Der revidierte EU-Datenschutz und seine Auswirkungen auf die Schweiz
Der Datenschutz in der EU ist bisher in einer EU-Richtlinie geregelt worden. Neu wird ab 1. Januar 2018 ein Regelwerk mittels Richtlinie und Verordnung in Kraft treten. Im Gegensatz zur Richtlinie wird die Verordnung, namens Datenschutzgrundverordnung (DSGVO), ab Inkraftsetzung in den EU-Mitgliedstaaten unmittelbar anwendbar sein.
Beim genaueren Hinsehen zeigt sich, dass die DSGVO auch auf die Schweiz als Nicht EU-Mitgliedstaat Auswirkungen haben wird. Neben dem Einfluss in die Überarbeitung des schweizerischen Datenschutzgesetzes, wird die Verordnung aufgrund ihres räumlichen Anwendungsbereichs, insbesondere Einfluss auf Nicht EU-Unternehmen haben, die geschäftliche Aktivitäten in der EU bzw. zur EU haben. Diese liegt vor, sofern ein Nicht EU-Unternehmen die Datenverarbeitung vornimmt entweder
- in einer EU-Niederlassung,
- bei einem beauftragten Dritten in der EU,
- in der Schweiz von einer EU-Niederlassung,
- von in der EU erhobenen Kundendaten und diese in die Schweiz weiterleitet,
- von einem Vertriebspartner in der EU erhobenen Kundendaten und diese in die Schweiz weiterleitet,
- von in der EU ansässigen Personen, um diesen Personen Waren oder Dienstleistungen in der EU anzubieten oder
- um das Verhalten dieser Personen zu beobachten.
Daraus folgt, dass alle Schweizer Finanzintermediäre, welche ihre Dienstleistungen an Kunden in der EU über eine EU-Niederlassung erbringen oder Kunden von der Schweiz aus aktiv betreuen, die Bestimmungen in der DSGVO spätestens ab 1. Januar 2018 zu berücksichtigen haben. Als Beispiel sei hier der Kundenberater erwähnt, welcher in ein EU-Mitgliedstaat reist, um dort seine Kunden zu besuchen. Dass Verletzungen der DSGVO nicht in der Schweiz durchgesetzt werden können, ändert an der Tatsache der Einhaltung der Bestimmungen nichts. Verfügt nämlich ein Schweizer Finanzintermediär über eine Tochtergesellschaft, eine Niederlassung oder einen Geschäftspartner in der EU, unterliegen diese dem Zugriff der EU-Behörden, ebenso kann auf in der EU liegende Vermögenswerte zugegriffen werden (z.B. Eintreibung einer Busse).
Nicht dem EU-Datenschutzrecht unterstellt sind dagegen Schweizer Finanzintermediäre, sofern diese ihre Dienstleistungen zwar an in der EU ansässigen Personen erbringen, der Ort der Dienstleistungserbringung sich jedoch in der Schweiz befindet und sie keine Daten von in der EU ansässigen Personen bearbeiten, um diesen Dienstleistungen anzubieten oder deren Verhalten zu beobachten.
Die Finanzintermediäre haben sich damit frühzeitig mit dem neuen EU-Datenschutzrecht auseinanderzusetzen, sofern sie wie ob genannt in den Anwendungsbereich der DSGVO fallen.