Wichtiges in Kürze:
Am 1. September 2023 ist das neue Schweizer Bundesgesetz über den Datenschutz (nDSG) zusammen mit seinen begleitenden Vorschriften offiziell in Kraft getreten. Mit dem totalrevidierten DSG und die Ausführungsbestimmungen, insbesondere in der frisch verabschiedeten Datenschutzverordnung (DSV), hat die Schweiz nun ein vergleichbares Datenschutzniveau wie die Europäische Union erreicht hat.
Trotzdem gibt es auch Besonderheiten, auf welche wir hier genauer eingehen möchten.
Wen betrifft das Schweizer Datenschutzgesetz?
In Bezug auf den Geltungsbereich weisen das DSG und die DSGVO wichtige Gemeinsamkeiten auf. Das DSG findet Anwendung auf Datenschutzfälle, die "sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden".
Dieses Prinzip wird als Marktortprinzip bezeichnet und ist vergleichbar mit den Bestimmungen der DSGVO. Es kommt nicht darauf an, wo die Datenverarbeitung stattfindet, sondern ob sie sich auf die Schweiz ausrichtet. Daher ist dieses Gesetz auch für Unternehmen in der EU relevant, die Daten von Personen aus der Schweiz verarbeiten.
Der sachliche Anwendungsbereich umfasst alle Arten von (automatisierten und manuellen) Datenverarbeitungen. Die DSGVO gilt bei manuellen Datenverarbeitungen nur für Dateisysteme. Dies schließt auch handschriftliche Notizen mit personenbezogenen Daten ein, was ebenfalls im DSG der Schweiz gilt.
Daten juristischer Personen fallen nicht unter den Anwendungsbereich des Gesetzes. Dies war noch beim alten DSG der Fall. Durch das neue DSG werden daher wie bei der DSGVO nur noch natürliche Personen geschützt.
Wie unterscheidet sich nDSG und DSGVO?
Im Vergleich zur DSGVO ist das Schweizer DSG weniger detailliert und streng. Es besteht keine Verpflichtung zur Angabe genauer rechtlicher Grundlagen für die Datenverarbeitung und die möglichen Strafen sind geringer. Ein wesentlicher Unterschied liegt im Regelungsprinzip: Während in der EU grundsätzlich eine Verbotsregelung für die Verarbeitung personenbezogener Daten gilt, ist diese unter bestimmten Bedingungen in der Schweiz erlaubt.
Die folgende Übersicht zeigt die Unterschiede des nDSG und entsprechenden Handlungsbedarf:
Auftragsverarbeiter und Verantwortliche:
DSGVO
- Gem. der DSGVO ist ein Mindestinhalt der Beziehung zwischen einem für die Verarbeitung Verantwortlichen und einem Auftragsverarbeiter festgelegt,
- Verantwortlichkeiten müssen vertraglich vereinbart werden,
- Die Haftung des Auftragsverarbeiters ist beschränkt.
nDSG
- es werden weniger detaillierte inhaltliche Anforderungen gestellt, jedoch müssen Datenexporte erwähnt werden,
- es besteht keine vertragliche Verpflichtung,
- es können alle beteiligten Personen haftbar gemacht werden.
Datenexport:
DSGVO
- Es ist untersagt, personenbezogene Daten in Länder ohne angemessenen Datenschutz weiterzugeben. Um sicherzustellen, dass der Schutz angemessen ist, hat die Europäische Kommission eine Liste mit Ländern veröffentlicht, die einen sicheren Datenschutz gewährleisten.
- Sollte der Schutz nicht gegeben sein, müssen zusätzliche Maßnahmen ergriffen werden, wie Standardvertragsklauseln (SCC) und verbindliche Unternehmensregeln Binding Corporate Rules (BCR).
- Es gibt Ausnahmen bei Einwilligung des Betroffenen, Weitergabe der Daten zur Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung.
nDSG
- Das Konzept ist gleich: Der Bundesrat bestimmt die Länder mit einem angemessenen Datenschutz.
