Ist das DSG auch auf Unternehmen mit Sitz im Ausland anwendbar?

Unternehmen mit Sitz im Ausland fallen unter das Schweizer DSG, wenn sich ihre Datenbearbeitungen in der Schweiz auswirken. Dies kann der Fall sein, wenn sie Personendaten in der Schweiz sammeln oder speichern, wenn sie Personendaten von Personen in der Schweiz bearbeiten, wenn sie Produkte oder Dienstleistungen an Personen in der Schweiz anbieten oder wenn eine Datenbearbeitung entgegen dem DSG sich auf die Persönlichkeit oder Grundrechte der betroffenen Person auswirkt.

Zu beachten gilt, dass im Unterschied zur DSGVO in der Schweiz das sog. Marktortprinzip keine Anwendung findet. Der örtliche Geltungsbereich kann daher zwischen der DSGVO und dem revDSG variieren.

Für Unternehmen mit Sitz im Ausland steht oft die Frage im Vordergrund, ob das Schweizer Datenschutzrecht überhaupt auf sie anwendbar ist.

Der örtliche Geltungsbereich des schweizerischen Datenschutzgesetzes wird neu explizit in Art. 3 revDSG geregelt. Dabei wurde keine Neuerung eingeführt, sondern lediglich kodifiziert, was bisher bereits galt, nämlich, dass Unternehmen im Ausland unter bestimmten Umständen das DSG einhalten müssen, auch wenn sie weder einen Sitz, eine Niederlassung, noch eine andere physische Präsenz (z.B. Datenzentrum in der Schweiz) in der Schweiz haben.

In solchen Fällen müssen Unternehmen die Pflichten gemäss revDSG (wie z.B. die Informationspflicht oder die Pflicht, Datenschutzverletzungen zu melden) im Rahmen aller Sachverhalte einhalten, die sich in der Schweiz auswirken (sog. "Auswirkungsprinzip"). Das DSG ist damit auf Sachverhalte anwendbar, die Auswirkungen in der Schweiz entfalten, selbst wenn die Datenbearbeitung im Ausland veranlasst wird. Insofern geht der räumliche Anwendungsbereich des DSG teilweise sogar weiter als derjenige der DSGVO.

Für Bestimmungen des DSG, die privatrechtlicher Natur sind, gilt zur Bestimmung des örtlichen Geltungsbereichs dagegen das internationale Privatrecht (IPRG). Hierunter fallen bspw. das Auskunfts- oder Löschungsrecht oder, im Falle einer Persönlichkeitsverletzung, mögliche Schadenersatzansprüche von Schweizer Kunden. Nach den Regeln des IPRG kann sich eine Zuständigkeit schweizerischer Gerichte (und zugleich die Anwendbarkeit des schweizerischen Datenschutzrechts) am schweizerischen Wohnsitz des Beklagten sowie am Handlungs- oder Erfolgsort der Datenschutzrechtsverletzung ergeben, was dazu führen kann, dass betroffene Personen z.B. ihre Rechte nach DSG in der Schweiz, vor einem Schweizer Gericht und in Anwendung von Schweizer Recht auch gegenüber einem Unternehmen mit Sitz im Ausland geltend machen und durchsetzen können.

Nachfolgend wird auf den, je nach "Natur" der Norm, unterschiedlichen örtlichen Geltungsbereich im DSG eingegangen.

Gemäss dem sogenannten "Auswirkungsprinzip" müssen Unternehmen mit Sitz im Ausland gewisse Pflichten des DSG erfüllen, wenn sich ihre Datenbearbeitungen in einem ausreichenden Mass auf das Territorium der Schweiz auswirken. Was ein ausreichendes Mass ist, ist nicht abschliessend geklärt und muss im Einzelfall beurteilt werden. Dies kann z.B. der Fall sein, wenn ein Unternehmen mit Sitz im Ausland:

• Personendaten in der Schweiz sammelt oder speichert,
• Personendaten von Personen in der Schweiz bearbeitet,
• Produkte oder Dienstleistungen an Personen in der Schweiz anbietet; oder
• Daten in Verletzung des DSG bearbeitet und sich dies auf die Persönlichkeit oder Grundrechte der betroffenen Person auswirkt.

Dabei muss sich nicht der gesamte Sachverhalt in der Schweiz zutragen, es kann bereits genügen, dass eine relevante Handlung in der Schweiz stattfindet bzw. sich auf die Schweiz auswirkt (bspw. die Datenerhebung oder die Speicherung der Daten in einem Rechenzentrum in der Schweiz).
Folgende Pflichten müssen in solchen Fällen insbesondere eingehalten werden:

• die Pflicht, ein Datenbearbeitungsverzeichnis zu führen (Art. 12 revDSG);
• die Pflicht zur Ernennung eines Vertreters in der Schweiz (Art. 14 f. revDSG);
• die Informationspflicht bei der Beschaffung von Personendaten (Art. 19 revDSG);
• die Pflicht zur Vornahme einer Datenschutz-Folgenabschätzung (Art. 22 f. revDSG); oder bspw.
• die Pflicht zur Meldung von Verletzungen der Datensicherheit (Art. 24 revDSG).

Darüber hinaus hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte die Kompetenz, Datenbearbeitungen und somit Unternehmen im Ausland zu untersuchen (Art. 49 und 50 revDSG), die aufgrund ihrer Tätigkeiten in der Schweiz oder mit Schweizer Bezug unter das DSG fallen, und Verfügungen gegenüber solchen Unternehmen zu erlassen, wenn sie Daten in Verletzung des DSG bearbeiten (Art. 51 revDSG).

Werden privatrechtliche Bestimmungen des DSG verletzt, wie z.B. die Bearbeitungsgrundsätze (Art. 6 und 8 revDSG) , das Recht auf Auskunft (Art. 25 ff. revDSG) oder die Regelungen zur Persönlichkeitsverletzung (Art. 30 f. revDSG) , kann eine Zuständigkeit schweizerischer Gerichte insbesondere am schweizerischen Wohnsitz des Beklagten, am Handlungs- und Erfolgsort der Datenschutzrechtsverletzung gegeben sein.

Beim Erfolgsort handelt es sich um den Ort, an dem das geschützte Rechtsgut verletzt wurde. Bei Datenschutzrechtsverletzungen liegt der Erfolgsort in der Regel am Wohnsitz oder gewöhnlichen Aufenthalt des Verletzten – also des Kunden.

Der Handlungsort ist der Ort, an dem die unerlaubte Handlung (d.h. die Datenschutzrechtsverletzung) ganz oder teilweise ausgeführt wird. Im Bereich von datenschutzrechtlichen Ansprüchen wird dies in der Regel dort sein, wo die betreffende Datenbearbeitung stattfindet.

Für Unternehmen mit Sitz im Ausland ist dies relevant, wenn z.B. ein Kunde in der Schweiz in seiner Persönlichkeit verletzt wird, weil die Bearbeitungsgrundsätze verletzt werden oder er sein Auskunftsrecht vor einem Schweizer Gericht durchsetzen möchte.

Besteht ein solcher Gerichtsstand in der Schweiz, kann die betroffene Person das anwendbare Recht in den Schranken von Art. 139 IPRG weitgehend wählen und damit unter gegebenen Umständen das schweizerische Datenschutzrecht für anwendbar erklären.