Warum es sich lohnt, Schweizer Personendaten in der Schweiz zu bearbeiten

Global zunehmende Datenschutzregulierung

Viele Unternehmen sehen sich angesichts zunehmender Regulierung mit neuen und immer strengeren Regeln zum Datenschutz konfrontiert. Für Unternehmen in der Schweiz war ab 2018 vor allem die EU Datenschutzgrundverordnung (DSGVO) eine grosse Herausforderung. Denn obwohl die EU grundsätzlich nur in ihrem eigenen Gebiet Recht setzen bzw. durchsetzen kann (Territorialitätsprinzip), hat sie im Datenschutzbereich die globale Befolgung ihrer neuen Datenschutzregeln eingefordert, wohl wissend, dass in Zeiten der Digitalisierung eine nur für EU Unternehmen geltende Regulierung vor allem einen Wettbewerbsnachteil bedeutet hätte und nicht etwa ein Ausbau des Schutzes der Betroffenen.

Bei vielen Unternehmen in der Schweiz – und zwar sowohl bei hier verankerten Gesellschaften und Konzernen, als auch bei Schweizer Tochterfirmen internationaler Konzerne – wurden in der Folge Datenschutz Compliance Projekte angestrengt, die die Verarbeitungstätigkeit mit den Vorgaben der DSGVO in Einklang bringen sollten. Vielerorts wurde dabei vergessen oder ignoriert, dass für die meisten Unternehmen in der Schweiz die DSGVO gar nicht zur Anwendung kommt, weil keiner der im Gesetz genannten Fälle der extraterritorialen Wirkung vorliegt.

(Nicht-)Anwendbarkeit der DSGVO in der Schweiz

Die DSGVO gilt für Schweizer Unternehmen nur, wenn einerseits Personendaten von Personen verarbeitet werden, die sich in der Union befinden und anderseits die Verarbeitung damit im Zusammenhang steht, dass entweder

a. solchen Personen Waren oder Dienstleistungen angeboten werden; oder

b. solche Personen in ihrem Verhalten beobachtet werden.

In allen anderen Fällen ist die DSGVO ausserhalb der EU nicht anwendbar. Das gilt namentlich auch für Schweizer Tochterfirmen internationaler Konzerne, will heissen: nur weil die Konzernmuttergesellschaft unter die DSGVO fällt, muss sich deswegen die Schweizer Tochtergesellschaften noch lange nicht an das EU Datenschutzrecht halten, solange sie weder gezielt in die EU anbietet noch Verhaltensbeobachtung dort betreibt. Und sogar wenn sie dies tut, so gelten die Anforderungen der DSGVO nur für jene Daten, die sich auf Personen beziehen, die sich in der Union befinden und nicht auf solche von Personen, die sich in der Schweiz befinden.

Risiken vermeiden, Handlungsspielraum nicht unnötig einschränken

Was heisst das konkret? Das heisst, dass auch für internationale Konzerne die Möglichkeit besteht, ihre Verarbeitungen von Personendaten, die Personen in der Schweiz betreffen gezielt vom Anwendungsbereich der DSGVO auszuklammern und sich stattdessen (nur) nach dem aktuellen (bzw. dem in den nächsten 1-2 Jahren voraussichtlich in Kraft tretenden, revidierten) Schweizer Datenschutzrecht zu richten. Voraussetzung dafür ist, dass die Datenverarbeitungsprozesse entsprechend gestaltet werden, insbesondere, dass die Datenhaltung bzw. –verarbeitung in der Schweiz stattfindet, statt zentralisiert bzw. ausgelagert in der EU.

