www.pwc.ch GDPR key challenges: #1 Anwendbarkeit auf aussereuropäische Unternehmen Kontakte Susanne Hofmann Legal Compliance Leader [email protected] +41 58 792 17 12 Michael Adrian Meyer TLS Senior Manager [email protected] +41 58 792 51 31 Im Mai 2016 ist die EU-Datenschutzgrundverordnung (DSGVO, im Englischen GDPR) in Kraft getreten. Nach einer zweijährigen Übergangsfrist wird die DSGVO ab Mai 2018 in der gesamten Europäischen Union (EU) verbindlich angewendet werden. Zwar handelt es sich bei der DSGVO um ein Gesetz der EU, das allerdings unter Umständen auch für schweizerische und andere aussereuropäische Unternehmen Geltung haben kann. Einerseits ist dies der Fall, wenn sie Niederlassungen in der EU unterhalten. Andererseits untersteht ein aussereuropäisches Unternehmen gemäss dem neu eingeführten „Marktortprinzip“ der DSGVO, wenn es auf dem Gebiet der EU Waren und Dienstleistungen anbietet oder wenn es das Verhalten von Personen mit Aufenthalt in der EU beobachtet. Anbieten von Waren und Dienstleistungen in der EU Auch ein aussereuropäisches Unternehmen hat die Vorgaben der DSGVO vollumfänglich zu beachten, wenn es auf dem europäischen Markt tätig ist. Konkret, wenn es auf dem Markt der EU-Länder entgeltlich oder unentgeltlich Waren oder Dienstleistungen anbietet oder dies zu tun beabsichtigt. Die reine Zugänglichkeit von Websites aus dem Gebiet der EU hinaus alleine reicht zwar noch nicht, allerdings soll gemäss aktueller Auslegung bereits die Verwendung von Sprachen oder Währungen, die in der EU gebräuchlich sind, oder die Erwähnung von Kunden, die in der EU niedergelassen sind, die Anwendbarkeit der DSGVO begründen. Die DSGVO gilt somit beispielsweise für den schweizerischen Versandhändler, der seine Waren auch nach Deutschland versendet. Genauso der DSGVO unterworfen ist das schweizerische Übersetzungsbüro, das seine Dienstleistungen für Personen mit Aufenthalt in der EU erbringt. Beobachten des Verhaltens von Personen mit Aufenthalt in der EU Unternehmen analysieren zunehmend die Art und Weise, wie und von wem ihre Websites oder Apps genutzt werden. Der Einsatz von Analyse- oder WebtrackingTools durch ein aussereuropäisches Unternehmen kann ebenfalls zur Anwendbarkeit der DSGVO führen. Nämlich dann, wenn diese Tools auch dazu genutzt werden können, das Verhalten (auf der eigenen Website oder im Internet) von Personen mit Aufenthalt in der EU zu beobachten, um anhand der gesammelten Informationen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten zu analysieren oder vorauszusagen. Empfehlung Aufgrund der beschriebenen Vorgaben zur umfassenden (extraterritorialen) Anwendbarkeit der DSGVO empfehlen wir schweizerischen Unternehmen, ihren Bezug zur EU zu analysieren. Denn auch Unternehmen (vermeintlich) ohne direkten Bezug zur EU können verpflichtet sein, die neuen datenschutzrechtlichen Vorgaben der EU einzuhalten. Dies wird häufiger der Fall sein als erwartet. Trifft es zu, müssen die Anforderungen der DSGVO (z.B. Prinzipien der Datenbearbeitung, Rechte der Konsumenten, Datenschutz-Compliance usw.) an das eigene Unternehmen definiert und bewertet werden. Bei der Planung der Umsetzung von festgelegten Massnahmen müssen alle relevanten Funktionen (z.B. Rechtsabteilung/Compliance, IT, Business usw.) im Unternehmen involviert sein, um eine ganzheitliche Herangehensweise sicherzustellen. Da die datenschutzrechtlichen Vorgaben und Sanktionen durch die neue DSGVO auch inhaltlich verschärft worden sind, ist doppelte Wachsamkeit geboten. Dieser Artikel ist Teil einer Serie zu den wesentlichen Neuerungen der DSGVO. Publiziert am 8.2.2017
© Copyright 2024 ExpyDoc
