Eine der vielen Fragen, die sich schweizerischen Unternehmen im Zusammenhang mit der DSGVO zur Zeit stellen oder bereits gestellt haben, ist folgende: Findet die DSGVO Anwendung auf die Datenverarbeitung eines schweizerischen Verantwortlichen, der einen Auftragsdatenverarbeiter in der EU beschäftigt?
Die Antwort darauf lautet m.E. Nein:
- Systematik und Zweck von Art. 3 DSGVO sprechen dagegen. Im Grundsatz gilt das Niederlassungs- bzw. Sitzlandprinzip (Abs. 1). Ein schweizerischer Verantwortlicher fällt danach nicht unter die DSGVO, solange er keine Niederlassung in der EU hat. Als Ausnahme regelt Abs. 2 zwei Fälle, in denen ein ausländisches Unternehmen ausnahmsweise dennoch unter die DSGVO fällt, nämlich die Marktausrichtung (lit. a) und die Verhaltensbeobachtung (lit. b). Ausserhalb dieser Ausnahmen findet die DSGVO aber keine Anwendung auf Unternehmen in der Schweiz.
- Das zeigt sich auch darin, dass Art. 27 Abs. 1 DSGVO bei der Pflicht aussereuropäischer Verarbeiter, einen EUVertreter zu bestellen, nur diese beiden Ausnahmen nennt, und dass Art. 40 Abs. 3 DSGVO die Einhaltung von Verhaltensregeln durch ausländische Verantwortliche und Auftraggeber nennt, die gemäss Art. 3 nicht unter die DSGVO fallen (und analoges gilt für Art. 42 Abs. 3).
- Es dürfte ferner klar sein, dass die Niederlassung des Auftragsbearbeiters keine Niederlassung des Verantwortlichen ist. Eine Niederlassung in der EU ist nur dann eine Niederlassung eines aussereuropäischen Verantwortlichen, wenn sie mit diesem in qualifizierter Weise verbunden ist. Das zeigt sich deutlich in ErwGr 22: “Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nicht ausschlaggebend”. Im Grundsatz ist also eine gesellschaftsrechtliche Verbindung erforderlich, doch kann gemäss dem Urteil des EuGH i.S. Google Spain auch etwa eine Agentur genügen. Eine blosse Auftragsverarbeitung reicht aber nicht (vgl. dazu Article 29 Working Party, Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain, S. 5; daran ändert Google Spain nichts: Google Spanien war hier eine Tochter und damit Niederlassung von Google, Inc. [Rz. 49]; strittig war nur, ob der Betrieb der Suchmaschine durch Google, Inc. der spanischen Niederlassung zuzurechnen war, d.h. “im Rahmen dieser Niederlassung” erfolgt ist; Rz. 52 ff.). Das Niederlassungsprinzip kann im Ergebnis also nicht dazu führen, den aussereuropäischen Verantwortlichen der DSGVO zu unterstellen.
- Es ist ferner zu berücksichtigen, dass die DSGVO auch den in der EU ansässigen Auftragsverarbeiter der DSGVO unterstellt. Die heutige Richtlinie tut das nicht; sie setzt im Grundsatz eine Niederlassung des Verantwortlichen voraus (Art. 4 Abs. 1 lit. a). Mit der Unterstellung des Auftragsverarbeiters gibt es keinen Grund mehr, einen CH-Verantwortlichen der DSGVO zu unterstellen, um eine Schutzlücke zu vermeiden (weil der Schutz bereits durch die Anwendung auf den lokalen Auftragsverarbeiter sichergestellt wird, kann die DSGVO auch auf das Kriterium der Verwendung lokaler “Mittel” nach Art. 4 Abs. 1 lit. c der RiLi verzichten). Mit dem Ziel, Personen in der EU den Schutz des europäischen Rechts nicht zu entziehen, kann man die Anwendung der DSGVO auf den aussereuropäischen Verantwortlichen also nicht mehr begründen. Wollte man den ausländischen Verantwortlichen mit EU-Auftragsverarbeiter dennoch der DSGVO unterstellen, müsste man konsequenterweise jede Bearbeitung von Daten von Personen in der EU der DSGVO unterstellen. Gerade darauf hat der Gesetzgeber aber bewusst verzichtet.
Im Ergebnis hat ein schweizerischer Verantwortlicher bei einer bestimmten Bearbeitungsaktivität also nicht schon deshalb die DSGVO einzuhalten, weil er in der EU einen Auftragsverarbeiter beschäftigt; oder anders formuliert: Die Übermittlung von Personendaten an den EU-Auftragsverarbeiter “infiziert” die Bearbeitung dieser Personendaten nicht mehr. Dies ist auch die Auffassung etwa von Karg (im Kühling/Buchner, der derzeit umfassendsten Kommentierung der DSGVO, Art. 3 N 38). In der Schweiz werden allerdings auch andere Auffassungen vertreten (z.B. hier, hier, hier und hier).
Dabei sind zwei Caveats zu beachten:
- Richtet der Verantwortliche gleichzeitig sein Angebot auf den EUMarkt aus (i.S.v. Art. 3 Abs. 2 lit. a) oder beobachtet er das Verhalten von Personen in der EU (i.S.v. Art. 3 Abs. 2 lit. b), löst dieser Sachverhalt die Anwendung der DSGVO aus.
- Nach Art. 139 IPRG können sich Personen in der EU vor schweizerischen Gerichten i.d.R. auf ihr Heimatrecht berufen.
Freilich ändert die Nichtunterstellung unter die DSGVO nichts daran, dass der EU-Verarbeiter zumindest de facto darauf bestehen wird, mit dem Verantwortlichen einen Vertrag nach Art. 28 Abs. 3 DSGVO zu schliessen. Die Vorgaben dieser Bestimmung treffen aber in erster Linie den Auftragsverarbeiter. Relevant ist Art. 28 DSGVO deshalb vor allem im umgekehrten Fall, da ein EU-Verantwortlicher einen Auftragsverarbeiter in der Schweiz beizieht. Der Abschluss einer Vereinbarung nach Art. 28 Abs. 3 führt jedoch nur zur vertraglichen Bindung an bestimmte Pflichten der DSGVO, nicht zur Anwendung der DSGVO selbst, was natürlich bei einer Verletzung relevant ist (vertragliche Folgen vs. Bussenrisiko), aber auch im Hinblick auf weitere Pflichten wie etwa jene zur Bestellung eines EU-Vertreters oder Datenschutzverantwortlichen.
Eine offene Frage ist die, ob der EU-Verantwortliche bei der Daten(rück)übermittlung an den aussereuropäischen Verantwortlichen in einer solchen Konstellation Art. 44 ff. DSGVO betr. Übermittlungen an Drittländer einzuhalten hat (oder umgekehrt der EU-Verantwortliche dem CH-Auftragsverarbeiter). Der Wortlaut von Art. 44 DSGVO legt dies nahe. Es widerspräche aber der gesetzgeberischen Entscheidung, den Verantwortlichen in solchen Konstellationen der DSGVO zu unterstellen. Die Frage ist offen, spielt im Verhältnis zur Schweiz aber kaum eine Rolle, da die Schweiz aus Sicht der EU-Kommission über einen angemessenen Datenschutz verfügt.