Zur fehlenden Durchsetzung deutscher Datenschutzinteressen gegenüber Unternehmen in der Schweiz
Der europäische Datenschutzanspruch ist hoch. Mit der Datenschutz-Grundverordnung hat die Europäische Union ein Regelwerk geschaffen, das bewusst über nationale Grenzen hinauswirkt.
Auch Unternehmen außerhalb der EU sollen sich an die DSGVO halten müssen, wenn sie ihre Angebote auf Personen in der Union ausrichten oder deren Verhalten beobachten. Auf dem Papier ist dieser Anspruch eindeutig. In der Praxis zeigt sich jedoch ein erhebliches Durchsetzungsdefizit, insbesondere im Verhältnis zur Schweiz.
Gerade in Beschwerdeverfahren gegen schweizerische Unternehmen wird deutlich, wie schnell der europäische Datenschutz an praktische Grenzen stößt. Deutsche Aufsichtsbehörden erkennen zwar regelmäßig an, dass die DSGVO dem Grunde nach anwendbar ist. Gleichzeitig erklären sie aber, dass effektive Vollzugsmöglichkeiten fehlen, sobald der Verantwortliche weder Vermögenswerte noch eine operative Präsenz in der EU hat.
Das Ergebnis ist paradox: Die Rechtsverletzung wird nicht ernsthaft bestritten, die Konsequenzen bleiben jedoch aus.
Besonders problematisch ist dabei der Umgang mit dem Instrument des EU-Vertreters.
Die DSGVO hat diese Figur nicht zufällig eingeführt.
Der EU-Vertreter soll gerade in Drittstaatenkonstellationen ein verlässlicher Anknüpfungspunkt für Aufsichtsbehörden und betroffene Personen sein.
Er soll Kommunikation ermöglichen, Verfahren strukturieren und sicherstellen, dass Verantwortliche außerhalb der EU nicht schlicht „unerreichbar“ sind. In der behördlichen Praxis wird dieses Instrument jedoch häufig als faktisch wirkungslos behandelt. Bleibt der EU-Vertreter untätig oder reagiert nicht, wird dies nicht als eigener aufsichtsrechtlich relevanter Umstand gewertet, sondern als weiteres Argument dafür genutzt, das Verfahren einzustellen.
Damit verschiebt sich der Fokus vom rechtlich Gebotenen zum praktisch Bequemen.
Statt die vorhandenen Befugnisse konsequent auszuschöpfen, etwa durch förmliche Maßnahmen, dokumentierte Abhilfeschritte oder koordinierte Verfahren mit den Aufsichtsbehörden im Sitzstaat des EU-Vertreters, wird der Fall als strukturell aussichtslos eingestuft. Der Verweis auf fehlende Vollstreckungsmöglichkeiten ersetzt dann die inhaltliche Auseinandersetzung mit dem Datenschutzverstoß selbst. Für Betroffene entsteht der Eindruck, dass Nichtkooperation belohnt wird und Schweigen eine wirksame Strategie zur Vermeidung von Konsequenzen ist.
Hinzu kommt eine problematische Verlagerung der Verantwortung.
Deutsche Behörden verweisen in solchen Fällen häufig auf die schweizerische Datenschutzaufsicht. Diese prüft jedoch ausschließlich die Einhaltung des schweizerischen Datenschutzrechts, nicht die DSGVO. Der Betroffene wird damit faktisch zwischen zwei Rechtsordnungen hin und her geschoben, ohne dass sich eine Stelle tatsächlich für die Durchsetzung des unionsrechtlichen Anspruchs zuständig fühlt. Der europäische Datenschutzanspruch verkommt so zu einer theoretischen Größe, die im grenzüberschreitenden Alltag kaum Wirkung entfaltet.
Besonders deutlich wird dieses Defizit bei der Unterscheidung zwischen behördlicher und privatrechtlicher Durchsetzung.
Während zivilrechtliche Ansprüche gegen schweizerische Unternehmen grundsätzlich auch grenzüberschreitend verfolgt und vollstreckt werden können, erklären Aufsichtsbehörden die eigene Handlungsfähigkeit für weitgehend erschöpft. Datenschutz wird damit stillschweigend privatisiert: Wer sein Recht durchsetzen will, soll klagen, während die staatliche Aufsicht sich auf formale Verfahrensabschlüsse beschränkt.
Das steht im Spannungsverhältnis zum Selbstverständnis der DSGVO als öffentlich-rechtliches Schutzinstrument mit klaren Aufsichts- und Sanktionsmechanismen.
In der Gesamtbetrachtung zeigt sich ein strukturelles Problem.
Deutsche Datenschutzinteressen werden gegenüber schweizerischen Unternehmen nicht deshalb unzureichend durchgesetzt, weil es keine rechtlichen Grundlagen gäbe, sondern weil der Vollzug als zu aufwendig, zu konfliktträchtig oder zu wenig erfolgversprechend eingeschätzt wird. Diese Haltung schwächt nicht nur den Schutz der Betroffenen, sondern untergräbt auch die Glaubwürdigkeit des europäischen Datenschutzsystems insgesamt. Ein Recht, das bei grenzüberschreitenden Konstellationen faktisch nicht durchgesetzt wird, verliert seine präventive Wirkung.
Datenschutz endet nicht an der Grenze, zumindest nicht nach dem Anspruch der DSGVO.
In der Praxis tut er es aber oft.
Solange Aufsichtsbehörden strukturelle Vollzugsschwächen offen einräumen, ohne diese systematisch zu adressieren, bleibt der europäische Datenschutz gegenüber Drittstaaten wie der Schweiz lückenhaft.
Für Unternehmen ist das ein Signal der Entwarnung, für Betroffene ein Signal der Ohnmacht.
Und genau darin liegt das eigentliche Problem.
Dr. Stefan Spörrer