicht, dass auch dein Unternehmen gleichsam der DSGVO unterstellt ist: Das Schweizer Unternehmen muss die DSGVO nur dann einhalten, wenn es sich gezielt auf den EU Endkundenmarkt ausrichtet und dabei Daten von Personen in der EU gesammelt und bearbeitet werden, siehe oben. Natürlich macht es Sinn sich zu vergewissern, ob der Provider die DSGVO auch einhält, eine Pflicht dies zu tun, besteht für das Schweizer Unternehmen jedoch nicht.

Fazit: DSGVO für Schweizer Anbieter von Apps und Schweizer Software Entwickler

Die DSGVO ist anwendbar auf Schweizer Unternehmen, welche ihre Waren und Dienstleistungen aktiv und erkennbar an Personen in der EU anbieten oder deren Verhalten beobachten. Es muss also eine konkrete Ausrichtung auf den Endkundenmarkt in der EU vorliegen, schliesslich geht es der EU darum, dass die Personendaten von Personen in der EU nach einem einheitlichen Standard geschützt werden. Wenn sich also eine App erkennbar (auch) auf den EU-Markt ausrichtet, so müssen die Vorgaben der DSGVO für die konkreten Datenbearbeitungen im Zusammenhang mit der Nutzung der App durch EU Nutzer eingehalten werden. Letztlich muss aber immer jede Datenbearbeitung konkret auf ihre Anwendbarkeit und Vereinbarkeit mit der DSGVO überprüft werden.

Und jetzt noch der Disclaimer

Die DSGVO und ihre Auslegung birgt noch viele ungelöste Fragen für Schweizer Software Dienstleister und App Agenturen. Die zuständigen Behörden üben sich in Zurückhaltung in der Interpretation der DSGVO – sowohl in der EU als auch in der Schweiz, insbesondere auch, was die direkte Anwendbarkeit der DSGVO anbgelangt. Wir befinden uns noch immer auf dem Weg und wir werden sehen, wohin die Reise geht. Es ist sicherlich ratsam, die Entwicklungen genau zu beobachten.


Martina Arioli

Martina Arioli

Anwältin | Inhaberin Arioli Law
Wir haben grad gemerkt, dass du mit Internet Explorer surfst. Unsere Webseite sieht damit leider nicht so schön aus.

Du willst erfahren warum das so ist?
Wir haben darüber geschrieben.

Zum Blog

Du brauchst Hilfe bei der Umstellung?
Melde dich. Wir helfen gern.

Kontakt

Einen neuen Browser installieren?
Hier gibt es Auswahl.

Browser