Fragen & Antworten

Bei weiteren Fragen helfen wir Ihnen gerne direkt weiter: Kontaktieren Sie uns!

Sind Sie nicht sicher, ob Sie einen Datenschutz-Vertreter in der Europäischen Union (EU) benötigen? Unser Fragebogen hilft Ihnen weiter!

Unser Angebot richtet sich an juristische und natürliche Personen, die Daten von Personen verarbeiten, die sich in Deutschland und in anderen EU-Mitgliedstaaten befinden. Viele Unternehmen und Organisationen, aber auch einzelne Selbständige und Unternehmerinnen, benötigen gemäss Art. 27 DSGVO einen Datenschutz-Vertreter in der EU.

Datenschutz-Grundverordnung (DSGVO)

Was ist die Datenschutz-Grundverordnung?

Mit der neuen Datenschutz-Grundverordnung, abgekürzt DSGVO, hat die Europäische Union (EU) ihr Datenschutzrecht vereinheitlich und verschärft. Der Fokus der DSGVO liegt auf der Durchsetzung des bisherigen Datenschutzrechts.

Die DSGVO trat am 24. Mai 2016 in Kraft und gilt seit dem 25. Mai 2018 nach einer Übergangsfrist von zwei Jahren. Die DSGVO gilt direkt in allen EU-Mitgliedstaaten und ist auch im Europäischen Wirtschaftsraum (EWR) einschliesslich Fürstentum Liechtenstein anwendbar.

Ausserdem gilt die DSGVO für viele Unternehmen und Organisationen in der Schweiz, obwohl die Schweiz kein Mitgliedstaat von EU und EWR ist. Gemäss dem Marktortprinzip gilt die DSGVO teilweise für die Verarbeitung von personenbezogenen Daten ausserhalb von EU und EWR.

In der EU wird die DSGVO als Verordnung (EU) 2016/679 bezeichnet.

Was ist der Unterschied zwischen der DSGVO und der GDPR?

Die englische Bezeichnung der Datenschutz-Grundverordnung lautet General Data Protection Regulation, abgekürzt GDPR. Es gibt – ausser der Sprache – keinen Unterschied zwischen der DSGVO und der GDPR.

Was geschieht, wenn man die DSGVO nicht einhält?

Wer die DSGVO verletzt, kann mit Geldbussen von bis zu 20 Millionen Euro oder von bis zu 4 Prozent des weltweiten Umsatzes bestraft werden. Es handelt sich dabei um die Höchststrafen, insbesondere auch mit Blick auf amerikanische Unternehmen wie Facebook. Die Aufsichtsbehörden können ausserdem unter anderem Informationen anfordern und Untersuchungen durchführen.

Auch Schweizer Unternehmen und Organisationen müssen damit rechnen, bestraft zu werden. Die DSGVO sieht vor, dass Strafen abschreckend, verhältnismässig und wirksam sein müssen. Unabhängig von einer allfälligen Bestrafung können bereits die Kosten, die ein Verfahren aufgrund einer mutmasslichen Verletzung der DSGVO verursacht, schmerzhaft sein, gerade auch für kleine und mittlere Unternehmen (KMU).

Ausserdem sehen viele Verträge vor, dass das anwendbare Recht oder ausdrücklich die DSGVO eingehalten werden muss. Ein Beispiel dafür sind Auftragsverarbeitungsverträge, wie sie die DSGVO vorschreibt. Wer die DSGVO nicht einhält, verletzt solche Verträge und muss beispielsweise mit Schadenersatzforderungen der Vertragspartner rechnen.

Weiter werden die Rechte der betroffenen Personen durch die DSGVO gestärkt, das heisst diese können sich auch selbst zur Wehr setzen. So besteht unter anderem die Befürchtung, dass es vermehrt zu Datenschutz-Abmahnungen kommen könnte.

Geltung der Datenschutz-Grundverordnung in der Schweiz

Wieso gilt die DSGVO für viele Unternehmen in der Schweiz?

Mit der DSGVO führt die EU im Datenschutzrecht das Marktortprinzip ein:

Die DSGVO gilt für die Verarbeitung von personenbezogenen Daten aller Personen, die sich in der EU befinden. Um diese Personen nicht nur in der EU zu schützen, gilt die DSGVO grundsätzlich auch, wenn solche Daten in Ländern ausserhalb der EU – in sogenannten Drittländern – verarbeitet werden Art. 3 Abs. 2 DSGVO. Die Schweiz ist aus Sicht der EU ein solches Drittland.

Unter welchen Voraussetzungen gilt das Marktortprinzip für Unternehmen in der Schweiz?

Unternehmen in der Schweiz, deren Angebot sich an Personen in der EU richten, müssen die DSGVO einhalten. Auch kostenlose Angebote wie beispielsweise E-Books, Newsletter und Whitepaper («Freebies») für Personen in der EU sind davon ausdrücklich betroffen.

Ausserdem gilt die DSGVO für Unternehmen in der Schweiz, die das Verhalten von Personen in der EU beobachten, zum Beispiel durch die Analyse der Aktivitäten von Besucherinnen und Besuchern in einer App oder auf einer Website (Profiling und Tracking). Wer Google Analytics auf einer Schweizer Website einsetzt, kann dadurch der DSGVO unterliegen.

Schweizer Unternehmen und Organiationen, welche der DSGVO unterliegen, benötigen einen Datenschutz-Vertreter mit Niederlassung in der EU. Ob Sie einen Datenschutz-Vertreter in der EU benötigen, können Sie mit unserem Fragebogen herausfinden.

