Ab 01.09.2023 müssen Unternehmen ausserhalb der Schweiz, welche Personendaten von Personen in der Schweiz bearbeiten unter gewissen Voraussetzungen eine Datenschutz-Vertretung in der Schweiz bezeichnen (Art. 14 nDSG).
Eine Pflicht zur Bezeichnung einer Datenschutz-Vertretung in der Schweiz besteht nicht für jede Bearbeitung von Personendaten.
Wer muss eine Datenschutzvertretung bezeichnen?
Betroffen sind nur Unternehmen, welche in der Schweiz Waren oder Dienstleistungen anbieten oder das Verhalten von Personen in der Schweiz beobachten. Damit eine Pflicht zur Bezeichnung einer Datenschutz-Vertretung besteht, müssen zusätzliche Voraussetzungen erfüllt sein:
- Die Datenbearbeitung ist umfangreich.
- Die Datenbearbeitung erfolgt regelmässig.
- Die Datenbearbeitung bringt ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich.
Ein hohes Risiko kann sich insbesondere bei Verwendung neuer Technologien aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Ein hohes Risiko liegt dann vor, wenn ein Profiling mit hohem Risiko oder umfangreiche Bearbeitungen besonders schützenswerter Personendaten geplant sind (vgl. Art. 22 Abs. 2 nDSG).
Der Eidgenössische Datenschutzbeauftragte (EDÖB) kann anordnen, dass ein Unternehmen mit Sitz im Ausland in der Schweiz einen Datenschutz-Vertreter bezeichnet (Art. 51 Abs. 4 nDSG).
Aufgaben der Vertretung
Die Datenschutz-Vertretung hat folgende Aufgaben:
- Führung eines Verzeichnisses der Bearbeitungstätigkeiten des ausländischen Unternehmens mit minimalen Angaben nach Art. 12 Abs. 2 nDSG
- Kontaktstelle für den EDÖB
- Kontaktstelle für betroffene Personen
Die Datenschutz-Vertretung ist darauf angewiesen, dass das Unternehmen mit Sitz ausserhalb der Schweiz das Verzeichnis der Bearbeitungstätigkeiten korrekt führt und ihr zur Verfügung stellt.
Leistungen