- Unter bestimmten Bedingungen können EU SCC verwendet werden. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat einige Anpassungen für die Schweiz festgelegt.
- Es gibt ähnliche Ausnahmen, auch wenn diese nicht vollständig mit denjenigen der DSGVO übereinstimmen.
Benachrichtigungen von Datenschutzverletzungen:
DSGVO
- Innerhalb eines Zeitraums von 72 Stunden müssen Datenschutzverletzungen, die Risiken für betroffenen Personen darstellen gemeldet werden.
- Besteht ein hohes Risiko für die Beeinträchtigung der Persönlichkeit, muss diese darüber informiert werden.
nDSG
- Der EDÖB muss vom Verantwortlichen nur dann informiert werden, wenn ein hohes Risiko besteht.
- Es gibt keine festgelegte 72-Stunden-Frist (stattdessen: So bald wie möglich).
- Eine Benachrichtigung ist nur erforderlich, wenn zum Schutz der betroffenen Person erforderlich.
Berufsgeheimnis:
DSGVO
- Die Mitgliedstaaten der EU haben die Möglichkeit besondere Vorschriften zu erlassen
nDSG
- Kleines Berufsgeheimnis
- Bei vorsätzlicher Verletzung können Bußgelder von bis zu CHF 250 000 für die verantwortlichen Personen verhängt werden.
Sanktionen und Vollstreckungen:
DSGVO
Die Aufsichtsbehörden können folgende Maßnahmen ergreifen:
- Sie können Untersuchungen über Verarbeitungstätigkeiten durchführen,
- Sie sind berechtigt, Verarbeitungstätigkeiten einstellen oder einschränken,
- Sie können Geldbußen von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes verhängen. Unter bestimmten Umständen können zusätzlich Geldbußen gem. den lokalen Gesetzen gegen ein Unternehmen verhängt werden.
nDSG
Der EDÖB hat die Befugnis folgende Maßnahmen zu ergreifen:
- Sie können Untersuchungen über Verarbeitungstätigkeiten durchführen,
- Sie sind berechtigt, Verarbeitungstätigkeiten einstellen oder einschränkes,
- Bei einer Reihe von Verstößen gegen die nDSG oder bei mangelnder Zusammenarbeit mit dem EDÖB können die verantwortlichen Personen strafrechtliche Geldbußen von bis zu CHF 250'000 erhalten, sofern sie vorsätzlich gehandelt haben.
Müssen Unternehmen in der Schweiz einen Datenschutzbeauftragten ernennen?
Die Bestellung eines Datenschutzbeauftragten (DSB) oder Datenschutzberater ist in der Schweiz, mit Ausnahme von Bundesorganen, immer freiwillig. Im Gegensatz zu den strengeren EU-Anforderungen gibt es hier keine Verpflichtung dazu. Dennoch kann die Beauftragung für schweizerische Unternehmen von großem Nutzen sein:
- Expertise und Fachwissen: Ein externer DSB bringt spezifisches Fachwissen und Erfahrung mit sich, was bei der Einhaltung der Datenschutzbestimmungen von Vorteil ist.
- Mobilität: Da ein externer DSB nicht direkt im Unternehmen angestellt ist, agiert er unvoreingenommen und objektiv ohne interne Interessenkonflikte.
- Ökonomische Aspekte: Die Beauftragung eines externen DSB ist oftmals kostengünstiger als die Ausbildung und das Gehalt eines internen Mitarbeiters für diese Position.
- Flexibilität: Ein externe DSB kann flexibel auf die individuellen Bedürfnisse und Anforderungen des Unternehmens reagieren sowie maßgeschneiderte Lösungen anbieten.
Was sind die Aufgaben des externen DSB in der Schweiz?