Gibt es Ausnahmen?

Schweizer Unternehmen, welche die DSGVO einhalten müssen, benötigen unter den folgenden drei Voraussetzungen ausnahmsweise keinen Datenschutz-Vertreter in der EU:

  1. Die Datenverarbeitung erfolgt nur gelegentlich, und
  2. es findet keine umfangreiche Verarbeitung von besonders schützenswerten Daten statt, und
  3. die Datenverarbeitung führt unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.

Wir raten davon ab, sich auf diese Ausnahmen zu berufen.

Datenschutz-Vertreter in der Europäischen Union (EU)

Was sind die Aufgaben eines Datenschutz-Vertreters in der EU?

Der Datenschutz-Vertreter in der EU ist zusätzliche Anlaufstelle für Aufsichtsbehörden und betroffene Personen bei sämtlichen Anfragen im Zusammenhang mit der Gewährleistung der Einhaltung der DSGVO (Art. 27 Abs. 4 DSGVO).

Welche Voraussetzungen muss ein Datenschutz-Vertreter in der EU erfüllen?

Ein Datenschutz-Vertreter in der EU muss eine juristische oder natürliche Person sein, die in einem EU-Mitgliedstaat niedergelassen ist. Die Niederlassung muss sich in einem der EU-Mitgliedstaaten befinden, in denen sich die betroffenen Personen in der EU befinden (Art. 27 Abs. 3 DSGVO).

Die Bestellung beziehungsweise Ernennung muss schriftlich erfolgen (Art. 27 Abs. 1 DSGVO). Wir gewährleisten, dass Sie unser Angebot online bestellen können, die Bestellung aber schriftlich erfolgt.

Datenschutz-Vertreterin in der EU für unsere Kundinnen und Kunden ist unsere Tochtergesellschaft VGS Datenschutzpartner UG mit Sitz in Hamburg. Die Datenschutz-Vertretung gilt – ausgehend von Deutschland – für die gesamte EU. Wer gemäss dem Marktortprinzip der DSGVO unterliegt, verarbeitet fast immer auch Daten von betroffenen Personen in Deutschland.

In welchem Umfang trägt der Datenschutz-Vertreter in der EU die Verantwortung?

Haftung und Verantwortung von Unternehmen in der Schweiz für die Einhaltung der DSGVO werden durch die Bestellung beziehungsweise Ernennung eines Datenschutz-Vertreters in der EU weder ausgeschlossen noch reduziert. Die betreffenden Unternehmen bleiben selbst und vollumfänglich für die Einhaltung der DSGVO verantwortlich, wozu unter anderem ein Datenschutz-Vertreter in der EU zählt (Art. 27 Abs. 5 DSGVO).

Ein Datenschutz-Vertreter in der EU kann von den Aufsichtsbehörden angewiesen werden, alle Informationen bereitzustellen, die für die Erfüllung der Aufgaben der Aufsichtsbehörden erforderlich sind. Sofern der Datenschutz-Vertreter in der EU nicht über die notwendigen Informationen verfügt, muss er diese beim vertretenen Unternehmen einholen.

Was geschieht, wenn sich die Aufgaben und Voraussetzungen für Datenschutz-Vertreter in der EU ändern?

Wenn sich die Aufgaben und Voraussetzungen für Datenschutz-Vertreter in der EU ändern, werden wir unser Angebot anpassen.

Mit was für Anfragen ist zu rechnen?

Aufsichtsbehörden und betroffene Personen können sich jederzeit an den Datenschutz-Vertreter wenden. Auf diesem Weg können beispielsweise betroffene Personen ihre Rechte auf Auskunft, Datenübertragbarkeit, Löschung und Widerspruch geltend machen. Aufsichtsbehörden können beispielsweise Informationen über die Einhaltung der DSGVO einholen.

Mit wievielen Anfragen ist zu rechnen?

Es ist nicht unklar, mit wievielen Anfragen zu rechnen ist. Wir werden die Preise für unser Angebot in jedem Fall erschwinglich halten. Wir leiten grundsätzlich nur Anfragen im Zusammenhang mit der DSGO weiter. E-Mail-Werbung (Spam) beispielsweise wird nicht weitergeleitet.

Wie und wo muss der Datenschutz-Vertreter genannt werden?

Der Datenschutz-Vertreter muss insbesondere in der jeweiligen Datenschutzerklärung sowie im Verzeichnis der Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) genannt werden. Hingegen ist eine Nennung im Impressum nicht notwendig.

Für unsere Kundinnen und Kunden lauten die deutschsprachigen Angaben wie folgt:

VGS Datenschutzpartner UG
Am Kaiserkai 69
20457 Hamburg
Deutschland

info@datenschutzpartner.eu

Benötigt der Datenschutz-Vertreter das Verarbeitungsverzeichnis?

Der Datenschutz-Vertreter benötigt das Verzeichnis der Verarbeitungstätigkeiten gemäss Art. 30 DSGVO (Verarbeitungsverzeichnis) nicht standardmässig. Verantwortliche müssen aber im Rahmen ihrer datenschutzrechtlichen Pflichten einerseits ein Verarbeitungsverzeichnis führen und andererseits das Verarbeitungsverzeichnis bei Bedarf dem Datenschutz-Vertreter zeitnah zur Verfügung stellen können.