FAQ
Findet das DSG auf mich als Unternehmen mit Sitz im Ausland Anwendung
Es gilt zu unterscheiden:
Die Pflichten des DSG müssen im Rahmen aller Sachverhalte eingehalten werden, die sich in der Schweiz auswirken (sog. "Auswirkungsprinzip"). Dies sind z.B. die Informationspflicht, die Pflicht, ein Bearbeitungsverzeichnis zu führen, die Meldepflicht bei Verletzungen der Datensicherheit, oder die Pflicht, Datenschutzfolgenabschätzungen durchzuführen.
Werden dagegen privatrechtliche Bestimmungen des DSG verletzt, wie z.B. die Betroffenenrechte oder Datenschutzgrundprinzipien, kann dies für Unternehmen mit Sitz im Ausland insofern relevant sein, als sich daraus eine Zuständigkeit schweizerischer Gerichte ergeben kann, bspw. weil sich der Handlungs- oder Erfolgsort der Datenschutzrechtsverletzung in der Schweiz befindet. Dann kann nämlich die betroffene Person das anwendbare Recht in den Schranken von Art. 139 IPRG wählen, was zur Anwendbarkeit des schweizerische Datenschutzrechts führen kann.
Findet das DSG auf mich als Unternehmen mit Sitz im Ausland Anwendung, wenn ich eine Zweigniederlassung in der Schweiz habe?
Da sich die Niederlassung in der Schweiz befindet, finden die öffentlich-rechtlichen Bestimmungen des DSG aufgrund des Territorialitätsprinzips auf die Tätigkeiten der Zweigniederlassung in der Schweiz Anwendung.
Bei Verletzung der privatrechtlichen Bestimmungen des DSG gilt, dass für Klagen aufgrund der Tätigkeit einer Niederlassung in der Schweiz die Gerichte am Ort der Niederlassung zuständig sind.
Ist das DSG auf mein Unternehmen mit Sitz im Ausland anwendbar, wenn ich ein Datenzentrum in der Schweiz betreibe?
Ja, damit liegt in der Regel eine für das DSG relevante physische Präsenz in der Schweiz vor. Dadurch fallen grundsätzlich Datenbearbeitungen im Schweizer Datenzentrum unter das DSG.
Ist das DSG auf mein Unternehmen mit Sitz in Ausland anwendbar, wenn ich Produkte oder Dienstleistungen an Personen in der Schweiz anbiete?
Ja, da sich die Datenbearbeitungsprozesse in der Schweiz auswirken sind die öffentlich-rechtlichen Bestimmungen des DSG anwendbar. Für die Anwendbarkeit der privatrechtlichen Bestimmungen des DSG siehe die Ausführungen oben.
Welche datenschutzrechtlichen Pflichten sind dabei zwingend einzuhalten?
Folgende Pflichten müssen in solchen Fällen insbesondere eingehalten werden:
- die Pflicht ausländischer Verantwortlicher zur Ernennung eines Vertreters in der Schweiz (Art. 14 f. revDSG);
- die Pflicht zur Führung eines Bearbeitungsverzeichnisses (Art. 12 revDSG);
- die Informationspflicht bei der Beschaffung von Personendaten (Art. 19 revDSG);
- die Pflicht zur Vornahme einer Datenschutz-Folgenabschätzung (Art. 22 f. revDSG); oder bspw.
- die Pflicht zur Meldung von Verletzungen der Datensicherheit (Art. 24 revDSG).
Muss ich als Unternehmen mit Sitz im Ausland meinen Kundinnen und Kunden in der Schweiz die Rechte nach DSG gewähren?
Grundsätzlich ja, denn zusätzlich zu den oben genannten, öffentlich-rechtlichen Bestimmungen sollten in Fällen, in denen eine Datenbearbeitung unter das DSG fällt, in der Regel auch die privatrechtlichen Bestimmungen des DSG eingehalten werden. Dies ergibt sich auch aus der Zuständigkeit und dem anwendbaren Recht im Falle einer Persönlichkeitsverletzung nach IPRG.
So z.B. die Bearbeitungsgrundsätze (Art. 6 und 8 revDSG), das Recht auf Auskunft für Kundinnen und Kunden (Art. 25 ff. revDSG) oder die Regelungen zur Persönlichkeitsverletzung (Art. 30 f. revDSG).
Kann eine Aufsichtsbehörde eine Untersuchung über unsere Datenbearbeitungsprozesse durchführen, wenn ich mich als Unternehmen mit Sitz im Ausland nicht an das DSG halte? Was hätte eine solche Untersuchung zur Folge?
Ja, die Aufsichtsbehörde, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte ("EDÖB"), hat die Kompetenz, Datenbearbeitungen und somit Unternehmen im Ausland zu untersuchen (Art. 49 und 50 revDSG), die aufgrund ihrer Tätigkeiten in der Schweiz oder mit Schweizer Bezug unter das DSG fallen, und Verfügungen gegenüber solchen Unternehmen zu erlassen, wenn sie Daten in Verletzung des DSG bearbeiten (Art. 51 revDSG).
Der EDÖB kann verfügen, dass eine Datenbearbeitung ganz oder teilweise angepasst, unterbrochen oder abgebrochen wird und Personendaten ganz oder teilweise gelöscht werden. Er kann Datentransfers ins Ausland verbieten oder suspendieren oder verordnen, dass die Datensicherheit verbessert werden oder Unternehmen ihren Pflichten nachkommen etc.
Kann ich gebüsst werden, wenn ich mich als Unternehmen mit Sitz im Ausland nicht an das DSG halte?
Ja, das ist grundsätzlich möglich.
Mit Busse bis zu 250'000 Franken kann bestraft werden, wer bspw. die Informationspflicht bei der Beschaffung von Personendaten verletzt, oder einer Verfügung des EDÖB oder einem Entscheid der Rechtsmittelinstanzen, die oder der unter Hinweis auf die Strafdrohung dieses Artikels ergangen ist, vorsätzlich nicht Folge leistet.
Zu beachten ist, dass die Busse nicht gegen das Unternehmen, sondern die verantwortliche private, d.h. natürliche Person ausgesprochen wird. Wie die Busse im Ausland gegenüber der verantwortlichen natürlichen Person durchgesetzt wird, ist nicht vollständig klar.
Kann ich von meinen Kundinnen und Kunden vor einem Gericht in der Schweiz verklagt werden, wenn ich das DSG verletze?
Ja, wenn privatrechtliche Bestimmungen des DSG verletzt werden, wie z.B. das Auskunftsrecht oder die Datenschutzgrundprinzipien, kann sich eine Zuständigkeit Schweizer Gerichte für Klagen von Schweizer Kundinnen und Kunden ergeben.
Auf einen Blick
Unternehmen mit Sitz im Ausland fallen unter das Schweizer DSG, wenn sich ihre Datenbearbeitungen in der Schweiz auswirken. Dies kann der Fall sein, wenn sie Personendaten in der Schweiz sammeln oder speichern, wenn sie Personendaten von Personen in der Schweiz bearbeiten, wenn sie Produkte oder Dienstleistungen an Personen in der Schweiz anbieten oder wenn eine Datenbearbeitung entgegen dem DSG sich auf die Persönlichkeit oder Grundrechte der betroffenen Person auswirkt.
Zu beachten gilt, dass im Unterschied zur DSGVO in der Schweiz das sog. Marktortprinzip keine Anwendung findet. Der örtliche Geltungsbereich kann daher zwischen der DSGVO und dem revDSG variieren.
Einleitung
Für Unternehmen mit Sitz im Ausland steht oft die Frage im Vordergrund, ob das Schweizer Datenschutzrecht überhaupt auf sie anwendbar ist.
Der örtliche Geltungsbereich des schweizerischen Datenschutzgesetzes wird neu explizit in Art. 3 revDSG geregelt. Dabei wurde keine Neuerung eingeführt, sondern lediglich kodifiziert, was bisher bereits galt, nämlich, dass Unternehmen im Ausland unter bestimmten Umständen das DSG einhalten müssen, auch wenn sie weder einen Sitz, eine Niederlassung, noch eine andere physische Präsenz (z.B. Datenzentrum in der Schweiz) in der Schweiz haben.
In solchen Fällen müssen Unternehmen die Pflichten gemäss revDSG (wie z.B. die Informationspflicht oder die Pflicht, Datenschutzverletzungen zu melden) im Rahmen aller Sachverhalte einhalten, die sich in der Schweiz auswirken (sog. "Auswirkungsprinzip"). Das DSG ist damit auf Sachverhalte anwendbar, die Auswirkungen in der Schweiz entfalten, selbst wenn die Datenbearbeitung im Ausland veranlasst wird. Insofern geht der räumliche Anwendungsbereich des DSG teilweise sogar weiter als derjenige der DSGVO.
Für Bestimmungen des DSG, die privatrechtlicher Natur sind, gilt zur Bestimmung des örtlichen Geltungsbereichs dagegen das internationale Privatrecht (IPRG). Hierunter fallen bspw. das Auskunfts- oder Löschungsrecht oder, im Falle einer Persönlichkeitsverletzung, mögliche Schadenersatzansprüche von Schweizer Kunden. Nach den Regeln des IPRG kann sich eine Zuständigkeit schweizerischer Gerichte (und zugleich die Anwendbarkeit des schweizerischen Datenschutzrechts) am schweizerischen Wohnsitz des Beklagten sowie am Handlungs- oder Erfolgsort der Datenschutzrechtsverletzung ergeben, was dazu führen kann, dass betroffene Personen z.B. ihre Rechte nach DSG in der Schweiz, vor einem Schweizer Gericht und in Anwendung von Schweizer Recht auch gegenüber einem Unternehmen mit Sitz im Ausland geltend machen und durchsetzen können.
Nachfolgend wird auf den, je nach "Natur" der Norm, unterschiedlichen örtlichen Geltungsbereich im DSG eingegangen.
Wann müssen ausländische Unternehmen die öffentlich-rechtlichen DSG-Pflichten erfüllen?
Gemäss dem sogenannten "Auswirkungsprinzip" müssen Unternehmen mit Sitz im Ausland gewisse Pflichten des DSG erfüllen, wenn sich ihre Datenbearbeitungen in einem ausreichenden Mass auf das Territorium der Schweiz auswirken. Was ein ausreichendes Mass ist, ist nicht abschliessend geklärt und muss im Einzelfall beurteilt werden. Dies kann z.B. der Fall sein, wenn ein Unternehmen mit Sitz im Ausland:
- Personendaten in der Schweiz sammelt oder speichert,
- Personendaten von Personen in der Schweiz bearbeitet,
- Produkte oder Dienstleistungen an Personen in der Schweiz anbietet; oder
- Daten in Verletzung des DSG bearbeitet und sich dies auf die Persönlichkeit oder Grundrechte der betroffenen Person auswirkt.
Dabei muss sich nicht der gesamte Sachverhalt in der Schweiz zutragen, es kann bereits genügen, dass eine relevante Handlung in der Schweiz stattfindet bzw. sich auf die Schweiz auswirkt (bspw. die Datenerhebung oder die Speicherung der Daten in einem Rechenzentrum in der Schweiz).
Folgende Pflichten müssen in solchen Fällen insbesondere eingehalten werden:
- die Pflicht, ein Datenbearbeitungsverzeichnis zu führen (Art. 12 revDSG);
- die Pflicht zur Ernennung eines Vertreters in der Schweiz (Art. 14 f. revDSG);
- die Informationspflicht bei der Beschaffung von Personendaten (Art. 19 revDSG);
- die Pflicht zur Vornahme einer Datenschutz-Folgenabschätzung (Art. 22 f. revDSG); oder bspw.
- die Pflicht zur Meldung von Verletzungen der Datensicherheit (Art. 24 revDSG).
Darüber hinaus hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte die Kompetenz, Datenbearbeitungen und somit Unternehmen im Ausland zu untersuchen (Art. 49 und 50 revDSG), die aufgrund ihrer Tätigkeiten in der Schweiz oder mit Schweizer Bezug unter das DSG fallen, und Verfügungen gegenüber solchen Unternehmen zu erlassen, wenn sie Daten in Verletzung des DSG bearbeiten (Art. 51 revDSG).
Können ausländische Unternehmen in der Schweiz verklagt werden? Können Betroffene Ihre Rechte nach Schweizer Recht in der Schweiz durchsetzen?
Werden privatrechtliche Bestimmungen des DSG verletzt, wie z.B. die Bearbeitungsgrundsätze (Art. 6 und 8 revDSG) , das Recht auf Auskunft (Art. 25 ff. revDSG) oder die Regelungen zur Persönlichkeitsverletzung (Art. 30 f. revDSG) , kann eine Zuständigkeit schweizerischer Gerichte insbesondere am schweizerischen Wohnsitz des Beklagten, am Handlungs- und Erfolgsort der Datenschutzrechtsverletzung gegeben sein.
Beim Erfolgsort handelt es sich um den Ort, an dem das geschützte Rechtsgut verletzt wurde. Bei Datenschutzrechtsverletzungen liegt der Erfolgsort in der Regel am Wohnsitz oder gewöhnlichen Aufenthalt des Verletzten – also des Kunden.
Der Handlungsort ist der Ort, an dem die unerlaubte Handlung (d.h. die Datenschutzrechtsverletzung) ganz oder teilweise ausgeführt wird. Im Bereich von datenschutzrechtlichen Ansprüchen wird dies in der Regel dort sein, wo die betreffende Datenbearbeitung stattfindet.
Für Unternehmen mit Sitz im Ausland ist dies relevant, wenn z.B. ein Kunde in der Schweiz in seiner Persönlichkeit verletzt wird, weil die Bearbeitungsgrundsätze verletzt werden oder er sein Auskunftsrecht vor einem Schweizer Gericht durchsetzen möchte.
Besteht ein solcher Gerichtsstand in der Schweiz, kann die betroffene Person das anwendbare Recht in den Schranken von Art. 139 IPRG weitgehend wählen und damit unter gegebenen Umständen das schweizerische Datenschutzrecht für anwendbar erklären.
Checklist
Art. 3 Räumlicher Geltungsbereich
1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2 Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 1987 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs.