David Vasella hat in der digma 4/2017 [Swisslex] einen Aufsatz zum Anwendungsbereich der DSGVO bei der grenzüberschreitenden Auftragsverarbeitung verfasst, d.h. zur Frage, ob die DSGVO zur Anwendung kommt, falls und weil ein Unternehmen mit Niederlassung in der Schweiz als Verantwortlicher Personendaten (i.S. der DSGVO) durch einen Auftragsverarbeiter mit Niederlassung in der EU verarbeiten lässt oder umgekehrt Personendaten als Auftragsverarbeiter für einen Verantwortlichen mit Niederlassung in der EU verarbeitet.
Der Aufsatz nimmt einen hier veröffentlichten Blogbeitrag auf und kommt zum folgenden Ergebnis:
Es ist nicht abschliessend geklärt, ob die DSGVO auf schweizerische Unternehmen anwendbar ist, wenn und weil diese als Auftragsverarbeiter eines Verantwortlichen mit Niederlassung in der EU tätig sind oder umgekehrt Daten durch einen EU-Auftragsverarbeiter verarbeiten lassen. Nach hier vertretener Auffassung ist dies nicht der Fall; in solchen Konstellationen untersteht nur das Unternehmen in der EU der DSGVO.