EU-DSGVO und sein Einfluss auf Schweizer Banken
Im Mai 2016 trat die europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Nach einer Übergangsfrist von 2 Jahren musste diese für betroffene Unternehmen bis zum 25. Mai 2018 umgesetzt werden. Auf Grund der Neuerungen im EU-Datenschutzrecht wird auch das Schweizer Datenschutzgesetz revidiert. Ein entsprechender Entwurf wurde bereits in die Vernehmlassung geschickt und wird nun von den Räten behandelt. Dieses soll die EU-DSGVO als gleichwertiges Pendant umsetzen.
Für viele Finanzdienstleister stellt sich nun die Frage, ob es bezüglich der EU-DSGVO bereits zum jetzigen Zeitpunkt Handlungsbedarf gibt. Insbesondere, ob die EU-DSGVO von Schweizer Finanzdienstleistern umzusetzen ist.
Einschlägig ist in diesem Zusammenhang Art. 3 der EU-DSGVO. Gemäss Art. 3 EU-DSGVO müssen nicht in der EU ansässige Datenverarbeiter die EU-DSGVO umsetzen, sofern die Datenverarbeitung im Zusammenhang steht mit
- in der Union betroffenen Personen Waren oder Dienstleistungen anzubieten (Marktortprinzip) oder
- das Verhalten zu beobachten, soweit ihr Verhalten in der Union erfolgt (Beobachtung von EU-Kunden)
Was bedeuten nun vorgenannte Voraussetzungen:
1. Betroffene Personen
Erfasst von der EU-DSGVO sind sämtliche Personen, welche sich in der Europäischen Union befinden. Damit sind sämtliche Personen gemeint, welche sich in der Union aufhalten, auch wenn dieser Aufenthalt nur vorübergehend ist. Nicht entscheidend ist die Staatsbürgerschaft der Personen, wird doch manchmal fälschlicherweise generell von EU-Bürgern gesprochen.
2. Angebot ( Marktortprinzip)
Gemäss Marktortprinzip gilt das Recht des Ortes, auf dessen Markt die Leistung zum Vertrieb ausgerichtet ist und somit auf den Kunden eingewirkt bzw. die Leistung angeboten wird. Gemäss Erwägungsgrund 23 zur EU-DSGVO ist von einem Anbieten von Waren oder Dienstleistungen für in der Union ansässige Personen auszugehen, wenn das Finanzinstitut «offensichtlich beabsichtigt» Waren oder Dienstleistungen in der Union anzubieten.
2.1 Offensichtliches Beabsichtigen
Ein offensichtliches Beabsichtigen liegt dann vor, wenn das Finanzinstitut die betroffene Person spezifisch im Sinne eines «Targeting» angeht. Das Dienstleistungsangebot muss auf Personen in der Union ausgerichtet sein. Es reicht nicht aus, wenn nur die faktische Möglichkeit besteht, z.B. auf einer Webseite eine Bestellung abzugeben. Vielmehr muss eine deutlich erkennbare Ausrichtung des Angebots auf die Union oder einen Mitgliedsstaat der Union erkennbar sein.
Ein Beispiel für eine solche Ausrichtung ist z.B. die Verwendung von Toplevel-Domains aus der Union (.de, .pl, .dk). Ebenfalls können Anfahrtsbeschreibungen aus dem EU-Raum ein Indiz für eine Ausrichtung auf Personen in der Union sein. Entscheidend bleibt aber eine Betrachtung der gesamten Umstände im Einzelfall. Ein Disclaimer, welcher darauf hinweist, dass sich das Angebot nicht an Personen in der Union richtet, führt mit Sicherheit zur Nichtanwendbarkeit der EU-DSGVO.
2.2 Finanzdienstleistungserbringung in der Schweiz
Eröffnet eine in der EU ansässige Person ein Bankkonto in der Schweiz oder geht sie selbständig auf einen Finanzdienstleister in der Schweiz zu, um sich beraten zu lassen (ohne dass das Finanzinstitut seine Dienstleistungen in der Union aktiv anbietet), kommt die EU-DSGVO nicht zur Anwendung. In diesem Zusammenhang wird von passiver Dienstleistungsfreiheit gesprochen.
Somit muss ein Kunde aus dem EU-Raum, welcher selbstständig ein Angebot in Anspruch nimmt und sich nicht an Personen aus der Union richtet, sondern die Dienstleistung aus eigenem Antrieb sucht, mit dem in der Schweiz geltenden Recht vorlieb nehmen.
3. Beobachtung von EU-Kunden
Anwendbar ist die EU-DSGVO ebenfalls, wenn ein Finanzinstitut das Verhalten von Personen aus der Union beobachtet. Gemäss Erwägungsgrund 24 liegt eine solche Beobachtung vor, wenn ihre Internetaktivitäten nachvollzogen werden können. Dazu gehört auch, die mögliche Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die von einer natürlichen Person ein Profil erstellt werden kann, das insbesondere die Grundlage für betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesetzt werden sollen.
Der EU-Gesetzgeber hatte damit vor allem den Online-Bereich im Blickfeld. So fallen z.B. Online-Analysetools (z.B. Google Analytics) unter diese Bestimmung, die z.B. mittels Cookies individuelle Werbung durch die Rückverfolgbarkeit der Nutzer ermöglichen. Auch so genannte Social Plugins fallen unter diesen Begriff, welche die von Personen aufgesuchten Webseiten registrieren.
3.1 Auswirkungen auf Schweizer Finanzinstitute
Viele Schweizer Finanzinstitute setzen Analysetools ein, um das Verhalten ihrer Webseiten-Besucher zu analysieren. Aufgrund der vermutlichen Anwendbarkeit der EU-DSGVO bei der Verwendung solcher Tools auch im Zusammenhang mit Personen in der Union, sollten Finanzinstitute entweder auf eine Analyse durch solche Tools verzichten oder sicherstellen, dass Personen aus der Union nicht von solchen Trackings oder Profilings betroffen sind.
Fazit
Sofern ihr Finanzintermediär mit Domizil Schweiz weder Dienstleistungen offensichtlich an sich in der Union aufhaltende Personen anbietet oder das in der Union erfolgende Verhalten solcher Personen beim Besuch ihrer Webseite beobachtet, fällt ihr Finanzintermediär nicht in den Anwendungsbereich der EU-DSVGO.
Es ist jedoch jedem Finanzintermediär mit Domizil Schweiz freigestellt, bereits heute seine Datenschutzerklärungen auf seiner Webseite gemäss den Vorgaben aus der EU-DSGVO zu aktualisieren.
Tags: EU-DSGVO