Gründe für eine solche Datenhaltung und –verarbeitung in der Schweiz sind viele denkbar. So können insbesondere Risiken vermieden werden (z.B. hohe Datenschutzbussen) und der in der Schweiz bestehende Handlungsspielraum wird nicht unnötig eingeschränkt. Ganz grundsätzlich herrscht in der Schweiz bezüglich Personendatenbearbeitung eine liberale Grundhaltung, die die Personendatenverarbeitung generell erlaubt und nur in bestimmten Fällen verbietet (Erlaubnis mit Verbotsvorbehalt), während in der EU ein generelles Verbot von Personendatenverarbeitung gilt mit dem Vorbehalt, dass eine Verarbeitung in bestimmten Fällen zugelassen ist (Verbot mit Erlaubnisvorbehalt). Daneben sprechen auch folgend Punkte dafür, die Datenverarbeitung in der Schweiz zu behalten:

  • Das Datenschutzrecht ist deutlich weniger streng, auch nach der im Parlament hängigen Revision. Die nachfolgende Gegenüberstellung bezieht sich auf das revidierte Datenschutzgesetz gemäss aktuellem Stand (August 2020), insbesondere:
    • sind die Maximalbussen massiv (!) tiefer:
      CH: CHF 250'000.-,
      EU: EUR 20'000'000.- oder 4% des weltweiten Vorjahresumsatzes
    • ist bei Datenschutzverletzungen (Data Leaks) in der Schweiz zwar so rasch als möglich, aber nicht innert einer fixierten Frist zu melden und die Verletzungen der Meldefrist ist nicht mit einer Busse verbunden, während in der EU eine feste Frist von 72 Stunden gilt, deren Verletzung mit einer Busse bis zu EUR 10'000'000 bzw. 2% des Jahresumsatzes geahndet werden kann
    • ist die Auftragsdatenverarbeitung viel einfacher
      CH: fast keine gesetzlichen Vorgaben bezüglich Auftragsdatenverarbeitung
      EU: sehr viele inhaltliche Vorgaben bis tief ins Detail
    • besteht mehr Spielraum beim Direktmarketing
      EU: stärker eingeschränkt durch DSGVO, laufend verschärft durch Behördenpraxis und Rechtsprechung in allen EU/EWR Staaten sowie EuGH
    • ist die Einwilligung einfacher einzuholen
      CH: Einwilligung auch im Rahmen von AGB möglich (mit gewissen Ausnahmen), kein generelles Koppelungsverbot
      EU: Einwilligung muss getrennt von anderen Sachverhalten abgeholt werden, generelles Koppelungsverbot
    • gibt es in der Schweiz weniger Betroffenenrechte und Informationspflichten.
  • Die Hindernisse oder Unsicherheiten internationaler Datentransfers bestehen im Binnenverhältnis nicht
    • Übermittlung von Personendaten ins Ausland ist immer abhängig von genügendem Datenschutzniveau im Ausland. Übermittlung in die EU ist derzeit möglich ohne zusätzliche Schutzmassnahmen, dies kann aber ändern, wie dies gerade im Verhältnis EU-USA aufgrund der gerichtlichen Aufhebung des Privacy Shield Abkommens geschehen ist. Auch Übermittlungen in die USA sind seit dem 8. September 2020 aus der Schweiz schwieriger, nachdem der EDÖB das Swiss-US Privacy Shield als ungenügend eingestuft hat.
    • Denkbar wäre z.B., dass die EU die Schweiz aufgrund der sich hinziehenden Datenschutzrevision nicht mehr als sicheres Land für Datenübermittlungen betrachtet und die Schweiz im Gegenzug der EU diesen Status aberkennt. Übermittlungen von Personendaten wären dann nur noch möglich, wenn weitere Schutzmassnahmen implementiert werden, wie z.B. Abschluss von Standardvertragsklauseln zum Datenschutz
  • In der EU ist mit der ePrivacy Verordnung bereits eine noch weitergehende Regulierung absehbar und auch die Rechtsprechung zu Cookies führt laufend zu Verschärfungen der Anforderungen. In der Schweiz sind aktuell keine ähnlichen Bestrebungen im Gange, weder bezüglich ePrivacy noch bezüglich Cookies.
  • In der Schweiz herrscht deutlich weniger und pragmatischere Behördentätigkeit:
    • Datenschutzbehörde (bisher) deutlich weniger aktiv als Pendants in Deutschland, Österreich, Frankreich oder anderen vergleichbaren EU Ländern. Die Schweizer Datenschutzbehörde sieht sich zudem auch als eine die Unternehmen beratende und unterstützende und nicht nur vollziehende Behörde
    • Aufsichtspraxis der Datenschutzbehörde überschaubar, da nur eine einzige Behörde mit deutlich weniger Personal im Gegensatz zur EU (in Deutschland alleine schon 16 Behörden, EU/EWR-weit insgesamt 35)
  • Schweizer Anbieter decken lokale gesetzliche und regulatorische Anforderungen ab und sind mit diesen im Detail vertraut:
    • Schweiz ist nicht Mitglied der EU/EWR und hat unabhängige Gesetze, die bei Werbung an Personen in der Schweiz zu beachten sind
    • Schweizer Anbieter sind mit Vorgaben des Schweizer Rechts und Rechtsprechung vertraut, wie insbesondere der von der EU abweichenden Regulierung von Direktmarketing oder Massenwerbung in der Schweiz (Bundesgesetz gegen den unlauteren Wettbewerb, Schweizer Cookie-Gesetzgebung, Aufsichtspraxis der Schweizer Datenschutzbehörde)
    • Schweizer Anbieter bringen zudem grossen Erfahrungsschatz bezüglich lokalen Usanzen und sind bei der hiesigen Bevölkerung näher am Puls
  • Die Schweizer Gesetzgebung geniesst generell einen guten Ruf und bietet hohe Verlässlichkeit, insbesondere aufgrund eines pragmatischen Gesetzgebers, der die Bedürfnisse der Wirtschaft berücksichtigt und eines berechenbaren Gesetzgebungsverlaufs.
  • Nicht zuletzt registriert man häufig auch eine bessere Akzeptanz Schweizerischer Anbieter bei Endkunden (z.B. Schweizerdeutsch bei Telefonmarketing, Absenderadressen in der Schweiz etc.)