Die Hauptaufgabe des externen Datenschutzbeauftragten besteht darin, sicherzustellen, dass das Unternehmen die Vorschriften zum Datenschutz einhält. Er fungiert als Berater und unterstützt bei Fragen rund um den Datenschutz. Darüber hinaus überprüft er die Prozesse zur Datenverarbeitung und gewährleistet die Einhaltung der datenschutzrechtlichen Richtlinien. Zudem agiert er als Ansprechpartner für sowohl die Aufsichtsbehörde als auch betroffene Personen. Zu seinen vorrangigen Verantwortlichkeiten gehören:
- Überwachung der Compliance. Der externe Datenschutzbeauftragte kontrolliert, ob das Unternehmen alle geltenden Gesetze und Vorschriften zum Schutz personenbezogener Daten einhält.
- Der Datenschutzbeauftragte steht dem Unternehmen beratend zur Seite in Bezug auf datenschutzrelevante Fragen, schult Mitarbeiter zu diesem Thema sowie unterstützt bei der Umsetzung von Maßnahmen zum Schutz personenbezogener Daten.
- Als Kontaktperson ist ein externer Datenschutzbeauftragter Schnittstelle zwischen dem Unternehmen und den zuständigen Aufsichtsbehörden im Falle von Datenschutzverletzungen oder bei Anfragen bezüglich des Umgangs mit personenbezogenen Daten.
Anpassung von Datenschutzmaßnahmen an das Schweizer Datenschutzgesetz
Unternehmen, die bereits die DSGVO umgesetzt haben, müssen nur kleine Anpassungen vornehmen, um den Bestimmungen des SDSG zu entsprechen. Es ist erforderlich, ihre Datenschutzerklärung an schweizerische Begriffe anzupassen und gegebenenfalls ihre Richtlinien zu aktualisieren sowie eine Ansprechperson in der Schweiz zu benennen.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat hierbei die oberste Aufsichtsfunktion. Bei diesen Prozessen kann ein externer Datenschutzbeauftragter für die Schweiz unterstützend tätig sein.
Vertreter
Wenn ein Verantwortlicher mit Sitz im Ausland personenbezogene Daten von Personen in der Schweiz verarbeitet und dies im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens dieser Personen steht, muss eine Vertretung in der Schweiz benannt werden (Art. 14 DSG). Ebenso ist es erforderlich, eine Vertretung zu benennen, wenn die Datenverarbeitung umfangreich oder regelmäßig in der Schweiz erfolgt oder ein hohes Risiko für die Persönlichkeit der betroffenen Personen besteht.
Gemäß der DSGVO ist auch ein schweizerisches Unternehmen dazu verpflichtet, einen Vertreter in der EU zu benennen, wenn das Unternehmen Daten von Personen verarbeitet, die sich in Europa befinden und entweder Waren oder Dienstleistungen angeboten bekommen oder deren Verhalten beobachtet wird.
Die Grundsätze der Datenverarbeitung in der Schweiz
Die Prinzipien, die in Artikel 6 des Schweizer Datenschutzgesetzes (DSG) genannt werden, sind vergleichbar mit denen des Artikels 5 der Datenschutz-Grundverordnung (DSGVO). Das DSG nennt die Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Zweckbindung, Speicherbegrenzung und Richtigkeit und folgt einem risikobasierten Ansatz wie die DSGVO.
Gemäß Artikel 6 DSG müssen personenbezogene Daten rechtmäßig verarbeitet werden. Im Gegensatz zur DSGVO ist im DSG grundsätzlich jede Datenverarbeitung erlaubt und bedarf keiner Erlaubnis oder Einwilligung. Jedoch legt das Schweizer Datenschutzgesetz strenge Anforderungen an die Verarbeitung personenbezogener Daten fest. Insbesondere darf keine widerrechtliche Persönlichkeitsverletzung durch die Datenverarbeitung erfolgen (Artikel 30 DSG). Eine Persönlichkeitsverletzung tritt beispielsweise auf, wenn gegen datenschutzrechtliche Grundprinzipien wie Zweckbindung, Speicherbegrenzung, Datensicherheit oder Richtigkeit verstoßen wird. Eine Persönlichkeitsverletzung ist dann unrechtmäßig, wenn sie nicht durch Einwilligung der betroffenen Person legitimiert ist oder ein überwiegendes privates oder öffentliches Interesse besteht bzw. diese gesetzlich gerechtfertigt ist (Artikel 31 DSG). Durch diese Bestimmungen wird der offene Ansatz erheblich eingeschränkt und demjenigen ähnlicher gemacht, den die DSGVO bei jeder Verarbeitung personenbezogener Daten erfordert (Artikel 6 DSGVO). Es kann davon ausgegangen werden, dass eine rechtmäßige Datenverarbeitung gemäß der DSGVO auch die Kriterien des DSG erfüllen wird.
