Der EDÖB hat ein 11-seitiges Papier zur DSGVO und ihren Auswirkungen auf die Schweiz veröffentlicht, das die wesentlichen Grundsätze der DSGVO zusammenfasst. Das Papier enthält nichts Neues, ist aber in einigen Punkten etwas zu allgemein gehalten. Beispielsweise hält das Papier fest:
In der Praxis findet die DSGVO wohl dann Anwendung, wenn eine in einem Mitgliedstaat der EU niedergelassene Person, unabhängig von ihrer Staatsangehörigkeit, direkt von einer Datenbearbeitung betroffen ist.
In dieser Allgemeinheit widerspricht dies dem Wortlaut und dem Zweck von Art. 3 DSGVO. Gegenüber Datenverarbeitern im Ausland soll die DSGVO gerade nicht immer zur Anwendung kommen, wenn eine Person mit “Niederlassung” in der EU von einer Datenverarbeitung betroffen ist, sondern nur in den Fällen von Art. 3 Abs. 2 DSGVO.
Dazu kommt, dass die DSGVO nicht auf den Wohnsitz abstellt, sondern auf den physischen Aufenthalt. Beispielsweise fällt ein Souvenirgeschäft in der Schweiz nicht unter die DSGVO, obwohl es u.a. auf Touristen mit Wohnsitz in der EU zielt, solange das Angebot auf das Gebiet der Schweiz begrenzt ist; denn die Adressaten des Angebots befinden sich physisch – und darauf kommt es an – in der Schweiz, wenn das Angebot erfolgt. Dasselbe dürfte für Banken gelten, die vor Ort in der Schweiz ausländischen Kunden Leistungen anbieten.
Sodann hält der EDÖB fest, die DSGVO sei in Auftragsverhältnissen wie folgt anwendbar:
- Bearbeitung personenbezogener Daten für ein Schweizer Unternehmen durch einen Auftragsbearbeiter im EU-Gebiet, unabhängig davon, ob er Daten von betroffenen Personen in der Schweiz oder in der EU bearbeitet;
- Bearbeitung personenbezogener Daten in der EU durch ein Schweizer Unternehmen im Auftrag eines europäischen Unternehmens;
- Bearbeitung personenbezogener Daten durch ein Schweizer Unternehmen als Auftragsbearbeiter im Auftrag eines europäischen Unternehmens.
Nach hier vertretener Auffassung ist diese Meinung falsch. Die DSGVO bietet keine Grundlage für die Auffassung, dass grenzüberschreitende Auftragsverarbeitungen zur Anwendung der DSGVO auf das schweizerische Unternehmen führen.
Sodann hält der EDÖB fest, die DSGVO sei im folgenden Beispiel “wahrscheinlich” anwendbar:
Beispiel 3: Der Betreiber einer Website setzt Webtracking ein, um die Besucherbewegungen auf einer Website oder das Surfverhalten von Internetnutzern zu und Rückschlüsse auf deren Interessen, Vorlieben oder Gewohnheiten zu erhalten.
Weshalb? So beschriebenes Tracking dürfte für den Betreiber der Website i.d.R. nicht personenbezogen sein. IP-Adressen sind jedenfalls nicht grundsätzlich Personendaten.
Aber wie auch immer man zu diesen Fragen steht: Es ist nicht einzusehen, wieso sich der EDÖB zum Anwalt einer noch extensiveren Anwendung der DSGVO macht. Er hilft damit niemandem und trägt nichts zur Klärung offener Fragen bei.