Warum Datenhaltung und –verarbeitung in der Schweiz entscheidend ist

Wichtig ist, dass die Datenverarbeitungen im Konzern in dieser Hinsicht getrennt sind und die Datenbestände, welche Personen in der Schweiz betreffen tatsächlich in der Schweiz verarbeitet werden. Denn wenn die Schweizer Tochtergesellschaft ihre Datenverarbeitung wiederum an die Muttergesellschaft (oder einen Anbieter) in der EU auslagert, findet auf die Verarbeitung dort wiederum die DSGVO Anwendung. Das führt mit anderen Worten dazu, dass die DSGVO Anwendung findet auf Datenbestände, die – ohne die Auslagerung in die EU – viel weniger weitgehenden Restriktionen unterliegen würde, womit man als Konzern unnötige Risiken auf sich nimmt und bestehende Handlungsspielräume freiwillig einschränkt.

Ein konkretes Beispiel zur Veranschaulichung: Ein Zulieferer eines Schweizer Unternehmens wird gehackt und ein grösserer Datensatz wird von den Angreifern heruntergeladen. Unter den Daten befinden sich auch Personendaten von Schweizer Kunden des Schweizer Unternehmens mit Lieferadresse und Kreditkartendaten. Wenn der Zulieferer z.B. die deutsche Muttergesellschaft ist, findet auch auf diese Personendaten von Schweizer Kunden die DSGVO Anwendung und mit ihr die 72 stündige Meldefrist und die mögliche Busse bis zu EUR 10'000'000.-. Handelt es sich beim Zulieferer dagegen um ein Schweizer Unternehmen, findet die DSGVO keine Anwendung auf diese Personendaten von Schweizer Kunden und das Datenleck ist so bald wie möglich zu melden, wobei eine Verletzung der Meldefrist keine Bussenfolge nach sich ziehen kann.

Unter diesen Umständen ist allen Schweizer Unternehmen sowie Konzernen mit Schweizer Tochtergesellschaften, zu empfehlen, sorgfältig zu prüfen, ob sie ihre Verarbeitungen von "Schweizer" Personendaten wirklich an EU Unternehmen auslagern möchten oder es nicht besser wäre, einen Schweizer Anbieter auszuwählen.


Autor: Kaj Seidl-Nussbaumer / Probst und Partner in Auftrag von pdc Marketing + Information Technology AG
Verfasst: 10. September 2020