Das Verzeichnis von Verarbeitungstätigkeiten
Gemäß dem Datenschutzgesetz (DSG) müssen der Verantwortliche und der Auftragsbearbeiter ein "Verzeichnis der Bearbeitungstätigkeiten" erstellen (Art. 12 DSG). Dieses Verzeichnis ähnelt dem Verarbeitungsverzeichnis gemäß der Datenschutz-Grundverordnung (DSGVO). Das Bearbeitungsverzeichnis sollte mindestens folgende Informationen enthalten:
- Identität des Verantwortlichen
- Zweck der Bearbeitung
- Beschreibung von betroffenen Personenkategorien und bearbeiteten Personendatenkategorien
- Kategorien von Empfängern
- Falls möglich, Aufbewahrungsdauer für die personenbezogenen Daten oder Kriterien zur Festlegung dieser Dauer
- Falls möglich, allgemeine Beschreibung von Maßnahmen zur Gewährleistung der Datensicherheit (geeignete technische und organisatorische Maßnahmen zur Vermeidung von Sicherheitsverletzungen)
- Angabe des Landes sowie Garantien für einen angemessenen Datenschutz, falls die Daten ins Ausland übermittelt werden.
Unternehmen mit weniger als 250 Mitarbeitern und geringem Risiko für betroffene Personen sind von dieser Pflicht befreit.
Die Datenschutzfolgeabschätzung
Die Bestimmungen zur Datenschutz-Folgeabschätzung (DSFA) und zur Konsultation des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ähneln ebenso im Wesentlichen denen der Datenschutz-Grundverordnung (DSGVO).
Verantwortliche sind verpflichtet, eine DSFA durchzuführen, wenn die Datenverarbeitung ein erhebliches Risiko für die Persönlichkeitsrechte oder Grundfreiheiten einer Person darstellt. Ein solches hohes Risiko kann sich aus verschiedenen Faktoren wie Art, Umfang, Umständen und Zweck der Verarbeitung ergeben, insbesondere bei Einsatz neuer Technologien. Im Rahmen der DSFA müssen sowohl die geplante Datenverarbeitung als auch die damit verbundenen Risiken für die betroffenen Personen beschrieben werden. Zudem sind Maßnahmen zum Schutz dieser Rechte aufzuzeigen.
Falls trotz der vorgesehenen Schutzmaßnahmen ein hohes Restrisiko bei der geplanten Datenverarbeitung besteht, muss eine Stellungnahme vom EDÖB eingeholt werden. Eine Ausnahme hiervon besteht jedoch dann, wenn ein Verantwortlicher stattdessen einen externen Datenschutzberater konsultiert hat.
Betroffenenrechte
Die Auskunft kann über die spezifischen Anforderungen der DSGVO hinausgehen, da vorgeschrieben ist, dass die betroffene Person "diejenigen Informationen erhält, die erforderlich sind, um ihre Rechte gemäß diesem Gesetz geltend zu machen und eine transparente Datenverarbeitung sicherzustellen". Während die DSGVO den Informationsumfang abschließend regelt, bleibt offen, welche zusätzlichen spezifischen Informationen notwendig sein können, um die Transparenz zu gewährleisten. Außerdem gibt es ein neues Betroffenenrecht auf Datenübertragbarkeit, ähnlich wie in der DSGVO.
Fristen der Meldepflicht bei Verletzungen der Datensicherheit
Jede Verletzungen der Datensicherheit muss unverzüglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden, wie es in Artikel 24 des Datenschutzgesetzes vorgesehen ist. Um dies zu gewährleisten, sollten Unternehmen geeignete Prozesse etablieren, sofern sie dies noch nicht getan haben.
