In Kürze

Art. 14 DSG regelt die Pflicht zur Bezeichnung einer Datenschutz-Vertretung in der Schweiz durch private Verantwortliche mit Sitz im Ausland. Die Pflicht besteht nur unter bestimmten kumulativen Voraussetzungen und dürfte in der Praxis nur für wenige Verantwortliche gelten. Die Vertretung soll als Anlaufstelle für betroffene Personen und den EDÖB dienen, um die Durchsetzung des DSG gegenüber bestimmten Verantwortlichen im Ausland zu erleichtern. Solche Verantwortliche müssen Name und Adresse ihrer Vertretung veröffentlichen, beispielsweise als Teil der Datenschutzerklärung auf ihrer Website.

I. Allgemeines

A. Zweck

1 Verantwortliche ohne Sitz in der Schweiz müssen unter bestimmten, nur selten erfüllten Voraussetzungen eine Vertretung in der Schweiz bezeichnen. Die Formulierung dieser Voraussetzungen führt zu Rechtsunsicherheit, wann sie überhaupt erfüllt sind.

2 Die Pflicht lässt sich mit dem weiten räumlichen Anwendungsbereich des DSG begründen, denn das DSG gilt für alle Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden (Art. 3 Abs. 1 DSG). Mit der Pflicht zur Bezeichnung einer Vertretung soll, analog zur EU-Datenschutz-Vertretung gemäss Art. 27 DSGVO, die praktische Durchsetzbarkeit des DSG verbessert werden.

B. Entstehungsgeschichte

3 Das DSG wurde im Rahmen der parlamentarischen Debatte mit der Datenschutz-Vertretung gemäss Art. 14 u. 15 DSG ergänzt. Die beiden Artikel bilden den 2. Abschnitt «Datenbearbeitung durch private Verantwortliche mit Sitz oder Wohnsitz im Ausland» im 2. Kapitel mit den «Allgemeinen Bestimmungen». Die Ausgestaltung orientiert sich an der EU-Datenschutz-Vertretung gemäss Art. 27 DSGVO.

Die Datenschutz-Vertretung kann demnach eine juristische oder natürliche Person sein. In der Datenschutzverordnung (DSV) wird die Vertretung nicht erwähnt.

4 Die Datenschutz-Vertretung berührt politische Forderungen nach einem obligatorischen Zustellungsdomizil für grosse ausländische Internet-Plattformen wie insbesondere Social-Media-Plattformen in straf- und zivilrechtlichen Angelegenheiten,

setzt diese aber nicht um. Eine allfällige Umsetzung dieser Forderungen nach einem obligatorischen Zustellungsdomizil könnte eine für 2024 angekündigte Vernehmlassungsvorlage des Bundesrates zur Regulierung grosser Kommunikationsplattformen bringen, wonach solche Plattformen eine Kontaktstelle und einen Rechtsvertreter in der Schweiz benennen sollen.

II. Pflicht zur Bezeichnung einer Datenschutz-Vertretung (Abs. 1)

5 Art. 14 Abs. 1 DSG nennt die Voraussetzungen, unter denen Verantwortliche ausnahmsweise eine Datenschutz-Vertretung in der Schweiz bezeichnen müssen. Im Gegensatz zur EU-Datenschutz-Vertretung gemäss Art. 27 Abs. 1 u. 2 DSGVO besteht keine allgemeine Pflicht mit Ausnahmen. Die Zahl der erfassten Verantwortlichen dürfte entsprechend klein sein.

6 Der EDÖB kann als Verwaltungsmassnahme die Bezeichnung einer Vertretung anordnen bzw. verfügen (Art. 51 Abs. 4 DSG).

7 Die Verletzung der Pflicht zur Bezeichnung einer Vertretung fällt nicht unter die Strafbestimmungen gemäss Art. 60 ff. DSG. Mit Busse bestraft werden könnte die Missachtung einer Verfügung des EDÖB zur Bezeichnung einer Vertretung (Art. 63 DSG).

A. Persönlicher Geltungsbereich

8 Die Pflicht zur Bezeichnung einer Vertretung gilt für private Verantwortliche (Art. 5 lit. j DSG) mit Sitz oder Wohnsitz im Ausland, wenn sie Daten über Personen in der Schweiz bearbeiten (Art. 5 lit. a u. b DSG) und die Bearbeitung die kumulativen Voraussetzungen gemäss Art. 14 Abs. 1 lit. a–d DSG erfüllt. Im Gegensatz zur EU-Datenschutz-Vertretung besteht in der Schweiz die Pflicht nur für Verantwortliche und nicht auch für Auftragsbearbeiterinnen und Auftragsbearbeiter.

B. Sachlicher Geltungsbereich

1. Zusammenhang mit dem Angebot von Waren oder Dienstleistungen oder mit der Beobachtung des Verhaltens von Personen in der Schweiz (lit. a)

9 Art. 14 Abs. 1 lit. a DSG orientiert sich an den alternativen Voraussetzungen für den räumlichen Anwendungsbereich der DSGVO durch Angebot oder Verhaltensbeobachtung (Art. 3 Abs. 2 DSGVO) anstatt auf den räumlichen Anwendungsbereich mit dem Auswirkungsprinzip gemäss Art. 3 Abs. 1 DSG zu verweisen.

Die Voraussetzung gilt demnach nur, wenn sich ein Angebot oder eine Verhaltensbeobachtung auf Sachverhalte in der Schweiz auswirken. Ein blosser Zusammenhang mit einem Angebot oder einer Verhaltensbeobachtung genügt nicht.

10 Die erste kumulative Voraussetzung gemäss Art. 14 Abs. 1 lit. a DSG ist einerseits erfüllt, wenn die Bearbeitung von Personendaten im Zusammenhang mit dem Angebot von Waren und Dienstleistungen an Personen in der Schweiz steht. In Anlehnung an Erwägungsgrund 80 zu Art. 27 Abs. 3 DSGVO genügt ein kostenloses bzw. nicht zahlungspflichtiges Angebot.

11 Die Zugänglichkeit von Angeboten allein, beispielsweise in einer App auf einer Social-Media-Plattform oder über eine Website, genügt nicht. Es sind konkrete Hinweise erforderlich, dass sich ein Angebot tatsächlich an Personen in der Schweiz richten soll. Mögliche Hinweise sind beispielsweise Inhalte in schweizerischen Landessprachen, Liefermöglichkeiten in die Schweiz, Preisangaben in Schweizer Franken, Preise unter Nennung der schweizerischen Mehrwertsteuer, die Veröffentlichung einer schweizerischen Telefonnummer oder die Verwendung einer schweizerischen Top-Level-Domain (.ch oder .swiss).

12 Die erste kumulative Voraussetzung gemäss Art. 14 Abs. 1 lit. a DSG ist andererseits erfüllt, wenn die Bearbeitung alternativ zum Angebot oder gleichzeitig mit dem Angebot im Zusammenhang mit der Beobachtung des Verhaltens von Personen in der Schweiz steht. Der Begriff der Verhaltensbeobachtung ist im Sinn von Art. 3 Abs. 2 DSGVO auszulegen. Die blosse Aufzeichnung von Zugriffen auf einen Online-Dienst oder auf eine Website genügt demnach nicht. Es muss ein eigentliches Targeting von Personen in der Schweiz erfolgen oder die Beobachtung muss zu einem Profiling mit Blick auf die betroffenen einzelnen Personen in der Schweiz führen. In der Folge dürfte die Bestimmung für Anbieter von Internet-Plattformen wie ByteDance

, Google und Meta gelten, nicht aber beispielsweise für Onlineshop-Betreiber, solange ihr Geschäftsmodell nicht datenzentriert ist und ein Profiling über die Nutzerinnen und Nutzer nur im üblichen Ausmass für eigene Marketingzwecke erfolgt.

2. Umfangreiche Bearbeitung (lit. b)

13 Die zweite kumulative Voraussetzung gemäss Art. 14 Abs. 1 lit. b DSG ist erfüllt, wenn es sich um eine umfangreiche Bearbeitung von Personendaten handelt. Das Gesetz erklärt nicht, was unter einer «umfangreichen Bearbeitung» zu verstehen ist.

14 Art. 22 Abs. 2 lit. a DSG nennt die umfangreiche Bearbeitung besonders schützenswerter Personendaten als Beispiel für eine Datenbearbeitung mit hohem Risiko, erklärt «umfangreich» aber ebenfalls nicht. Mögliche Kriterien wären eine grosse Zahl von betroffenen Personen in der Schweiz oder ein grosser Bestand an Daten über Personen in der Schweiz.

3. Regelmässige Bearbeitung (lit. c)

15 Die dritte kumulative Voraussetzung gemäss Art. 14 Abs. 1 lit. c DSG ist erfüllt, wenn es sich um eine regelmässige Bearbeitung von Personendaten handelt. Das Gesetz erklärt nicht, was unter einer «regelmässigen Bearbeitung» zu verstehen ist.

16 Klar ist, dass keine Regelmässigkeit vorliegt, wenn Verantwortliche nur gelegentlich oder während einer beschränkten Zeitdauer Personendaten bearbeiten. Hingegen dürfte Regelmässigkeit vorliegen, wenn eine Verantwortliche oder ein Verantwortlicher zur Erfüllung ihrer oder seiner Tätigkeit regelmässig Personendaten bearbeitet (Beispiel: Angebot durch Online-Shop) oder ein datenzentriertes Geschäftsmodell verfolgt (Beispiel: Beobachtung durch Social-Media-Plattform).

4. Hohes Risiko für die Persönlichkeit der betroffenen Personen (lit. d)

17 Die vierte kumulative Voraussetzung gemäss Art. 14 Abs. 1 lit. d DSG ist erfüllt, wenn die Bearbeitung ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt. Diese Voraussetzung entspricht dem risikobasierten Ansatz im DSG, wenn auch ohne die Grundrechte der betroffenen Personen zu erwähnen (vgl. bspw. auch Art. 5 lit. g DSG: Profiling mit hohem Risiko; Art. 22 Abs. 1 u. 2 DSG: Datenschutz-Folgenabschätzung; Art. 24 Abs. 1 DSG: Meldung von Verletzungen der Datensicherheit). Die fehlende Erwähnung der Grundrechte der betroffenen Personen dürfte mit Blick auf die sonstige Erwähnung im DSG ein gesetzgeberisches Versehen darstellen.

18 Die Bearbeitung von Daten mit einem hohen Risiko für die Persönlichkeit der betroffenen Personen dürfte in der Praxis selten sein. So ergeben Datenschutz-Folgenabschätzungen nur selten ein hohes Risiko bzw. wird ein solches Risiko mit geeigneten Massnahmen beseitigt.

III. Funktion der Datenschutz-Vertretung (Abs. 2)

19 Die Datenschutz-Vertretung dient als Anlaufstelle für betroffene Personen und den EDÖB. Betroffene Personen und der EDÖB können sich an die Vertretung wenden, müssen aber nicht. Die Vertretung gilt rechtlich als zustellungsbevollmächtigt.

20 Die Vertretung ist damit eine alternative Anlaufstelle für betroffene Personen und den EDÖB als besondere Behörde in Ergänzung zur oder zum Verantwortlichen. Wenn die oder der Verantwortliche eine Datenschutzberaterin oder einen Datenschutzberater ernannt hat, bestehen insgesamt drei verschiedene alternative Anlaufstellen (Art. 10 Abs. 1 u. 2 DSG).

21 Die Datenschutzberaterin oder der Datenschutzberater einer Verantwortlichen oder eines Verantwortlichen kann nicht gleichzeitig als Datenschutz-Vertretung der oder des gleichen Verantwortlichen tätig sein. Die Tätigkeit als Vertretung wäre mit der Unabhängigkeit der Datenschutzberaterin oder des Datenschutzberaters nicht zu vereinbaren (Art. 10 Abs. 3 lit. a u. b DSG).

