FAQ zur EU-Datenschutz-Vertretung
Europäische Datenschutz-Grundverordnung (DSGVO) im Allgemeinen
Was ist die europäische Datenschutz-Grundverordnung?
Mit ihrer Datenschutz-Grundverordnung, abgekürzt DSGVO, hat die Europäische Union (EU) ihr Datenschutzrecht vereinheitlich und verschärft. Der Fokus der DSGVO liegt auf der Durchsetzung des bisherigen Datenschutzrechts.
Die DSGVO trat am 24. Mai 2016 in Kraft und gilt seit dem 25. Mai 2018 nach einer Übergangsfrist von zwei Jahren. Die DSGVO gilt direkt in allen EU-Mitgliedstaaten und ist auch in den Mitgliedstaaten des Europäischen Wirtschaftsraumes (EWR) einschliesslich Fürstentum Liechtenstein anwendbar.
Ausserdem gilt die DSGVO mindestens teilweise für viele Unternehmen und Organisationen in der Schweiz, obwohl die Schweiz kein Mitgliedstaat von EU oder EWR ist. Gemäss dem Marktortprinzip gilt die DSGVO teilweise für die Verarbeitung von personenbezogenen Daten ausserhalb von EU und EWR.
In der EU wird die DSGVO als Verordnung (EU) 2016/679 bezeichnet.
Was ist der Unterschied zwischen der DSGVO und der GDPR?
Die englische Bezeichnung der europäischen Datenschutz-Grundverordnung, abgekürzt DSGVO, lautet General Data Protection Regulation, abgekürzt GDPR. Es gibt – ausser der Sprache – keinen Unterschied zwischen der DSGVO und der GDPR.
Was geschieht, wenn man die DSGVO nicht einhält?
Wer die DSGVO verletzt, kann mit Geldbussen von bis zu 20 Millionen Euro oder von bis zu 4 Prozent des weltweiten Umsatzes bestraft werden. Es handelt sich dabei um die Höchststrafen, insbesondere auch mit Blick auf amerikanische Unternehmen wie Google oder Meta. Die Datenschutz-Aufsichtsbehörden können ausserdem unter anderem Informationen anfordern und Untersuchungen durchführen.
Auch Schweizer Unternehmen und Organisationen müssen damit rechnen, bestraft zu werden. Die DSGVO sieht vor, dass Strafen abschreckend, verhältnismässig und wirksam sein müssen. Unabhängig von einer allfälligen Bestrafung können bereits die Kosten, die ein Verfahren aufgrund einer mutmasslichen Verletzung der DSGVO verursacht, schmerzhaft sein, gerade auch für kleine und mittlere Unternehmen (KMU).
Ausserdem sehen viele Verträge vor, dass das anwendbare Recht oder ausdrücklich die DSGVO eingehalten werden muss. Ein Beispiel dafür sind Auftragsverarbeitungsverträge, wie sie die DSGVO vorschreibt. Wer die DSGVO nicht einhält, verletzt solche Verträge und muss beispielsweise mit Schadenersatzforderungen der Vertragspartner rechnen.
Weiter werden die Rechte der betroffenen Personen durch die DSGVO gestärkt, das heisst diese können sich auch selbst zur Wehr setzen. So besteht unter anderem die Befürchtung, dass es vermehrt zu Datenschutz-Abmahnungen kommen könnte.
Geltung der Datenschutz-Grundverordnung in der Schweiz
Wieso gilt die DSGVO für viele Unternehmen in der Schweiz?
Mit der Datenschutz-Grundverordnung (DSGVO) führt die Europäische Union (EU) im Datenschutzrecht das Marktortprinzip ein:
Die DSGVO gilt für die Verarbeitung von personenbezogenen Daten aller Personen, die sich im Europäischen Wirtschaftsraum (EWR) befinden. Der EWR umfasst die Mitgliedstaaten der EU sowie das Fürstentum Liechtenstein, Island und Norwegen.