Im Gegensatz zur DSGVO gibt es jedoch keine strikte Frist von 72 Stunden für die Meldung solcher Vorfälle. Eine Benachrichtigung muss nur erfolgen, wenn ein erhebliches Risiko festgestellt wurde.
Datenschutzrechtliche Voreinstellung
Die Grundsätze des Datenschutzes durch Technik und datenschutzfreundlicher Standardeinstellungen (Privacy by design/default), die mit der DSGVO in das EU-Recht aufgenommen wurden, werden nun auch im DSG verankert (Art. 7 DSG). Es ist erforderlich, dass bereits bei der Planung technischer Datenverarbeitungsprozesse eine Begrenzung auf ein Minimum erfolgt.
Sicherheit der Datenverarbeitung
Um sicherzustellen, dass die Datenverarbeitung geschützt ist, sind der Verantwortliche und der Auftragsbearbeiter dazu verpflichtet, angemessene technische und organisatorische Maßnahmen (TOM) zu ergreifen (Art. 8 DSG). Diese Maßnahmen werden in Artikel 3 der Datenschutzverordnung genauer beschrieben und umfassen verschiedene Schutzbereiche, die auch aus der DSGVO bekannt sind.
Auftragsverarbeiter
Der Begriff "Auftragsbearbeiter" wird eingeführt, um ausgelagerte Datenverarbeitungen zu beschreiben. Dies entspricht dem Auftragsverarbeiter in der DSGVO, jedoch sind die Anforderungen geringer.
Gemäß Artikel 9 der DSG ist eine gesetzliche oder vertragliche Grundlage erforderlich, um eine Bearbeitung an einen Auftragsverarbeiter zu übertragen. Im Gegensatz zum Artikel 28 Absatz 3 der DSGVO werden keine weiteren inhaltlichen Anforderungen an die Vereinbarung zwischen Verantwortlichem und Auftragsbearbeiter gestellt. Die Auslagerung ist zulässig, solange die Daten so verarbeitet werden wie vom Verantwortlichen erlaubt und es keinen rechtlichen oder vertraglichen Grund gibt, der den Datenaustausch verbietet. Unterauftragnehmer dürfen nur mit Zustimmung des ursprünglichen Verantwortlichen eingesetzt werden.
Es wird explizit klargestellt, dass sich der Auftragsverarbeiter auf dieselben Rechtfertigungsgründe wie der Verantwortliche berufen kann.
Datenübertragung ins Ausland
Die Regelungen bezüglich der Übertragung von Daten ins Ausland sind in den Artikeln 16 bis 18 des Datenschutzgesetzes (DSG) zu finden.
Wenn das Bundesratsgremium ein angemessenes Schutzniveau im Empfängerland oder bei der internationalen Organisation festgestellt hat, ist eine Übertragung ins Ausland möglich. Eine Liste mit Staaten, Gebieten, spezifischen Sektoren innerhalb eines Landes und internationalen Organen, die ein angemessenes Datenschutzniveau haben, wird als Anhang 1 der Datenschutzverordnung aufgeführt.
Falls keine Entscheidung vom Bundesrat vorliegt, können auch Standarddatenschutzklauseln verwendet werden oder Vertragsklauseln genutzt werden, die vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) genehmigt wurden. Der EDÖB veröffentlicht eine Liste mit solchen Klauseln. Darin enthalten sind auch EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländern; möglicherweise müssen diese jedoch angepasst werden. Weitere Informationen dazu finden Sie auf der Website des EDÖB.
Der Datenschutzberatbeauftragte
Im Datenschutzgesetz (DSG) wird in Artikel 10 die Rolle eines Datenschutzberaters definiert, dessen Aufgaben denen des Datenschutzbeauftragten gemäß der DSGVO ähneln. Diese umfassen Beratung, Schulung und Unterstützung bei der Anwendung von Vorschriften. Der Datenschutzberater muss unabhängig handeln und darf keine Interessenkonflikte haben.
