Schweizer Bundesgesetz über den Datenschutz (DSG)

Datenschutz Verstehen – Die neue Revision des Schweizer Bundesgesetz über den Datenschutz (DSG)

Kurze Einleitung

Die Bundesversammlung der Schweizerischen Eidgenossenschaft beschließt, nach Einsicht in die Botschaft des Bundesrates vom 15. September 2017, das Bundesgesetz über den Datenschutz am 25. September 2020. Somit ist das Gesetzgebungsvorhaben zur Revision des DSG abgeschlossen. Noch ist unklar, wann das neue Schweizer Bundesgesetz über den Datenschutz Inkrafttreten wird, wir vermuten nicht vor Anfang 2022. Ähnlich, wie bei dem Inkrafttreten der DSGVO, wird eine Umsetzungszeit von circa 2 Jahren für die Unternehmen bleiben. Viele Unternehmen erfüllen heute noch immer nicht die Anforderungen der DSGVO, da nicht frühzeitig reagiert worden ist. In diesem Beitrag möchten wir Ihnen bereits jetzt einen qualitativen Überblick über die notwendigen Anpassungen aus dem DSG geben.

 

Begriffsbestimmungen aus dem DSG im Vergleich mit der DSGVO

Bevor wir uns nun tiefer das Schweizer Bundesgesetz über den Datenschutz ansehen, ergibt es Sinn, dass wir einen Blick auf die Begriffsbestimmungen aus dem DSG werfen. Denn hier gibt es einige Unterschiede zu den Begriffsbestimmungen aus der europäischen Datenschutz-Grundverordnung. Im 2. Kapitel “Allgemeine Bestimmungen” des DSG werden unter Art. 5 lit. a) – k) die Begriffe definiert.

Personendaten

Gem. Art. 5 lit. a) DSG sind Personendaten alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Die Datenschutz-Grundverordnung definiert mit ihrer Begriffsbestimmung zu “personenbezogenen Daten” etwas ausführlicher. So sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann. Diese Merkmale sind in der Regel Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person (Art. 4 Abs. 1 DSGVO).

Besonders schützenswerte Personendaten

Im Sinne des Art. 5 lit. c) DSG sind besonders schützenswerte Personendaten Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie, genetische Daten, biometrische Daten, die eine natürliche Person eindeutig identifizieren, Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen, Daten über Maßnahmen der sozialen Hilfe. Die DSGVO definiert die Begriffe “genetische”, “biometrische” Daten sowie “Gesundheitsdaten” gesondert in dem Art. 4 Abs. 13 – 15 DSGVO ergänzend zu Art. 4 Abs. 1 DSGVO (oben angegeben).

Bearbeiten

Das Bearbeiten i.S.d. Art. 5 lit. d) DSG ist jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten. Im Vergleich hierzu definiert die DSGVO die “Verarbeitung” im Art. 4 Abs. 2 DSGVO als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Auftragsbearbeiter

Als Auftragsbearbeiter werden private Personen oder Bundesorgane gem. Art. 5 lit. k) DSG bezeichnet, die im Auftrag des Verantwortlichen Personendaten bearbeiten. In der DSGVO hingegen spricht man von Auftragsverarbeitern, welche eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle sein können, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.

 

Wieso gab es eine Revision des Bundesgesetzes über den Datenschutz?

Das Schutzniveau in der Schweiz und in der EU gilt derzeit als gleichwertig. Die EU-Entscheidung aus dem Jahr 2000 bezieht sich allerdings auf das Gesetz von 1993. Es wurde mit der EU-Richtlinie von 1995 verglichen. Solange die EU-Kommission keinen neuen Entscheid fällt, gilt die Äquivalenz fortlaufend. Da nun 2018 die DSGVO wirksam geworden ist, bestand Handlungsbedarf in der Schweiz das erhöhte Schutzniveau anzugleichen.

Durch den Aufschub des Entscheids zur Gleichwertigkeit ändert sich für schweizer Firmen also vorerst nichts. Ohne die Äquivalenz müssten sie allerdings zusätzliche Vertragsklauseln ihrer Partner in der EU akzeptieren. Das könnte gerade für KMU zu administrativem Mehraufwand führen. Wir erwarten eine Entscheidung im letzten Quartal 2020. 

 

Unterschiede Schweizer DSG und europäische DSGVO

Grundsätzlich sind sich die DSGVO und das Schweizer DSG recht ähnlich. Das bedeutet im Umkehrschluss, dass Unternehmen, welche die DSGVO bereits vollständig umgesetzt haben, sehr gut aufgestellt sind. Dennoch gibt es Unterschiede zwischen Beiden, welche Unternehmen beachten sollten. 

Im Bereich der Informationspflicht müssen die Empfänger-Länder angegeben werden, in welche Daten übermittelt werden können, und es müssen andere als in den Art. 12 ff. DSGVO verlangten Angaben zu den hierzu getroffenen Vorkehrungen gemacht werden. Dies bedeutet, dass die Datenschutzerklärungen von Unternehmen angepasst werden müssen. 

Es muss sichergestellt werden, dass Anfragen von Betroffenen (z.B. Auskunftsgesuche) nach den Kriterien des DSG geprüft werden, die von jenen der DSGVO abweichen. Das DSG ist dabei teilweise strenger als die DSGVO: Geschäftsgeheimnisse können nicht so gut wie unter der DSGVO vor Einsichtnahme geschützt werden. Bei den Datenexporten geht das neue DSG zwar ähnliche Wege wie die DSGVO, aber die damit verbundenen Melde- bzw. Genehmigungspflichten sind abweichend und müssen separat beurteilt werden. 

Abweichungen bestehen auch bei Verletzungen der Datensicherheit: Die Meldepflicht ist in der Schweiz anders geregelt als in der DSGVO. Verträge mit Auftragsbearbeitern müssen ebenfalls allenfalls angepasst werden, weil sie sich nicht nur auf die DSGVO beziehen dürfen. Zu beachten ist schließlich, dass gewisse ausländische Unternehmen in der Schweiz einen Vertreter ernennen müssen. Hier verlangt das DSG ähnliche Anforderungen wie die DSGVO im Artikel 27, welcher den EU-Vertreter beinhaltet.

 
Sie suchen einen Datenschutzbeauftragten?

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei und unverbindlich von Keyed ein Angebot für die Umsetzung im Datenschutz.

Slider

Was müssen Unternehmen beim Schweizer DSG umsetzen?

Schweizer Unternehmen haben nun den größten Aufwand, da das Erstellen der neuen Dokumentation erfahrungsgemäß sehr zeitaufwendig ist (Verzeichnis der Datenbearbeitungen, Datenschutz-Folgenabschätzungen). Ebenfalls wird die Durchsicht von Verträgen zum Datenschutz, sowie die generelle Prüfung der diversen Datenbearbeitungen auf ihre Konformität mit dem revidierten DSG einen erheblichen Mehraufwand verursachen. Insgesamt sollten sich Schweizer Unternehmen nun einen kompetenten Partner suchen, welcher die Unterschiede genau kennt und bei der Umsetzung praxisorientiert unterstützen kann. 

Europäische Unternehmen, welche in der Schweiz Geschäfte tätigen, bedürfen ebenfalls einigen Anpassungen in Bezug auf die Erfüllung der Anforderungen aus dem DSG. Hier bedarf es ebenfalls einer individuellen Beratung, sodass hier keine Verstöße und damit verbundene Bußgelder der kantonalen Strafbehörden drohen.

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN