Obwohl die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union verabschiedet wurde, hat sie extraterritoriale Wirkung und gilt auch für Nicht-EU-Unternehmen, die bestimmte Kriterien erfüllen.
Anwendung der DSGVO auf EU- und Nicht-EU/EWR-Unternehmen
Die DSGVO (d. h. die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) gilt für alle Unternehmen, die im Europäischen Wirtschaftsraum (EWR) ansässig sind und personenbezogene Daten verarbeiten (z. B. erheben, speichern, nutzen, verbreiten usw.), unabhängig davon, ob die Datenverarbeitung im EWR stattfindet oder nicht. Zum EWR gehören übrigens alle EU-Länder sowie Norwegen, Liechtenstein und Island.
Darüber hinaus muss auch ein Unternehmen, das seinen Sitz nicht in einem EU-/EWR-Land hat, die Anforderungen der DSGVO erfüllen, wenn es personenbezogene Daten von Personen verarbeitet, die sich im EWR aufhalten, und seine Datenverarbeitungstätigkeiten mit dem Angebot von Waren oder Dienstleistungen an betroffene Personen in der EU/im EWR zusammenhängen:
dem Angebot von Waren oder Dienstleistungen an betroffene Personen in der EU/im EWR (unabhängig davon, ob von diesen Personen eine Zahlung verlangt wird) oder
der Überwachung ihres Verhaltens, die innerhalb der EU/des EWR stattfindet.
Es sei darauf hingewiesen, dass die Datenschutz-Grundverordnung für die Verarbeitung der Daten von Personen gilt, die sich physisch im Hoheitsgebiet eines der EU-/EWR-Länder befinden. Dies ist nicht auf die Staatsangehörigkeit, den Wohnsitz oder einen anderen rechtlichen Status in diesen Ländern beschränkt.
Die Datenschutz-Grundverordnung gilt also für Nicht-EU/EWR-Unternehmen, die die so genannten „Targeting-Kriterien“ erfüllen, z. B. wenn ein Nicht-EU/EWR-Unternehmen Personen in der EU/im EWR (kostenlos oder gegen Bezahlung) Waren oder Dienstleistungen anbietet, d. h. die EU/EWR-Verbraucher anspricht. Wie die Praxis der Rechtsdurchsetzung zeigt, reicht es aus, wenn die europäischen Datenschutzbehörden feststellen, dass ein Unternehmen beabsichtigt, Waren oder Dienstleistungen an Personen in der EU/im EWR anzubieten. Bei der Bewertung einer solchen Absicht werden verschiedene Faktoren berücksichtigt, z. B.:
Angabe von Preisen in Euro auf der Website des Unternehmens,
Bereitstellung von Informationen auf der Website in Sprachen, die in den EU-Ländern verwendet werden,
Angebot einer Option zur Lieferung von Produkten in die EU-Länder,
Durchführung von Marketing- und Werbekampagnen, die sich an ein Publikum in der EU richten,
Zahlungen an einen Suchmaschinenbetreiber für einen Web-Referenzierungsdienst, um den Zugang von Verbrauchern in der EU zur Website des Unternehmens zu erleichtern,
Verwendung spezieller Top-Level-Domainnamen (z. B. „.eu“, „.de“, „. fr“);
die Angabe spezieller Adressen oder Telefonnummern für Personen aus den EU-Ländern;
die Bereitstellung von Reiseanweisungen aus einem der EU-Länder zum Ort der Leistungserbringung;
die Angabe von Kunden aus EU-Ländern usw.
Wenn zum Beispiel ein Online-Shop mit Sitz in der Schweiz Preise in Euro angibt oder anbietet, Produkte nach Deutschland zu liefern, muss ein solches E-Commerce-Unternehmen die Anforderungen der DSGVO erfüllen. Das Versenden von Werbe-E-Mails an Personen, die in den EU-Ländern leben, unterliegt ebenfalls der Datenschutz-Grundverordnung.
Darüber hinaus gilt die DSGVO auch für Unternehmen aus Nicht-EU-/EWR-Ländern, die das Verhalten von Personen in der EU/im EWR überwachen, z. B. wenn ein Schweizer Unternehmen auf seiner Website Webtools einsetzt, die es ermöglichen, Cookies oder IP-Adressen von Personen zu verfolgen, die seine Website aus EU-Ländern besuchen, und ihr Verhalten zu analysieren.
