Gilt EU-Datenschutz für CH-Baugenossenschaften?

Ende Mai 2018 versandten viele Internetdienste Mails mit dem Hinweis, dass sie ihre Nutzungsbedingungen aktualisieren würden und die Nutzer ihre Zustimmung zu den neuen Nutzungsbedingungen erteilen müssten. Aufgrund der zahlreichen E-Mails wie auch der medialen Resonanz prägte diese Neuerung die rechtliche Diskussion wie kaum eine andere Regulierung in diesem Jahr. Unter anderem beschäftigte die Frage nach der Anwendbarkeit dieser Verordnung auch zahlreiche Wohnbaugenossenschaften, zumal diese auch Daten von EU-Bürgern sammeln beziehungsweise verarbeiten und zum Teil auch Wohnungen im EU-Raum ausschreiben.

Nutzer gestärkt
Die EU-Verordnung 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutz-Grundverordnung oder DSGVO¹) trat am 25. Mai 2018 in Kraft. Seit diesem Zeitpunkt ist die DSGVO für alle Marktteilnehmer, die auf dem Gebiet der Europäischen Union tätig sind, unmittelbar anwendbar. Die Verordnung enthält diverse Rechte, die dem Schweizer Recht fremd sind, unter anderem müssen sich nun Firmen von den Nutzern in der EU bestätigen lassen, dass diese mit dem Sammeln der Daten einverstanden sind. Wenn die Daten nicht mehr benötigt werden, müssen diese auf Wunsch der Betroffenen gelöscht werden² beziehungsweise hat die betroffene Person in bestimmten gesetzlich vorgesehenen Fällen das Recht, vom Verantwortlichen die Einschränkung der Bearbeitung ihrer Daten zu verlangen.³ Zudem muss ein Vertreter in der EU benannt⁴ und ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden.⁵ Ein Verstoss gegen die Verordnung kann hohe Bussen nach sich ziehen.⁶

Anwendbarkeit der DSGVO
Bekanntlich ist die Schweiz nicht EU-Mitglied. Die neuen Bestimmungen der DSGVO wirken sich deshalb nur sehr beschränkt auf Unternehmen mit Sitz in der Schweiz aus. Einschlägig könnte aber Art. 3 Abs. 2 Bst. a) DSGVO sein, wonach die Verordnung anwendbar ist, wenn Waren oder Dienstleistungen in der EU angeboten werden. Art. 3 Abs. 2 Bst. a) DSGVO betrifft grundsätzlich Angebote, die auf natürliche Personen in der EU ausgerichtet sind (Beispiel: Ein schweizerisches Unternehmen bietet Waren oder Dienstleistungen bewusst auch in Deutschland an), womit auch Personendaten von Kunden in der EU erfasst und gespeichert werden.

Marktortprinzip
Für die Frage, ob ein «Angebot» im Sinne der Verordnung vorliegt, ist entscheidend, ob eine Baugenossenschaft beabsichtigt, Bewohnern von EU-Mitgliedstaaten Wohnungen oder Zimmer konkret anzubieten (sogenanntes Marktortprinzip). Die blosse Zugänglichkeit beziehungsweise Abrufbarkeit einer Website in der EU genügt hierfür ausdrücklich nicht.⁷ Die folgenden Gesichtspunkte, deren Aufzählung nicht abschliessend ist, sind geeignet, Anhaltspunkte zu bilden, welche die Feststellung erlauben, dass Dienstleistungen oder Waren in der EU angeboten werden und die DSGVO zur Anwendung kommt:⁸

• der internationale Charakter der Tätigkeit
• die Verwendung einer anderen Sprache oder Währung als der im Staat
• des Gewerbetreibenden üblicherweise verwendeten Sprache oder Währung
• die Angabe von Telefonnummern mit internationaler Vorwahl
• Ausgaben für einen Internetsuchdienst (etwa Google), um in EU-Mitgliedstaaten wohnhaften Verbrauchern den Zugang zur Website zu
• erleichtern
• die Verwendung eines anderen Domänennamens oberster Stufe als des­jenigen des Staats der Nieder­lassung

Kaum Sanktionen
Die DSGVO ist mangels Angebot von Wohnungen im EU-Raum grundsätzlich auf schweizerische Wohnbaugenossenschaften nicht anwendbar. Ausnahmen sind aber denkbar, zum Beispiel wenn Genossenschaften bewusst Gästezimmer über in der EU ansässige Plattformen anbieten. Dann käme aufgrund der Angebote, die sich konkret an den EU-Raum richten, theoretisch die DSGVO zur Anwendung. In einem solchen Fall ist es zunächst empfehlenswert, die in einem EU-Land aufgeschalteten Inserate zu entfernen.
Selbst wenn die Anwendbarkeit der DSGVO in solchen Fällen zu bejahen wäre, ist zu beachten, dass Verfügungen von ausländischen Datenschutzbehörden gegen schweizerische Unternehmen sich mangels entsprechender internationaler Abkommen nicht in der Schweiz auswirken beziehungsweise vollstreckt werden können. Sanktionen wegen allfälliger Verstösse sind deshalb sehr unwahrscheinlich.