[Updates am 5. Okto­ber 2017]

Eine der vie­len Fra­gen, die sich schwei­ze­ri­schen Unter­neh­men im Zusam­men­hang mit der DSGVO zur Zeit stel­len oder bereits gestellt haben, ist fol­gen­de: Fin­det die DSGVO Anwen­dung auf die Daten­ver­ar­bei­tung eines schwei­ze­ri­schen Ver­ant­wort­li­chen, der einen Auf­trags­da­ten­ver­ar­bei­ter in der EU beschäf­tigt?

Die Ant­wort dar­auf lau­tet m.E. Nein:

  • Syste­ma­tik und Zweck von Art. 3 DSGVO spre­chen dage­gen. Im Grund­satz gilt das Nie­der­las­sungs- bzw. Sitz­land­prin­zip (Abs. 1). Ein schwei­ze­ri­scher Ver­ant­wort­li­cher fällt danach nicht unter die DSGVO, solan­ge er kei­ne Nie­der­las­sung in der EU hat. Als Aus­nah­me regelt Abs. 2 zwei Fäl­le, in denen ein aus­län­di­sches Unter­neh­men aus­nahms­wei­se den­noch unter die DSGVO fällt, näm­lich die Markt­aus­rich­tung (lit. a) und die Ver­hal­tens­be­ob­ach­tung (lit. b). Ausser­halb die­ser Aus­nah­men fin­det die DSGVO aber kei­ne Anwen­dung auf Unter­neh­men in der Schweiz. 
  • Das zeigt sich auch dar­in, dass Art. 27 Abs. 1 DSGVO bei der Pflicht ausser­eu­ro­päi­scher Ver­ar­bei­ter, einen EU-Ver­tre­ter zu bestel­len, nur die­se bei­den Aus­nah­men nennt, und dass Art. 40 Abs. 3 DSGVO die Ein­hal­tung von Ver­hal­tens­re­geln durch aus­län­di­sche Ver­ant­wort­li­che und Auf­trag­ge­ber nennt, die gemäss Art. 3 nicht unter die DSGVO fal­len (und ana­lo­ges gilt für Art. 42 Abs. 3).
  • Es dürf­te fer­ner klar sein, dass die Nie­der­las­sung des Auf­trags­be­ar­bei­ters kei­ne Nie­der­las­sung des Ver­ant­wort­li­chen ist. Eine Nie­der­las­sung in der EU ist nur dann eine Nie­der­las­sung eines ausser­eu­ro­päi­schen Ver­ant­wort­li­chen, wenn sie mit die­sem in qua­li­fi­zier­ter Wei­se ver­bun­den ist. Das zeigt sich deut­lich in Erw­Gr 22: “Die Rechts­form einer sol­chen Ein­rich­tung, gleich, ob es sich um eine Zweig­stel­le oder eine Toch­ter­ge­sell­schaft mit eige­ner Rechts­per­sön­lich­keit han­delt, ist dabei nicht aus­schlag­ge­bend”. Im Grund­satz ist also eine gesell­schafts­recht­li­che Ver­bin­dung erfor­der­lich, doch kann gemäss dem Urteil des EuGH i.S. Goog­le Spain auch etwa eine Agen­tur genü­gen. Eine blo­sse Auf­trags­ver­ar­bei­tung reicht aber nicht (vgl. dazu Arti­cle 29 Working Par­ty, Update of Opi­ni­on 8/2010 on app­li­ca­ble law in light of the CJEU jud­ge­ment in Goog­le Spain, S. 5; dar­an ändert Goog­le Spain nichts: Goog­le Spa­ni­en war hier eine Toch­ter und damit Nie­der­las­sung von Goog­le, Inc. [Rz. 49]; strit­tig war nur, ob der Betrieb der Such­ma­schi­ne durch Goog­le, Inc. der spa­ni­schen Nie­der­las­sung zuzu­rech­nen war, d.h. “im Rah­men die­ser Nie­der­las­sung” erfolgt ist; Rz. 52 ff.). Das Nie­der­las­sungs­prin­zip kann im Ergeb­nis also nicht dazu füh­ren, den ausser­eu­ro­päi­schen Ver­ant­wort­li­chen der DSGVO zu unter­stel­len.
  • Es ist fer­ner zu berück­sich­ti­gen, dass die DSGVO auch den in der EU ansäs­si­gen Auf­trags­ver­ar­bei­ter der DSGVO unter­stellt. Die heu­ti­ge Richt­li­nie tut das nicht; sie setzt im Grund­satz eine Nie­der­las­sung des Ver­ant­wort­li­chen vor­aus (Art. 4 Abs. 1 lit. a). Mit der Unter­stel­lung des Auf­trags­ver­ar­bei­ters gibt es kei­nen Grund mehr, einen CH-Ver­ant­wort­li­chen der DSGVO zu unter­stel­len, um eine Schutz­lücke zu ver­mei­den (weil der Schutz bereits durch die Anwen­dung auf den loka­len Auf­trags­ver­ar­bei­ter sicher­ge­stellt wird, kann die DSGVO auch auf das Kri­te­ri­um der Ver­wen­dung loka­ler “Mit­tel” nach Art. 4 Abs. 1 lit. c der RiLi ver­zich­ten). Mit dem Ziel, Per­so­nen in der EU den Schutz des euro­päi­schen Rechts nicht zu ent­zie­hen, kann man die Anwen­dung der DSGVO auf den ausser­eu­ro­päi­schen Ver­ant­wort­li­chen also nicht mehr begrün­den. Woll­te man den aus­län­di­schen Ver­ant­wort­li­chen mit EU-Auf­trags­ver­ar­bei­ter den­noch der DSGVO unter­stel­len, müss­te man kon­se­quen­ter­wei­se jede Bear­bei­tung von Daten von Per­so­nen in der EU der DSGVO unter­stel­len. Gera­de dar­auf hat der Gesetz­ge­ber aber bewusst ver­zich­tet.