Um diese Personen nicht nur im EWR, sondern weltweit zu schützen, gilt die DSGVO grundsätzlich auch, wenn solche Daten in Ländern ausserhalb des EWR – in sogenannten Drittländern – verarbeitet werden Art. 3 Abs. 2 DSGVO. Die Schweiz ist aus Sicht der EU ein solches Drittland.
Unter welchen Voraussetzungen gilt das Marktortprinzip für Unternehmen in der Schweiz?
Unternehmen in der Schweiz, deren Angebot sich an Personen in der EU oder im EWR richtet, müssen die europäische Datenschutz-Grundverordnung (DSGVO) in Bezug auf solche Personen einhalten. Auch kostenlose Angebote wie beispielsweise E-Books, Newsletter und Whitepaper («Freebies») für Personen in der EU und im EWR sind davon ausdrücklich betroffen.
Ausserdem gilt die DSGVO für Unternehmen in der Schweiz, die das Verhalten von Personen in der EU oder im EWR beobachten, zum Beispiel durch die Analyse der Aktivitäten von Besucherinnen und Besuchern in einer App oder auf einer Website (Profiling und Tracking). Wer beispielsweise Google Analytics auf einer Schweizer Website einsetzt, kann dadurch der DSGVO unterliegen.
Schweizer Unternehmen und Organisationen, welche der DSGVO unterliegen, benötigen eine EU-Datenschutz-Vertretung. Ob Sie eine Datenschutz-Vertretung in der EU benötigen, können Sie mit unserem Fragebogen herausfinden.
Gibt es Ausnahmen?
Schweizer Unternehmen, welche die Datenschutz-Grundverordnung (DSGVO) einhalten müssen, benötigen unter den folgenden drei Voraussetzungen ausnahmsweise keine Datenschutz-Vertretung in der EU:
- Die Datenverarbeitung erfolgt nur gelegentlich, und
- es findet keine umfangreiche Verarbeitung von besonders schützenswerten Daten statt, und
- die Datenverarbeitung führt unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.
Wir raten davon ab, sich auf diese Ausnahmen zu berufen.
Datenschutz-Vertretung in der Europäischen Union (EU)
Was sind die Aufgaben einer EU-Datenschutz-Vertretung?
Die EU-Datenschutz-Vertretung ist eine zusätzliche Anlaufstelle für Aufsichtsbehörden und betroffene Personen bei sämtlichen Anfragen im Zusammenhang mit der Gewährleistung der Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) (Art. 27 Abs. 4 DSGVO).
Man kann sich die EU-Datenschutz-Vertretung auch als «Briefkasten» in der EU vorstellen, welchen Behörden und betroffene Personen im Europäischen Wirtschaftsraum (EWR) nutzen können.
Welche Voraussetzungen muss eine EU-Datenschutz-Vertretung erfüllen?
Eine EU-Datenschutz-Vertretung muss eine juristische oder natürliche Person sein, die in einem EU-Mitgliedstaat niedergelassen ist. Die Niederlassung muss sich in einem der EU-Mitgliedstaaten befinden, in denen sich betroffene Personen befinden (Art. 27 Abs. 1 DSGVO). Wir gewährleisten, dass Sie unser Angebot online bestellen können, die Bestellung aber schriftlich erfolgt.
EU-Datenschutz-Vertreterin für unsere Kundinnen und Kunden ist unsere Tochtergesellschaft VGS Datenschutzpartner GmbH mit Sitz in Hamburg. Die Datenschutz-Vertretung gilt – ausgehend von Deutschland – für die gesamte EU und für den gesamten EWR einschliesslich Fürstentum Liechtenstein. Wer gemäss dem Marktortprinzip der DSGVO unterliegt, verarbeitet fast immer auch Daten von betroffenen Personen in Deutschland.
In welchem Umfang trägt die Datenschutz-Vertretung in der EU die Verantwortung?
Haftung und Verantwortung von Unternehmen in der Schweiz für die Einhaltung der Datenschutz-Grundverordnung (DSGVO) werden durch die Benennung einer Datenschutz-Vertretung in der EU weder ausgeschlossen noch reduziert. Die betreffenden Unternehmen bleiben selbst und vollumfänglich für die Einhaltung der DSGVO verantwortlich, wozu unter anderem die Benennung Datenschutz-Vertretung in der EU zählt (Art. 27 Abs. 5 DSGVO).