Im DSG besteht keine Verpflichtung zur Benennung eines Datenschutzberaters, jedoch kann die Benennung beispielsweise bei einer Datenverarbeitung mit hohem Risiko für die Persönlichkeitsrechte oder Grundrechte betroffener Personen zu Erleichterungen führen. In solchen Fällen kann anstelle des Schweizer Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ein benannter Datenschutzberater konsultiert werden, um geeignete Maßnahmen zur Kompensation hoher Risiken zu erarbeiten.
Die Rechte eines Datenschutzberaters finden sich auch in der Datenschutzverordnung wieder und beinhalten das Recht auf ausreichende Ressourcen sowie den Zugang zu allen erforderlichen Dokumenten zur Erfüllung seiner Aufgaben. Zudem hat er Anspruch auf direkten Kontakt zur obersten Leitungsebene eines Unternehmens für wichtige Angelegenheiten.
Team
Frank Müns
Dipl. Wirtschaftsingenieur
Gemeinsam mit meinem Team stehe ich Ihnen bei allen Fragen rund um Datenschutz und IT-Sicherheit zur Seite.
- Datenschutzbeauftragter TÜV Nord
- Datenschutzauditor TÜV Rheinland
- IT Securiy Auditor TÜV Rheinland
- IT Grundschutz Praktiker Firebrand
- IT Risk Manager Bitkom
- Beauftragter nach HinSchG
Klicken um zu vergrößern
Erika Hagspiel
Zertifizierte Datenschutzbeauftragte
Als zertifizierte Datenschutzbeauftragte und Steuerfachangestellte unterstützt Erika Hagspiel Frank Müns bei allen Kundenprojekten rund um Datenschutzfragen.
- Datenschutzbeauftragte TÜV Rheinland
- Hinweisgeberbeauftragte
Klicken um zu vergrößern
Bußgelder und Sanktionen
Bei Verstößen gegen die Vorschriften des DSG besteht die Gefahr, dass eine Person dazu verpflichtet wird, eine Geldstrafe von bis zu 250.000 CHF zu zahlen. Die Verjährungsfrist beträgt dabei 5 Jahre. Im Gegensatz zur DSGVO ist diese Sanktion nicht auf das Unternehmen als solches beschränkt, sondern gilt explizit für die verantwortliche natürliche Person.
Dadurch ergibt sich ein hohes persönliches Risiko für diese Person. Nur in Fällen, in denen höchstens eine Strafe von 50.000 CHF infrage kommt und es unverhältnismäßig wäre, den Täter innerhalb des Geschäftsbetriebs ausfindig zu machen, kann auch das Unternehmen anstatt der natürlichen Person zur Zahlung der Strafe verurteilt werden (Artikel 64 DSG).
Eine Besonderheit stellt das sogenannte "kleine Berufsgeheimnis" gemäß Artikel 62 DSG dar. Gemäß dieser Regelung kann vorsätzliche Offenbarung geheimer personenbezogener Daten mit einer Geldstrafe von bis zu 250.000 Franken belegt werden - selbst dann, wenn diese erst nach Beendigung der beruflichen Tätigkeit offenbart wurden. Jede Person unterliegt der Schweigepflicht, sobald sie im Rahmen ihrer beruflichen Tätigkeit Kenntnis von geheimen personenbezogenen Daten erlangt hat. Eine so strenge Regelung existiert weder in der DSGVO noch im deutschen Recht."
Zusammengefasst
Das überarbeitete Datenschutzgesetz (DSG) und seine begleitenden Vorschriften, insbesondere die Datenschutzverordnung, stellen ein zeitgemäßes Datenschutzrecht für die Schweiz dar.
Die Anforderungen an private Unternehmen ähneln weitgehend denen der DSGVO, sind jedoch nicht identisch. Wenn Sie auf dem schweizerischen Markt tätig sind, sollten Sie sich daher mit den spezifischen Bestimmungen des schweizerischen Datenschutzrechts vertraut machen und entsprechende Maßnahmen zur Umsetzung ergreifen.