Im Ergeb­nis hat ein schwei­ze­ri­scher Ver­ant­wort­li­cher bei einer bestimm­ten Bear­bei­tungs­ak­ti­vi­tät also nicht schon des­halb die DSGVO ein­zu­hal­ten, weil er in der EU einen Auf­trags­ver­ar­bei­ter beschäf­tigt; oder anders for­mu­liert: Die Über­mitt­lung von Per­so­nen­da­ten an den EU-Auf­trags­ver­ar­bei­ter “infi­ziert” die Bear­bei­tung die­ser Per­so­nen­da­ten nicht mehr. Dies ist auch die Auf­fas­sung etwa von Karg (im Kühling/Buchner, der der­zeit umfas­send­sten Kom­men­tie­rung der DSGVO, Art. 3 N 38). In der Schweiz wer­den aller­dings auch ande­re Auf­fas­sun­gen ver­tre­ten (z.B. hier, hier und hier). 

Dabei sind zwei Caveats zu beach­ten:

  • Rich­tet der Ver­ant­wort­li­che gleich­zei­tig sein Ange­bot auf den EU-Markt aus (i.S.v. Art. 3 Abs. 2 lit. a) oder beob­ach­tet er das Ver­hal­ten von Per­so­nen in der EU (i.S.v. Art. 3 Abs. 2 lit. b), löst die­ser Sach­ver­halt die Anwen­dung der DSGVO aus.
  • Nach Art. 139 IPRG kön­nen sich Per­so­nen in der EU vor schwei­ze­ri­schen Gerich­ten i.d.R. auf ihr Hei­mat­recht beru­fen.

Frei­lich ändert die Nicht­un­ter­stel­lung unter die DSGVO nichts dar­an, dass der EU-Ver­ar­bei­ter zumin­dest de fac­to dar­auf bestehen wird, mit dem Ver­ant­wort­li­chen einen Ver­trag nach Art. 28 Abs. 3 DSGVO zu schlie­ssen. Die Vor­ga­ben die­ser Bestim­mung tref­fen aber in erster Linie den Auf­trags­ver­ar­bei­ter. Rele­vant ist Art. 28 DSGVO des­halb vor allem im umge­kehr­ten Fall, da ein EU-Ver­ant­wort­li­cher einen Auf­trags­ver­ar­bei­ter in der Schweiz bei­zieht. Der Abschluss einer Ver­ein­ba­rung nach Art. 28 Abs. 3 führt jedoch nur zur ver­trag­li­chen Bin­dung an bestimm­te Pfli­chen der DSGVO, nicht zur Anwen­dung der DSGVO selbst, was natür­lich bei einer Ver­let­zung rele­vant ist (ver­trag­li­che Fol­gen vs. Bus­sen­ri­si­ko), aber auch im Hin­blick auf wei­te­re Pflich­ten wie etwa jene zur Bestel­lung eines EU-Ver­tre­ters oder Daten­schutz­ver­ant­wort­li­chen.

Eine offe­ne Fra­ge ist die, ob der EU-Ver­ant­wort­li­che bei der Daten(rück)übermittlung an den ausser­eu­ro­päi­schen Ver­ant­wort­li­chen in einer sol­chen Kon­stel­la­ti­on Art. 44 ff. DSGVO betr. Über­mitt­lun­gen an Dritt­län­der ein­zu­hal­ten hat (oder umge­kehrt der EU-Ver­ant­wort­li­che dem CH-Auf­trags­ver­ar­bei­ter). Der Wort­laut von Art. 44 DSGVO legt dies nahe. Es wider­sprä­che aber der gesetz­ge­be­ri­schen Ent­schei­dung, den Ver­ant­wort­li­chen in sol­chen Kon­stel­la­tio­nen der DSGVO zu unter­stel­len. Die Fra­ge ist offen, spielt im Ver­hält­nis zur Schweiz aber kaum eine Rol­le, da die Schweiz aus Sicht der EU-Kom­mis­si­on über einen ange­mes­se­nen Daten­schutz ver­fügt.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.