Die Datenschutz-Vertretung in der EU kann von den Datenschutz-Aufsichtsbehörden angewiesen werden, alle Informationen bereitzustellen, die für die Erfüllung der Aufgaben der Aufsichtsbehörden erforderlich sind. Sofern die Datenschutz-Vertretung in der EU nicht über die notwendigen Informationen verfügt, muss sie diese beim vertretenen Unternehmen einholen.
Was geschieht, wenn sich die Aufgaben und Voraussetzungen für die Datenschutz-Vertretung in der EU ändern?
Wenn sich die Aufgaben und Voraussetzungen für die EU-Datenschutz-Vertretung in der EU ändern, werden wir unser Angebot entsprechend anpassen.
Mit was für Anfragen ist zu rechnen?
Aufsichtsbehörden und betroffene Personen können sich jederzeit an die EU-Datenschutz-Vertretung wenden. Auf diesem Weg können beispielsweise betroffene Personen ihre Rechte auf Auskunft, Datenübertragbarkeit, Löschung und Widerspruch geltend machen. Aufsichtsbehörden können beispielsweise Beschwerden von betroffenen Personen weiterleiten oder Informationen über die Einhaltung der Datenschutz-Grundverordnung (DSGVO) einholen.
Mit wie vielen Anfragen ist zu rechnen?
Die Erfahrung zeigt, dass die meisten Verantwortlichen mit wenigen oder gar keinen Anfragen rechnen müssen. Verantwortliche, die für betroffene Personen erreichbar sind, werden normalerweise direkt und nicht über die EU-Datenschutz-Vertretung kontaktiert.
Datenschutz-Aufsichtsbehörden wenden sich normalerweise an die EU-Datenschutz-Vertretung. Solche Anfragen sind aber meist selbst provoziert, sei es durch Meldungen über Datenpannen oder nicht direkt beantwortete Anfragen von betroffenen Personen.
Wir leiten grundsätzlich nur Anfragen im Zusammenhang mit der Datenschutz-Grundverordnung (DSGVO) weiter. Offensichtliche E-Mail-Werbung (Spam) beispielsweise wird nicht weitergeleitet.
Wie und wo muss die EU-Datenschutz-Vertretung erwähnt werden?
Die EU-Datenschutz-Vertretung muss insbesondere in der jeweiligen Datenschutzerklärung sowie im Verzeichnis der Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) erwähnt werden. Hingegen ist eine Erwähnung im Impressum nicht erforderlich.
Unsere Kundinnen und Kunden finden die benötigen Angaben sowie Muster-Formulierungen für ihre Datenschutzerklärungen in unserer Anleitung für die EU-Datenschutz-Vertretung.
Wer unseren Datenschutz-Generator nutzt, erhält bei Anwendbarkeit der europäischen Datenschutz-Grundverordnung (DSGVO) automatisch eine Datenschutzerklärung mit passendem Text für die EU-Datenschutz-Vertretung.
Benötigt die EU-Datenschutz-Vertretung das Verarbeitungsverzeichnis?
Die EU-Datenschutz-Vertretung benötigt das Verzeichnis der Verarbeitungstätigkeiten gemäss Art. 30 DSGVO (Verarbeitungsverzeichnis) nicht standardmässig. Verantwortliche müssen aber im Rahmen ihrer datenschutzrechtlichen Pflichten einerseits ein Verarbeitungsverzeichnis führen und andererseits das Verarbeitungsverzeichnis bei Bedarf der EU-Datenschutz-Vertretung zeitnah zur Verfügung stellen können.
Muss eine Telefonnummer für die EU-Datenschutz-Vertretung genannt werden?
Nein, Art. 27 DSGVO als Rechtsgrundlage für die EU-Datenschutz-Vertretung verlangt keine Nennung einer Telefonnummer.