Unterliegt mein Unternehmen dem DSGVO?

Allgemeine Anmerkungen

Die Europäische Datenschutz-Grundverordnung (DSGVO) war, ist und wird auch weiterhin Gegenstand vieler Debatten sein.

Für Schweizer Unternehmen stellt sich die Frage, inwieweit diese Regelung für sie gilt. Zwar haben viele das Schreckgespenst kolossaler Sanktionen im Falle der Nichteinhaltung der Verordnung aufgeworfen, aber es ist immer noch notwendig, dass sie auf sie anwendbar ist, was in Wirklichkeit bei weitem nicht so systematisch ist, wie einige versucht haben, den Anschein zu erwecken.

Ohne auf die Einzelheiten des Textes der Verordnung selbst einzugehen, bestimmt sich ihre mögliche Anwendung auf Gesellschaften, die ihren Sitz in der Schweiz haben, nach Artikel 3, dessen Absatz 2 insbesondere folgendes vorsieht:

« Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht : (a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist ; (b) das Verhalten betroffenen Personen eine Zahlung zu leisten ist. »

Es ist vor allem Buchstabe (a), der hier unsere Aufmerksamkeit auf sich ziehen wird. Gemäss dieser Bestimmung scheint ein Unternehmen mit Sitz in der Schweiz somit der DSGVO zu unterliegen, soweit es die Daten natürlicher Personen auf dem Gebiet der Union im Zusammenhang mit einem für diese Personen bestimmten Angebot von Waren oder Dienstleistungen verarbeitet.

Der Europäische Datenschutzausschuss (EDPB) hatte Gelegenheit, sich zu der Auslegung zu äußern, die dieser Bestimmung im Zusammenhang mit den am 12. November 2019 in ihrer neuesten Fassung angenommenen Leitlinien 3/2018 zuteil werden sollte. Was sollte beibehalten werden?

Eine Unterscheidung wird danach getroffen, ob das Unternehmen eine Online-Aktivität hat oder nicht:

Die Auswirkungen des Offline-Geschäfts auf die mögliche Anwendung der DSGVO

Wenn die Schweizer Firma nur offline (d.h. ohne Nutzung des E-Commerce) tätig ist und ihre Aktivitäten nur in der Schweiz angeboten werden, sollte die Anwendung der DSGVO nicht in Betracht gezogen werden. In diesem Zusammenhang sind zwei Punkte zu beachten:

• Erstens die Tatsache, dass die DSGVO nur dann Anwendung findet, wenn die Verarbeitung Daten von Personen betrifft, die sich zum Zeitpunkt der Verarbeitung auf dem Gebiet der Union befinden. Mit anderen Worten: Eine Datenverarbeitung, die erfolgt, während sich ein solcher Einwohner in der Schweiz aufhält, löst nicht die Anwendung der DSGVO aus. So führt beispielsweise die Verarbeitung von Daten eines europäischen Einwohners, der sich für einige Tage in der Schweiz aufhält und durch die Schweiz reist, nicht zur Anwendung des DSGVO auf Unternehmen, die Daten dieses Einwohners während seines Aufenthalts verarbeiten. Wenn das Unternehmen seine Aktivitäten nur in der Schweiz vermarktet und ausübt, kommt die Anwendung der DSGVO nicht zum Tragen, auch wenn das Unternehmen im Rahmen seiner Tätigkeit Daten europäischer Staatsangehöriger verarbeitet.
• Zweitens gilt die DSGVO nur im Zusammenhang mit einem Angebot von Produkten oder Dienstleistungen an Personen im Gebiet der Union. Dies ist also nicht der Fall für ein Schweizer Unternehmen, das Ausländer beschäftigt, die Staatsangehörige oder gar Einwohner der Europäischen Union sind. Die durchgeführte Behandlung wird dann notwendig, um den Arbeitsvertrag auszuführen, der das Schweizer Unternehmen an seine Mitarbeiter bindet, sie erfolgt im Prinzip nur auf Schweizer Territorium und steht nicht im Zusammenhang mit einem Angebot von Produkten oder Dienstleistungen. Mit anderen Worten, die Tatsache, dass ein Schweizer Unternehmen grenzüberschreitend Mitarbeiter beschäftigt, hat nicht zur Folge, dass das Unternehmen der DSGVO unterliegt.

Für viele Schweizer Unternehmen stellt sich daher die Frage der Anwendung der DSGVO vor allem über eine mögliche Website und die anschliessenden Online-Transaktionen, eventuell über die Bereitstellung eines Online-Dienstes.

Die Auswirkungen des E-Commerce auf die mögliche Anwendung des DSGVO

Entscheidend ist dann, ob das Unternehmen zum Zeitpunkt der Verarbeitung die « betroffenen Personen in der Union Waren oder Dienstleistungen » anbietet.

In diesem Zusammenhang reicht die bloße Tatsache, dass eine Internetseite überall auf der Welt zugänglich ist, nicht aus, um als „Angebot“ zu gelten. Daher ist eine bestimmte Zielgruppenansprache von Personen auf dem Gebiet der Union erforderlich, die ein absichtliches Vorgehen seitens des Unternehmens widerspiegelt.

Ob es ein „Targeting“ gibt, wird auf der Grundlage verschiedener Kriterien beurteilt, insbesondere der Art und Weise, wie die Website konfiguriert, präsentiert und durch verschiedene Marketingkampagnen (online oder offline) beworben wird. Zu den zu berücksichtigenden Kriterien gehören die folgenden:

• Die Sprache der Website. Das Verfassen einer Website in einer Sprache, die keine Amtssprache ist, kann als Zielgruppe für Ausländer betrachtet werden. Dieses Kriterium allein wird jedoch nicht immer entscheidend sein. Zum Beispiel sollte es möglich sein zuzugeben, dass eine englische Version in der Schweiz angesichts der grossen englischsprachigen Gemeinschaft auf unserem Territorium zulässig ist. In ähnlicher Weise sollte eine den Minderheiten in der Schweiz gewidmete Website, die Herkunftsprodukte anbietet und in der Sprache dieser Minderheit verfasst ist, nicht gleichzeitig auf diese Staatsangehörigen in ihrem Herkunftsland ausgerichtet sein.
• Die allgemeinen Bedingungen können auch bei der Beurteilung einer eventuellen Zielausrichtung berücksichtigt werden. Meiner Ansicht nach sollte jedoch auch hier die Tatsache, dass die Lieferungen in die Schweiz nicht auf die Schweiz beschränkt sind, noch nicht ausreichen, um sie als Zielgruppe europäischer Staatsangehöriger zu betrachten; ebenso wenig wie die Zugänglichkeit der Website sollte der spontane Kauf eines Produkts durch einen europäischen Staatsangehörigen auf einer „.ch“-Website und die anschließende Lieferung, d.h. eine Form des passiven Verkaufs, an sich als Zielgruppe betrachtet werden. Dies ist möglicherweise nicht der Fall, wenn die Bedingungen im Gegenteil ausdrücklich vorsehen, dass die Lieferung in der gesamten Europäischen Union möglich ist. Allerdings ist insofern Vorsicht geboten, als meines Erachtens rein passive Verkäufe (d.h. Verkäufe, die spontan von europäischen Staatsangehörigen initiiert werden, ohne auf die eine oder andere Weise vom Betreiber der Website angefragt worden zu sein) nicht als „Targeting“ im Sinne des DSGVO angesehen werden können.
• Die internationale Benennung impliziert eine Offenheit gegenüber ausländischen Kunden. Die Genauigkeit der +41 sollte jedoch für sich genommen nicht ausreichen, um zu dem Schluss zu kommen, dass eine internationale Zielausrichtung vorliegt, wenn dieses Element nicht durch andere Kriterien gestützt wird. Es versteht sich von selbst, dass die Angabe einer Kontaktstelle und -nummer innerhalb des Hoheitsgebiets der Union eine solche Zielausrichtung impliziert. Andere Kriterien scheinen in dieser Hinsicht viel zwingender zu sein, wie zum Beispiel :
• Die Währung. Im Gegensatz zu den vorstehenden Kriterien, die für sich genommen möglicherweise nicht ausreichen, um auf ein „Targeting“ zu schliessen, wird die Tatsache, dass die Zahlung in Euros auch erfolgen kann, ein überzeugendes Indiz dafür sein, dass das Schweizer Unternehmen auch europäische Staatsangehörige ins Visier nimmt.
• Die ccTLD, d.h. die Erweiterung, unter der ein Domain-Name registriert wird. Die Registrierung unter einer bestimmten geographischen Ausdehnung (z.B. „.fr“ oder „.de“) bedeutet also, dass das Unternehmen beabsichtigt, seine Dienstleistungen für die betreffende Öffentlichkeit zu erbringen. Meiner Meinung nach sollte die einfache Tatsache, eine gTLD wie „.com“ zu besitzen, allein in diesem Fall nicht ausreichen.
• Die Marketing-Schritte. Die Tatsache, dass auf dem Gebiet der Union Marketingkampagnen durchgeführt werden, ist offensichtlich ein Zeichen des Willens, sich an europäische Staatsangehörige zu wenden. In dieser Hinsicht wird es im Interesse des Unternehmens liegen, bei Online-Kampagnen über Dienste wie Google Adwords oder in sozialen Netzwerken wachsam zu sein; die Tatsache, dass der geographische Geltungsbereich der Anzeigen nicht nur auf die Schweiz beschränkt ist, sondern auch die Betrachtung innerhalb des Unionsgebiets erlaubt, sollte als Bereitschaft interpretiert werden, die Europäische Union ins Visier zu nehmen.

Die Auswirkungen der Anwendung des DSGVO

Wenn ein Schweizer Unternehmen, das nur in der Schweiz ausserhalb des Internets tätig ist, wenig zu befürchten hat, muss ein Unternehmen, das seine Dienstleistungen auch im Internet bewerben will, mit der Art und Weise, wie es seine Website gestaltet und seine Marketingkampagnen durchführt, vorsichtig sein.

Die Anwendung der DSGVO hat natürlich viele Konsequenzen für das Unternehmen, die Gegenstand von Entwicklungen in späteren Posten sein werden.

Dazu gehört die Verpflichtung, einen Vertreter innerhalb der Europäischen Union zu ernennen (Art. 27 DSGVO), idealerweise in einem der Länder, deren Staatsangehörige im Visier sind, ein Punkt, der zu oft aus Vereinfachungsgründen ignoriert oder vernachlässigt wird. Es versteht sich von selbst, dass dieser Punkt nicht der erfreulichste ist, denn er setzt voraus, dass ein solcher Vertreter gefunden wird, der nur gegen Bezahlung akzeptiert, diese Rolle zu übernehmen. Andernfalls versäumt das Unternehmen eine der Verpflichtungen eines für die Datenverarbeitung Verantwortlichen, die Identität seines Vertreters gemäß seiner Verpflichtung zur Transparenz (Art. 13 und 14 DSGVO) mitzuteilen. Einige Unternehmen bieten diesen Service jetzt zu einem bescheidenen Preis an.