Wieso auch Schweizer Behörden unter EU-Datenschutz fallen
Das revidierte europäische Datenschutzrecht kann nicht nur bei Schweizer Unternehmen möglichen Anpassungsbedarf auslösen. Auch schweizerische Behörden und öffentliche Institutionen stellt das vor neue datenschutzrechtliche Herausforderungen.
Die Anwendbarkeit der EU-Datenschutz-Grundverordnung (EU-DSGVO/GDPR) steht unmittelbar vor der Tür: Am 25. Mai 2018 wird die DSGVO als Kernstück der europäischen Datenschutzreform anwendbar sein. Als Folge der extraterritorialen Wirkung der DSGVO wurden in den letzten Jahren und Monaten die konkreten Voraussetzungen, unter denen das neue europäische Datenschutzrecht auf Schweizer Unternehmen bei der Verarbeitung personenbezogener Daten anwendbar ist, bereits eingehend – und je nach Anwendungsfall mehr oder weniger kontrovers – diskutiert. Die Bestimmungen der DSGVO sehen eine Anwendbarkeit auf Unternehmen von Drittstaaten vor, wenn diese
eine Niederlassung in der EU haben (Art. 3 Abs. 1 DSGVO) oder
in Anwendung des neu eingeführten Marktortprinzips nach Art. 3 Abs. 2 DSGVO
Waren oder Dienstleistungen an Personen in der EU anbieten (lit. a) oder aber
Personen in der EU in ihrem Webverhalten beobachten (lit. b) oder
bei einer Kombination der verschiedenen Voraussetzungen.
DSGVO für Behörden und öffentliche Institutionen?
So weit, so gut … Aber wie verhält sich das revidierte EU-Datenschutzrecht eigentlich in Bezug auf Behörden und öffentliche Institutionen aus Drittstaaten wie der Schweiz. Gilt für diese auch das Niederlassungs- sowie das Marktortprinzip? Fallen Schweizer Behörden und öffentliche Institutionen unter die DSGVO, wenn sie Waren und Dienstleistungen an Personen in der EU anbieten oder das Verhalten ihrer Webbesucher aus der EU beobachten?
Die Frage lässt sich leicht beantworten, da die neue europäische Datenschutzregelung generell zum Ziel hat, den Schutz von Personen in der EU unter anderem auch bei der Verarbeitung von personenbezogenen Daten durch Verantwortliche aus Drittstaaten sicherzustellen. Dieser Schutz soll selbst dann gewährleistet sein, wenn die Datenverarbeitung ausserhalb der EU erfolgt. Organisationen aus Drittstaaten sollen datenschutzrechtlich nicht bessergestellt werden als EU-Organisationen, die künftig strengen Anforderungen zu genügen haben. Dadurch soll ein sogenanntes "Forum Shopping" verhindert werden; ein Anbieter soll sich nicht durch die Wahl seines Sitzes ausserhalb des EU-Binnenmarktes den datenschutzrechtlichen Vorgaben entziehen können. Fällt daher eine Datenverarbeitung im Zusammenhang mit einem Drittstaat entweder nach dem Niederlassungs- oder dem Marktortprinzip in den räumlichen Anwendungsbereich der DSGVO, spielen weder der Ort der Datenverarbeitung noch die Person des Verantwortlichen eine Rolle. So werden nicht nur natürliche oder juristische Personen aus diesen Drittstaaten wie beispielsweise der Schweiz in die Pflicht genommen, sondern gegebenenfalls auch unsere schweizerischen Behörden und öffentlichen Institutionen auf Stufe Bund, Kanton oder Gemeinde.
Niederlassung in der EU
So ist die DSGVO unter anderem auf Schweizer Behörden und öffentliche Institutionen anwendbar, die über eine Niederlassung in der EU verfügen. Eine Niederlassung im Sinne der DSGVO liegt dann vor, wenn in der EU eine feste Einrichtung besteht, von der aus eine Tätigkeit effektiv und tatsächlich stattfindet. Dies gilt weder für mobile Einrichtungen wie Messestände oder Ähnliches noch für Briefkastenfirmen oder reine Serverstandorte. Keine Rolle spielt, ob die Niederlassung eine eigene Rechtspersönlichkeit hat.
Infrage kommen neben internen Abteilungen von Behörden oder öffentlichen Institutionen wie Produktionsstätten, Rechenzentren oder der Buchhaltung auch Zweigstellen und Agenturen. Die Verarbeitung der personenbezogenen Daten muss dabei im Rahmen der Tätigkeit der jeweiligen EU-Niederlassung stattfinden.
So liegt es durchaus im Bereich des Möglichen, dass Behörden und öffentliche Institutionen aus der Schweiz Niederlassungen im grenznahen Ausland oder in wichtigen europäischen Hauptstädten haben, beispielsweise
im Gesundheitsbereich (Kliniken, Labors, Röntgeninstitute) oder
im Bereich Tourismus- und Standortmarketing (Tourismus, Stadt- und Wohnortmarketing sowie Wirtschaftsförderung).