Beispiele für die Überwachung des Verhaltens von Personen sind u. a. verhaltensbezogene Werbung, Geolokalisierung, Online-Tracking durch Cookies und andere Tracking-Techniken, Online-Dienste zur Gesundheitsanalyse usw. Da die EU der größte Handelspartner der Schweiz ist, gibt es viele Schweizer Unternehmen, die eines der oben genannten „Targeting-Kriterien“ erfüllen und daher die Anforderungen der Datenschutz-Grundverordnung einhalten sollten.
DSGVO als das strengste Datenschutz- und Sicherheitsgesetz der Welt
Eine Reihe von Ländern hat ihre eigenen Datenschutzgesetze, z. B. das Bundesgesetz über den Datenschutz in der Schweiz, das Datenschutzgesetz im Vereinigten Königreich, das Gesetz zum Schutz personenbezogener Daten in der Ukraine usw. Die europäische Datenschutz-Grundverordnung (DSGVO) gilt jedoch als das strengste Datenschutz- und Sicherheitsgesetz der Welt. Die Nichteinhaltung der DSGVO kann eine Reihe negativer Folgen nach sich ziehen, unter anderem die Verhängung einer Geldbusse in Höhe von insgesamt bis zu 20 Mio. EUR oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist (je nach Schwere und Umständen des Verstoßes gegen die DSGVO). Somit kann der weltweite Gesamtjahresumsatz einer Unternehmensgruppe zur Berechnung einer Geldbuße für den Verstoss gegen die DSGVO durch eines ihrer Unternehmen herangezogen werden. Abgesehen von der Geldbusse kann ein Unternehmen, das gegen die DSGVO verstossen hat, auch mit Folgendem konfrontiert werden:
Aufforderung zur Zahlung von Schadenersatz an eine betroffene Person (d. h. eine Person, deren personenbezogene Daten verarbeitet wurden) für den infolge des Verstosses gegen die DSGVO entstandenen materiellen oder immateriellen Schaden,
Reputationsverluste,
Verbot der Datenverarbeitung usw. Ausserdem wird in Verträgen häufig die Einhaltung des geltenden Rechts (im Allgemeinen) oder der Datenschutzvorschriften (im Besonderen) verlangt. In einem solchen Fall kann ein Verstoss gegen die DSGVO auch als Vertragsverletzung angesehen werden und Vertragsstrafen, eine vorzeitige Beendigung des Vertrags, Schadensersatzforderungen einer Gegenpartei usw. nach sich ziehen
In der Regel wird die DSGVO nicht nur aufgrund von Kontrollen durch die europäischen Datenschutzbehörden durchgesetzt, sondern auch aufgrund der proaktiven Haltung der Zivilgesellschaft, z. B. aufgrund von Beschwerden, die von (auch potenziellen) Kunden, unzufriedenen Mitarbeitern oder Verbänden bei den Behörden eingereicht werden sowie aufgrund von Meldungen in den Massenmedien (z. B. Veröffentlichungen von investigativen Journalisten) usw. Die Wahrscheinlichkeit, dass ein Verstoss gegen die DSGVO früher oder später aufgedeckt wird, ist also recht hoch.
Ausserdem verfügt die EU über eine Reihe von Instrumenten zur Durchsetzung der Datenschutz-Grundverordnung im Hoheitsgebiet von Nicht-EU-Ländern, u. a. Rechtshilfeabkommen mit verschiedenen Ländern usw.
Unsere Empfehlungen
Wir empfehlen Unternehmen, auch solchen mit Sitz in Nicht-EU-Ländern:
eine Prüfung der Geschäftsprozesse des Unternehmens durchzuführen, um festzustellen, ob die personenbezogenen Daten, die von diesem Unternehmen verarbeitet werden, sowie seine Verarbeitungstätigkeiten unter den extraterritorialen Geltungsbereich der DSGVO fallen;
falls ja, – die Einhaltung der DSGVO sicherzustellen, unter anderem durch die Entwicklung aller erforderlichen Dokumente und Verfahren.