Neues Datenschutzgesetz in der Schweiz

Datenschutz Verstehen – Das neue Schweizer Bundesgesetz über den Datenschutz.

Kurze Einleitung:

Das Bundesgesetz über den Datenschutz (DSG) ist wegen zwei wesentlicher Punkte nicht mehr in Einklang zu bringen mit den Anforderungen der aktuellen Zeit. Auf der einen Seite herrscht ein rasanter technologischer Fortschritt, welcher neue Regelungen erforderlich macht und auf der anderen Seite möchte man die Anforderungen der EU weiterhin erfüllen, um einen einfachen Datenaustausch zu gewährleisten. Gemeint ist insbesondere der einfache Datenaustausch zwischen Unternehmen in der Schweiz und der Europäischen Union auf Grundlage des Angemessenheitsbeschlusses. Vor diesem Hintergrund findet seit längerer Zeit ein Überarbeitungsprozess des Datenschutzgesetzes in der Schweiz statt. 

Dieser Überarbeitungsprozess für das Bundesgesetz über den Datenschutz wird als Totalrevision definiert. Im Fokus steht hierbei, die Transparenz von Datenbearbeitungen zu verbessern und die Selbstbestimmung der betroffenen Personen über ihre Daten zu stärken.

 
Datenschutz eBook
Unsere Datenschutz eBooks

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Schweizer Bundesgesetz über den Datenschutz (DSG)

Die Datenschutzexperten von Keyed beobachten diese Entwicklungen und berichten schon seit längerer Zeit zur besonderen Konstellation. Sie können hier Informationen zum Verhältnis zwischen DSGVO und dem DSG erhalten oder hier den vorläufigen Beitrag zum Gesetzes-Entwurf.

Am 23. Juni 2021 eröffnete der Bundesrat die Vernehmlassung zur Totalrevision der Verordnung zum Bundesgesetz über den Datenschutz (Medienmitteilung) und nun hat das Schweizer Bundesamt für Justiz mit der Mitteilung “Stärkung des Datenschutzes” das Inkrafttreten des neuen Datenschutzgesetzes der Schweiz auf den 1. September 2023 datiert. Hierbei handelt es sich zum aktuellen Zeitpunkt um einen Vorschlag, welcher noch durch einen notwendigen Entscheid des Bundesrates bestätigt werden muss.

Das neue Datenschutzgesetz in der Schweiz bzw. die Totalrevision des Bundesgesetzes über den Datenschutz ist von großer Bedeutung mit Blick auf die Europäische Union. Diese Annäherung an die Europäische Datenschutz-Grundverordnung (DSGVO) ist zentral, damit die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau i.S.d. Art. 45 DSGVO anerkennt und die grenzüberschreitende Datenübermittlung auch künftig ohne weitere Hürden möglich bleibt. 

Würde diese Angleichung an die DSGVO nicht passieren, wären Unternehmen in der EU gezwungen, mit Schweizer Unternehmen sogenannte geeignete Garantien i.S.d. Art. 46 DSGVO zu vereinbaren. Darunter fällt zum Beispiel die Vereinbarung von EU-Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO, welche europäischen Unternehmen bereits durch die Zusammenarbeit mit US-amerikanischen Unternehmen bekannt ist.

Wieso gab es eine Revision des Bundesgesetzes über den Datenschutz?

Das Schutzniveau in der Schweiz und in der EU gilt derzeit als gleichwertig. Die EU-Entscheidung aus dem Jahr 2000 bezieht sich allerdings auf das Gesetz von 1993. Es wurde mit der EU-Richtlinie von 1995 verglichen. Solange die EU-Kommission keinen neuen Entscheid fällt, gilt die Äquivalenz fortlaufend. Da nun 2018 die DSGVO wirksam geworden ist, bestand Handlungsbedarf in der Schweiz das erhöhte Schutzniveau anzugleichen.

Durch den Aufschub des Entscheids zur Gleichwertigkeit ändert sich für schweizer Firmen also vorerst nichts. Ohne die Äquivalenz müssten sie allerdings zusätzliche Vertragsklauseln ihrer Partner in der EU akzeptieren. Das könnte gerade für KMU zu administrativem Mehraufwand führen. Wir erwarten eine Entscheidung im letzten Quartal 2020. 

 

DSG im Vergleich mit der DSGVO

Bevor wir uns nun tiefer das Schweizer Bundesgesetz über den Datenschutz ansehen, ergibt es Sinn, dass wir einen Blick auf die Begriffsbestimmungen aus dem DSG werfen. Denn hier gibt es einige Unterschiede zu den Begriffsbestimmungen aus der Europäischen Datenschutz-Grundverordnung. Im 2. Kapitel „Allgemeine Bestimmungen“ des DSG werden unter Art. 5 lit. a) – k) die Begriffe definiert.

Personendaten

Gem. Art. 5 lit. a) DSG sind Personendaten alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Die Datenschutz-Grundverordnung definiert mit ihrer Begriffsbestimmung zu „personenbezogenen Daten“ etwas ausführlicher. So sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann. Diese Merkmale sind in der Regel Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person (Art. 4 Abs. 1 DSGVO).

Besonders schützenswerte Personendaten

Im Sinne des Art. 5 lit. c) DSG sind besonders schützenswerte Personendaten Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie, genetische Daten, biometrische Daten, die eine natürliche Person eindeutig identifizieren, Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen, Daten über Maßnahmen der sozialen Hilfe. Die DSGVO definiert die Begriffe „genetische“, „biometrische“ Daten sowie „Gesundheitsdaten“ gesondert in dem Art. 4 Abs. 13 – 15 DSGVO ergänzend zu Art. 4 Abs. 1 DSGVO (oben angegeben).

Bearbeiten

Das Bearbeiten i.S.d. Art. 5 lit. d) DSG ist jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten. Im Vergleich hierzu definiert die DSGVO die „Verarbeitung“ im Art. 4 Abs. 2 DSGVO als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Auftragsbearbeiter

Als Auftragsbearbeiter werden private Personen oder Bundesorgane gem. Art. 5 lit. k) DSG bezeichnet, die im Auftrag des Verantwortlichen Personendaten bearbeiten. In der DSGVO hingegen spricht man von Auftragsverarbeitern, welche eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle sein können, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.

Grundsätzlich sind sich die DSGVO und das Schweizer DSG recht ähnlich. Das bedeutet im Umkehrschluss, dass Unternehmen, welche die DSGVO bereits vollständig umgesetzt haben, sehr gut aufgestellt sind. Dennoch gibt es Unterschiede zwischen beiden, welche Unternehmen beachten sollten. 

Im Bereich der Informationspflicht müssen die Empfänger-Länder angegeben werden, in welche Daten übermittelt werden können, und es müssen andere als in den Art. 12 ff. DSGVO verlangten Angaben zu den hierzu getroffenen Vorkehrungen gemacht werden. Dies bedeutet, dass die Datenschutzerklärungen von Unternehmen angepasst werden müssen. 

Es muss sichergestellt werden, dass Anfragen von Betroffenen (z.B. Auskunftsgesuche) nach den Kriterien des DSG geprüft werden, die von jenen der DSGVO abweichen. Das DSG ist dabei teilweise strenger als die DSGVO: Geschäftsgeheimnisse können nicht so gut wie unter der DSGVO vor Einsichtnahme geschützt werden. Bei den Datenexporten geht das neue DSG zwar ähnliche Wege wie die DSGVO, aber die damit verbundenen Melde- bzw. Genehmigungspflichten sind abweichend und müssen separat beurteilt werden. 

Abweichungen bestehen auch bei Verletzungen der Datensicherheit: Die Meldepflicht ist in der Schweiz anders geregelt als in der DSGVO. Verträge mit Auftragsbearbeitern müssen ebenfalls allenfalls angepasst werden, weil sie sich nicht nur auf die DSGVO beziehen dürfen. Zu beachten ist schließlich, dass gewisse ausländische Unternehmen in der Schweiz einen Vertreter ernennen müssen. Hier verlangt das DSG ähnliche Anforderungen wie die DSGVO im Artikel 27, welcher den EU-Vertreter beinhaltet.

 

Anforderungen des Schweizer Datenschutzgesetzes an Unternehmen

Grundsätzlich lässt sich sagen, dass das neue Datenschutzgesetz in der Schweiz in Großteilen mit den europäischen Datenschutzgesetzen einhergeht. Im Fokus standen in der Anpassung des Datenschutzgesetzes, eine Steigerung der Transparenz und die Stärkung der Rechte der betroffenen Personen in der Schweiz. Diese Steigerung der Transparenz soll mit schärferen Anforderungen an Datenschutzerklärungen in der Schweiz erzielt werden. Ähnlich wie in der DSGVO werden zahlreiche Dokumentations- und Nachweispflichten auferlegt, welche durch Unternehmen erfüllt werden müssen. Zum Beispiel sind es Pflichten wie die Durchführung von Datenschutz-Folgenabschätzungen (DSFA), die Vereinbarung von Auftragsberarbeitungsverträgen oder die Dokumentation jeder Datenbearbeitung, welche sehr ähnliche Anforderungen wie die Dokumentation des Verzeichnisses der Verarbeitungstätigkeiten gem. Art. 30 DSGVO enthält.

 
Datenschutz-Managementsystem
Jetzt Ihren Datenschutzbeauftragten kennenlernen.

Wir erklären Ihnen in einem persönlichen Erstgespräch den Ablauf einer Datenschutz-Optimierung. Sie lernen unsere zertifizierten Juristen kennen, welche als Datenschutzbeauftragte für Sie tätig werden. Wir freuen uns auf Sie!

+0

Über 450 Unternehmen vertrauen international unserem Team aus Datenschutzbeauftragten.

0%

Über 72% effizienter als marktüblich optimieren wir Ihre Datenschutz-Organisation.

externer Datenschutzbeauftragter - Termin buchen

Strafen nach neuem Datenschutzgesetz in der Schweiz

Die Strafbestimmungen im Schweizer Bundesgesetz über den Datenschutz wurden angehoben. Demnach können natürliche Personen mit Geldbußen bis zu 250.000 Schweizer Franken bestraft werden, wenn sie gegen die Informations- oder Auskunftspflichten verstoßen oder ihre Sorgfaltspflichten verletzen. Das kann zum Beispiel der Fall bei unerlaubten Datenübermittlungen in Drittländer sein. Die Zuständigkeit für die Bewertung von Geldbußen liegt dabei bei den kantonalen Staatsanwaltschaften.

Im Gegensatz zur DSGVO werden Verstöße gegen neu im Datenschutzgesetz verankerte Dokumentations- und Nachweispflichten, wie beispielsweise das Führen eines Verarbeitungsverzeichnisses oder die Meldung von Datenschutzverstößen, nicht im Bußgeldkatalog gelistet.

 

Handlungsempfehlungen für Unternehmen

Unternehmen aus der Schweiz und Unternehmen aus der Europäischen Union, welche Daten zwischen beiden Regionen austauschen, sollten folgende Handlungen vornehmen, um mögliche Risiken zu identifizieren und zu minimieren:

  • Aufnahme aller Datenverarbeitungsprozesse im Unternehmen, welche relevant sind. Anschließende Analyse durch einen Datenschutz-Juristen. Hieraus lässt sich das Risiko und ein Handlungsbedarf gut ableiten und die Dokumentation zu den Verarbeitungstätigkeiten anfertigen.
  • Prüfung aller Datenschutzhinweise zur Erfüllung der Informationspflichten.
  • Prüfung auf bestehende Meldeprozesse von Datenschutzverstößen.
  • Sofern Sie ein Unternehmen aus der Europäischen Union sind, prüfen Sie, ob Sie einen Vertreter in der Schweiz benennen müssen.
Menü