Die Rechtsnatur pseudonymisierter Bankkundendaten ist lange unklar geblieben. Nach jüngster Rechtsprechung sind solche Daten prinzipiell aus Sicht des Empfängers weder vom DSG noch vom Bankgeheimnis geschützt, sofern die Pseudonymisierung die Wiedererkennung der betroffenen Kunden wirksam verhindert. Angesichts der einschlägigen Rechtsprechung sind jedoch bestimmte Vorsichtsmassnahmen (namentlich eine gründliche Risikobewertung) vor der Weitergabe pseudonymisierter Bankkundendaten empfehlenswert.

Die Bestimmungen der DSGVO sind für schweizerische Unternehmen relevant. Dies gilt insbesondere dann, wenn ein schweizerisches Unternehmen Personendaten im Auftrag eines Datenverantwortlichen in der EU bearbeitet, wenn ein schweizerisches Unternehmen sich mit einem Onlineshop spezifisch an EU-Bürger richtet oder auf einer Webseite die Internetaktivitäten von EU-Bürgern beobachtet. Nicht nur die DSGVO wirkt sich extraterritorial aus. Auch ohne explizite gesetzliche Regelung kann bereits das geltende schweizerische Datenschutzrecht auf internationale Verhältnisse Anwendung finden. Daran wird sich mit der Revision des schweizerischen Datenschutzgesetzes nichts ändern. Die Anwendbarkeit des schweizerischen Datenschutzgesetzes auf ausländische Unternehmen bzw. die Anwendbarkeit der DSGVO auf schweizerische Unternehmen ist das eine. In der Praxis schwieriger ist die Vollstreckung von datenschutzrechtlichen Massnahmen und Sanktionen im internationalen Verhältnis.

Es ist nicht abschliessend geklärt, ob die DSGVO auf schweizerische Unternehmen anwendbar ist, wenn und weil diese als Auftragsverarbeiter eines Verantwortlichen mit Niederlassung in der EU tätig sind oder umgekehrt Daten durch einen EU-Auftragsverarbeiter verarbeiten lassen. Nach hier vertretener Auffassung ist dies nicht der Fall; in solchen Konstellationen untersteht nur das Unternehmen in der EU der DSGVO.

Gesichtserkennung könnte dem stationären Handel ermöglichen, datentechnisch zum Online-Handel aufzuschliessen. Sie funktioniert offline so, wie es ein Cookie online tut: Ein Kunde kann wiedererkannt werden, ohne dass er etwas dafür tun muss – oder nur schon etwas davon mitbekommt. Das ist einem Grossteil der Bevölkerung nicht geheuer: Für zwei Drittel der Kunden wäre Gesichtserkennung ein Grund, das betreffende Geschäft zu meiden. Diese fehlende gesellschaftliche Akzeptanz ist einer der Gründe, weshalb Gesichtserkennung hierzulande im Detailhandel noch kaum eingesetzt wird. Ein anderer sind hohe datenrechtliche Anforderungen. Die Mehrzahl der Anwendungen von Gesichtserkennung setzt eine Einwilligung voraus und muss somit als Opt-in-Modell ausgestaltet werden – jedenfalls wenn die DSGVO zugrunde gelegt wird. Das führt zur Prognose, dass anonymes Einkaufen noch lange möglich sein wird.