22 Für betroffene Personen hat die Vertretung als Anlaufstelle insbesondere den Vorteil, dass sie mit datenschutzrechtlichen Anliegen direkt in der Schweiz an den Verantwortlichen gelangen können, insbesondere im Rahmen ihrer Rechte gemäss Art. 25 ff. DSG. Bei Verantwortlichen ohne Vertretung in der Schweiz müssen betroffene Personen beispielsweise mit Auskunftsbegehren an die jeweiligen Verantwortlichen oder deren Datenschutzberater an deren Sitz oder Wohnsitz im Ausland gelangen.

23 Für den EDÖB hat die Vertretung als Anlaufstelle insbesondere den Vorteil, nicht auf dem Weg der internationalen Rechtshilfe an Verantwortliche im Ausland gelangen zu müssen.

24 Das Gesetz bestimmt nicht, in welchen Sprachen betroffene Personen an die Vertretung gelangen können. Bei einer angebotsbezogenen Vertretung sollten betroffene Personen mindestens in der Angebotssprache oder in einer der Angebotssprachen an die Vertretung gelangen können. Die Beschränkung auf Landessprachen erscheint nicht zielführend.

Der EDÖB sollte in einer der vier schweizerischen Amtssprachen an die Vertretung gelangen können (Art. 33a VwVG analog).

IV. Freiwillige Bezeichnung einer Datenschutz-Vertretung

25 Die oder der Verantwortliche kann auch ohne Pflicht gemäss Art. 14 Abs. 1 DSG eine Datenschutz-Vertretung in der Schweiz bezeichnen. Die oder der Verantwortliche kann genauso die freiwillige und obligatorische Vertretung mit Aufgaben beauftragen, die über die Pflichten gemäss Art. 14 f. DSG hinausgehen.

V. Veröffentlichung von Name und Adresse (Abs. 3)

26 Die oder der Verantwortliche muss Name und Adresse ihrer oder seiner Datenschutz-Vertretung veröffentlichen. Bei einer juristischen Person als Vertretung entspricht die Firma dem Namen. Die Veröffentlichung einer E-Mail-Adresse oder Telefonnummer ist nicht ausdrücklich vorgeschrieben. Bei der Veröffentlichung im digitalen Raum ist aber naheliegend, eine digitale Kontaktmöglichkeit wie insbesondere eine E-Mail-Adresse anzubieten. Art. 13 Abs. 1 lit. a DSGVO verlangt im Vergleich nicht bloss die «Adresse», sondern die «Kontaktdaten».

27 Um ihre Funktion als Anlaufstelle (Art. 14 Abs. 2 DSG) erfüllen zu können, müssen Name und Adresse der Vertretung leicht auffindbar und zugänglich veröffentlicht werden. Naheliegend ist die Veröffentlichung der Angaben als Teil der allgemeinen Datenschutzerklärung auf der Website der oder des Verantwortlichen, allenfalls auch im Impressum.

28 Im Gegensatz zur Informationspflicht gemäss Art. 13 f. DSGVO fallen Name und Adresse der Vertretung in der Schweiz nicht unter die Informationspflicht gemäss Art. 19 f. DSG.

29 Für die Vertretung besteht keine Meldepflicht an den EDÖB, anders als bei der Datenschutzberaterin oder dem Datenschutzberater (Art. 10 Abs. 3 lit. d DSG). Ob eine Verantwortliche oder ein Verantwortlicher eine Vertretung bezeichnet hat, muss der EDÖB den veröffentlichten Angaben entnehmen oder direkt bei der oder dem Verantwortlichen nachfragen.

Literaturverzeichnis

Husi-Stämpfli Sandra, Kommentierung zu Art. 14 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023 (zit. SHK-Husi-Stämpfli, Art. 14 DSG).

Husi-Stämpfli Sandra, Kommentierung zu Art. 15 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023 (zit. SHK-Husi-Stämpfli, Art. 15 DSG).

Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter vom 16.11.2020 (zit. Rosenthal, Jusletter).

Lang Markus, Kommentierung zu Art. 27 DSGVO, in: Taeger Jürgen/Gabel Detlev, DSGVO – BDSG – TTDSG, 4. Aufl., Bremen 2022 (zit. Lang, Art. 27 DSGVO).