Der EDÖB hat ein 11-sei­ti­­ges Papier zur DSGVO und ihren Aus­wir­kun­gen auf die Schweiz ver­öf­fent­licht, das die wesent­li­chen Grund­sät­ze der DSGVO zusam­men­fasst. Das Papier ent­hält nichts Neu­es, ist aber in eini­gen Punk­ten etwas zu all­ge­mein gehal­ten. Bei­spiels­wei­se hält das Papier fest:

In der Pra­xis fin­det die DSGVO wohl dann Anwen­dung, wenn eine in einem Mit­glied­staat der EU nie­der­ge­las­se­ne Per­son, unab­hän­gig von ihrer Staats­an­ge­hö­rig­keit, direkt von einer Daten­be­ar­bei­tung betrof­fen ist.

In die­ser All­ge­mein­heit wider­spricht dies dem Wort­laut und dem Zweck von Art. 3 DSGVO. Gegen­über Daten­ver­ar­bei­tern im Aus­land soll die DSGVO gera­de nicht immer zur Anwen­dung kom­men, wenn eine Per­son mit “Nie­der­las­sung” in der EU von einer Daten­ver­ar­bei­tung betrof­fen ist, son­dern nur in den Fäl­len von Art. 3 Abs. 2 DSGVO.

Dazu kommt, dass die DSGVO nicht auf den Wohn­sitz abstellt, son­dern auf den phy­si­schen Auf­ent­halt. Bei­spiels­wei­se fällt ein Sou­ve­nir­ge­schäft in der Schweiz nicht unter die DSGVO, obwohl es u.a. auf Tou­ri­sten mit Wohn­sitz in der EU zielt, solan­ge das Ange­bot auf das Gebiet der Schweiz begrenzt ist; denn die Adres­sa­ten des Ange­bots befin­den sich phy­sisch – und dar­auf kommt es an – in der Schweiz, wenn das Ange­bot erfolgt. Das­sel­be dürf­te für Ban­ken gel­ten, die vor Ort in der Schweiz aus­län­di­schen Kun­den Lei­stun­gen anbie­ten.

Sodann hält der EDÖB fest, die DSGVO sei in Auf­trags­ver­hält­nis­sen wie folgt anwend­bar:

  • Bear­bei­tung per­so­nen­be­zo­ge­ner Daten für ein Schwei­zer Unter­neh­men durch einen Auf­trags­be­ar­bei­ter im EU-Gebiet, unab­hän­gig davon, ob er Daten von betrof­fe­nen Per­so­nen in der Schweiz oder in der EU bear­bei­tet;
  • Bear­bei­tung per­so­nen­be­zo­ge­ner Daten in der EU durch ein Schwei­zer Unter­neh­men im Auf­trag eines euro­päi­schen Unter­neh­mens;
  • Bear­bei­tung per­so­nen­be­zo­ge­ner Daten durch ein Schwei­zer Unter­neh­men als Auf­trags­be­ar­bei­ter im Auf­trag eines euro­päi­schen Unter­neh­mens.

Nach hier ver­tre­te­ner Auf­fas­sung ist die­se Mei­nung falsch. Die DSGVO bie­tet kei­ne Grund­la­ge für die Auf­fas­sung, dass grenz­über­schrei­ten­de Auf­trags­ver­ar­bei­tun­gen zur Anwen­dung der DSGVO auf das schwei­ze­ri­sche Unter­neh­men füh­ren.

Sodann hält der EDÖB fest, die DSGVO sei im fol­gen­den Bei­spiel “wahr­schein­lich” anwend­bar:

Bei­spiel 3: Der Betrei­ber einer Web­site setzt Web­tracking ein, um die Besu­cher­be­we­gun­gen auf einer Web­site oder das Surf­ver­hal­ten von Inter­net­nut­zern zu und Rück­schlüs­se auf deren Inter­es­sen, Vor­lie­ben oder Gewohn­hei­ten zu erhal­ten.

Wes­halb? So beschrie­be­nes Tracking dürf­te für den Betrei­ber der Web­site i.d.R. nicht per­so­nen­be­zo­gen sein. IP-Adre­s­­sen sind jeden­falls nicht grund­sätz­lich Per­so­nen­da­ten.

Aber wie auch immer man zu die­sen Fra­gen steht: Es ist nicht ein­zu­se­hen, wie­so sich der EDÖB zum Anwalt einer noch exten­si­ve­ren Anwen­dung der DSGVO macht. Er hilft damit nie­man­dem und trägt nichts zur Klä­rung offe­ner Fra­gen bei.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.