Angebot von Waren und Dienstleistungen
Selbst wenn das Niederlassungsprinzip auf eine schweizerische Behörde oder öffentliche Institution nicht anwendbar ist, kann diese in Anwendung des Marktortprinzips durch Waren- oder Dienstleistungsangebote an Personen im EU-Raum unter den räumlichen Anwendungsbereich der DSGVO fallen. Auch dann, wenn solche Angebote aus der Schweiz erfolgen. Das Marktortprinzip zielt primär auf die Verarbeitung personenbezogener Daten im Rahmen des Internets ab.
Unter Waren werden dabei alle beweglichen körperlichen Gegenstände verstanden, die einen Geldwert haben und Gegenstand von Handelsgeschäften sein können, während der Begriff der Dienstleistungen umfassend zu verstehen ist und insbesondere auch jede Art von Internetdienstleistungen umfasst.
Das reine Anbieten von Waren oder Dienstleistungen reicht für die Anwendbarkeit der DSGVO auf Drittländer aber nicht aus. Der fragliche Verantwortliche muss ein solches Angebot in den EU-Raum vielmehr offensichtlich beabsichtigen. Dieses Kriterium ist beispielsweise dann erfüllt, wenn Personen in der EU spezifisch im Sinne eines Targetings adressiert werden. Das Angebot muss zudem nicht aktiv ausgesprochen werden, da bereits ein rein passives Bereithalten – beispielsweise auf einer Website – ausreicht. Auch der Ort, an dem das Waren- oder Dienstleistungsangebots erbracht wird, ist nicht relevant, da die Transaktion vollumfänglich in der Schweiz abgewickelt werden kann. Zu beachten gilt weiter, dass auch unentgeltliche Angebote unter die DSGVO fallen.
Wo die DSGVO greifen könnte
Während das blosse Zugänglichmachen einer Website in der EU voraussichtlich kein Angebot im Sinne der DSGVO darstellt, kann die Verwendung von EU-Sprachen über die schweizerischen Landessprachen hinaus, das Auflisten von Kundenreferenzen aus dem EU-Raum oder das Anbieten der Leistungen auch in Euro hingegen als Indiz eines DSGVO-relevanten Angebots dienen.
Dies betrifft jegliche Waren- und Dienstleistungsangebote von schweizerischen Behörden und öffentlichen Institutionen in die EU
aus dem Gesundheitsbereich (Versand von medizinischen und kosmetischen Produkten, Medizingeräten oder das Download-Angebot von Gesundheitsapps sowie webbasierte Dienstleistungsangebote von Spitälern, Praxen, Heimen oder Betreuungsorganisationen),
aus den Bereichen Tourismus- und Standortmarketing (Webshop mit Souvenir- und Gutscheinangeboten oder das Angebot einschlägiger webbasierter Beratungsdienstleistungen) oder
aus dem Hochschul- und Universitätsbereich (Fernstudien- und Fernweiterbildungsangebote oder über die Website angebotene Beratungsdienstleistungen).
Neben diesen mehr oder weniger naheliegenden Beispielen ist von vielen weiteren möglicherweise DSGVO-relevanten Waren- und insbesondere Dienstleistungsangeboten von Behörden oder öffentlichen Institutionen an Personen in der EU auszugehen.
Verhaltensbeobachtung
Schliesslich ist die DSGVO nach dem Marktortprinzip auch auf Behörden und öffentliche Institutionen anwendbar, die das Verhalten von Personen in der EU beobachten. Dies umfasst das generelle Überwachen von Internetaktivitäten sowie die Auswertung solcher Beobachtungen mittels Profiling. Das Überwachen des Nutzerverhaltens findet in der EU statt, wenn sich die beobachtete Person während ihrer Internetnutzung physisch in einem EU-Staat befindet. Für das Vorliegen einer Verhaltensbeobachtung bedarf es einer bestimmten Dauer und einer gewissen Intensität. Einmalige und punktuelle Handlungen führen voraussichtlich nicht zur Anwendbarkeit der DSGVO.
Nachdem kürzlich bekannt wurde, dass immerhin 13 Kantone das Surfverhalten ihrer Websitebesucher und damit wohl auch Personen aus der EU überwachen, dürften Verhaltensbeobachtungen im Sinne der DSGVO vermutlich auch auf vielen kommunalen Websites sowie auf derjenigen der Bundesverwaltung vorgenommen werden, sei dies durch
Cookies,
Social Plugins oder
andere Analysetools.
Abklärungs- und allenfalls Anpassungsbedarf
Aufgrund der zahlreichen Fallkonstellationen, welche die Anwendbarkeit des neuen europäischen Datenschutzrechts auch auf schweizerische Behörden und öffentliche Institutionen bewirken können, ist eine sorgfältige Prüfung durch jede öffentliche Organisation empfehlenswert. Darüber hinaus ist bei einer Feststellung der Anwendbarkeit auch die Umsetzung der erforderlichen Massnahmen angezeigt, auch wenn viele Detailfragen nach wie vor offen und durch die Praxis künftig zu klären sind. Immerhin müssen schweizerische Behörden und öffentliche Institutionen auch bei der Anwendbarkeit der DSGVO keine Vertretung in der EU benennen; dies im Gegensatz zu Schweizer Unternehmen, die über das Marktortprinzip unter die DSGVO fallen und unter gewissen Voraussetzungen eine solche EU-Vertretung als Ansprechperson der Aufsichtsbehörden benennen müssen.
Weitere Informationen zum Thema EU-DSGVO finden Sie im Online-Dossier.