Onlinehandel in der Schweiz: Schweizerisches Datenschutzrecht

Die Schweiz ist als Nachbarland für deutsche Onlinehändler ein beliebter Markt, da die Mehrheit der Schweizer die deutsche Sprache benutzen und die Schweizer Bürger mit die höchste Kaufkraft in Europa haben. Die Schweiz ist allerdings kein EU-Mitgliedsstaat, sondern hat nur viele EU-Regeln teilweise analog übernommen. Das gilt auch für den Onlinehandel in der Schweiz geltende Datenschutzrecht.

In der Europäischen Union ist es auf Grund der einschlägigen Richtlinien einfach. Der deutsche Onlinehändler mit ausschließlichem Sitz in Deutschland kann im innergemeinschaftlichen Handel seine vertraute Datenschutzerklärung und sein Impressum benutzen. Hat er eine Niederlassung in dem EU-Staat, in dem er Onlinehandel betreibt, so muss er das Datenschutzrecht dieses EU-Staates beachten. Im Folgenden soll untersucht werden, welche datenschutzrechtlichen Regeln der deutsche Onlinehändler beim Onlinehandel in der Schweiz zu beachten hat. Dabei soll unterschieden werden, ob der deutsche Onlinehändler seine Onlinegeschäfte in der Schweiz über eine dortige Niederlassung abwickelt oder nicht.

I. Deutscher Onlinehändler hat eine Niederlassung in der Schweiz

Der deutsche Onlinehändler mit einer Niederlassung in der Schweiz muss grundsätzlich das schweizerische Datenschutzrecht beachten. Einschlägig ist das schweizerische Datenschutzgesetz (DSG) vom 19. Juni 1992. Die schweizerischen datenschutzrechtlichen Vorgaben sind allerdings weniger streng als z.B. in Deutschland ausgeprägt. Hält sich der deutsche Onlinehändler mit Niederlassung in der Schweiz an die deutschen datenschutzrechtlichen Vorgaben, so hat er damit in der Regel auch den schweizerischen Standard erfüllt.

Für die Praxis wichtig ist allerdings die Frage, ob der deutsche Onlinehändler die Sammlung der Kundendaten beim schweizerischen Beauftragten für den Datenschutz registrieren lassen muss.

Grundsätzlich müssen Datensammlungen über private (Schweizer) Personen beim Beauftragten angemeldet werden (Art. 11 a, Abs. 3 DSG). Das Schweizer Datenschutzgesetz kennt allerdings eine Reihe von Ausnahmen, bei denen die Anmeldepflicht nicht gilt. Gemäß Art. 4, Absatz 1 Buchstabe a der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) sind Datensammlungen von Lieferanten oder Kunden von der Pflicht zur Anmeldung ausgenommen.

Art. 4 VDSG
Ausnahmen von der Anmeldepflicht
1 Ausgenommen von der Pflicht zur Anmeldung der Datensammlungen sind die Datensammlungen nach Artikel 11a Absatz 5 Buchstaben a und c–f DSG sowie die folgenden Datensammlungen (Art. 11a Abs. 5 Bst. b DSG):
a. Datensammlungen von Lieferanten oder Kunden, soweit sie keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile enthalten;
b. Datensammlungen, deren Daten ausschließlich zu nicht personenbezogenen wecken verwendet werden, namentlich in der Forschung, der Planung und der Statistik;
c. archivierte Datensammlungen, die nur zu historischen oder wissenschaftlichen Zwecken aufbewahrt werden;
d. Datensammlungen, die ausschliesslich Daten enthalten, die veröffentlicht wurden oder welche die betroffene Person selbst allgemein zugänglich gemacht und deren Bearbeitung sie nicht ausdrücklich untersagt hat;
e. Daten, die ausschliesslich der Erfüllung der Anforderungen nach Artikel 10 dienen;

Art. 4 VDSG ist allerdings mehrdeutig, da dort nicht genau definiert wird, was eine Datensammlung von Lieferanten oder Kunden ist. Eine mündliche Anfrage beim Amt des schweizerischen Datenschutzbeauftragten ergab, dass nur solche erhobenen Daten nicht registrierungspflichtig sind, die für die Abwicklung des Bestellvorgangs unabdingbar sind (Das Mitteilungsblatt des schweizerischen Datenschutzbeauftragten spricht von Daten, die z.B. im Rahmen der Vertragserfüllung für die Geschäftskorrespondenz verwendet werden). Werden darüber hinaus Daten erhoben (zum Beispiel für Marketingzwecke), so kann die Datensammlung registrierungspflichtig werden. In der Praxis sollte daher der deutsche Onlinehändler mit Niederlassung in der Schweiz eine Sammlung nur zu den Daten von Schweizer Kunden anlegen, die unbedingt notwendig für die Bestellung der Ware und die Abwicklung der Lieferung sind.

II. Deutscher Onlinehändler hat keine Niederlassung in der Schweiz

Grundsätzlich gilt auch für den deutschen Onlinehändler, der seine Geschäfte ohne Niederlassung in der Schweiz betreibt, das schweizerische Datenschutzrecht. Es soll ja der Schweizer Verbraucher geschützt werden. Art. 6 DSG stipuliert allerdings das sogenannte Gleichwertigkeitsprinzip. Der Transfer von Personendaten ins Ausland ist dann erlaubt, wenn im Empfängerstaat (hier also Deutschland) ein gleichwertiger Datenschutz wie in der Schweiz gegeben ist. Der schweizerische Datenschutzbeauftragte führt eine Liste der Staaten mit gleichwertigem Datenschutz. Hierzu gehören die Staaten, die das Übereinkommen des Europarats vom 28. Januar 1981 zum Schutz des Menschen bei einer automatischen Verarbeitung personenbezogener Daten ratifiziert haben. Deutschland hatte dieses Übereinkommen am 19. Juni 1985 ratifiziert. Wie das Amt des schweizerischen Datenschutzbeauftragten auf mündliche Anfrage bestätigte, folgt aus diesem Gleichwertigkeitsprinzip des Art. 6 DSG, dass der deutsche Onlinehändler ohne Niederlassung in der Schweiz das ihm vertraute deutsche Datenschutzrecht anwenden kann. Er sollte allerdings in seiner Datenschutzerklärung ausdrücklich Daten von juristischen Personen Personendaten als geschützte Daten gleichstellen.

III. Ausblick

In der Schweiz ist daran gedacht, das Datenschutzrecht umfänglich zu novellieren und die Registrierungspflicht beim Datenschutzbeauftragten durch ein Datenschutzaudit und den Erwerb eines Datenschutzgütesiegels im Wege der Selbstregulierung zu ersetzen. Zu offensichtlich sind die Schwächen des schweizerischen Datenschutzgesetzes. Wie die Schweizer Zeitung „Wochenspiegel“ in einem kürzlichen Beitrag ausführt, umfasst das schweizerische Register der angemeldeten Datensammlungen keine 2000 Einträge und dies bei etwa 300.000 Unternehmen in der Schweiz. Bei Nichtanmeldung von registrierungspflichtigen Datensammlungen sind keine Sanktionen vorgesehen. Es bleibt abzuwarten, ob und inwieweit das geplante Zertifizierungsverfahren deutsche Onlinehändler betrifft, die Geschäfte in der Schweiz tätigen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.