Am 1. September 2023 ist es soweit: Das Schweizer Bundesgesetz über den Datenschutz (DSG) und seine Begleitvorschriften treten in Kraft. Dieses revidierte Gesetz nähert sich stark dem Datenschutzniveau der Europäischen Union (EU) an, setzt jedoch auch eigene Akzente. Heute blicken wir auf die inhaltlichen Änderungen und stellen einen Vergleich zur Europäischen Datenschutz-Grundverordnung (DSGVO) an.
Am 25. Mai 2018 trat für alle Mitgliedstaaten der EU die DSGVO in Kraft. Da die Schweiz kein EU-Land ist, hatte die DSGVO keine unmittelbare Anwendung. Dennoch ist die DSGVO für Schweizer Unternehmen von Bedeutung: Wenn Daten von EU-Bürger*innen verarbeitet werden oder das Schweizer Unternehmen als Auftragsverarbeiter von deutschen Unternehmen gilt, müssen auch diese die Regelungen der DSGVO einhalten. Werden Verstöße gegen die DSGVO in diesem Rahmen festgestellt, drohen für die Unternehmen mit dem Sitz in der Schweiz auch Bußgelder.
Zudem gilt das aktuelle schweizerische Datenschutzgesetz, welches 1992 erlassen wurde und nur noch bis September 2023 gilt. Dieses ist veraltet, und orientiert sich nur wenig an dem Datenschutzniveau der DSGVO. Auch die gesellschaftlichen Veränderungen wie die Nutzung von Internet und Smartphone, sozialen Medien, Cloud-Diensten werden von dem alten Datenschutzgesetz nicht umfasst.
Im Hinblick auf den Geltungsbereich gibt es bedeutende Gemeinsamkeiten zwischen dem DSG und der DSGVO. Das DSG findet auf Datenschutzsachverhalte Anwendung, die „sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden“.
Das stellt das Marktortprinzip dar und ist damit vergleichbar mit den Regelungen in der DSGVO. Nicht der Ort der Datenverarbeitung ist erheblich, sondern die Ausrichtung der Datenverarbeitung auf die Schweiz. Somit ist dieses Gesetz auch für EU-Unternehmen relevant, die beispielsweise Daten von Schweizer*innen verarbeiten.
Nicht mehr vom Anwendungsbereich des Gesetzes erfasst, sind nun Daten juristischer Personen. Das ist im aktuellen DSG noch der Fall. Es werden damit, wie in der DSGVO, nur noch natürliche Personen durch das Gesetz geschützt.
Der Umsetzungsaufwand durch das neue Gesetz hängt zwangsläufig sehr stark vom aktuellen Stand der Datenschutzorganisation im Unternehmen ab. Für Schweizer Unternehmen, die bereits eine an der Europäischen Datenschutz-Grundverordnung ausgerichtete Datenverarbeitung und Datenschutzorganisation etabliert haben, müssen nur kleinere Stellschrauben justiert werden. Gleiches gilt für EU-Unternehmen, die in der Schweiz tätig sind.
Durch die starke Orientierung an der DSGVO entsteht aber ein durchaus beachtlicher Umsetzungsaufwand, sollten Unternehmen sich bisher ausschließlich an dem aktuell geltenden Schweizer Datenschutzrecht orientiert haben. Zu nennen sind hier beispielhaft die Führung eines Verzeichnisses der Bearbeitungstätigkeiten (vergleichbar mit dem VVT), die Durchführung von Datenschutz-Folgenabschätzungen bei risikoreichen Datenverarbeitungen, die Vorbereitung auf die Gewährung von Betroffenenrechten und die Erfüllung von Informationspflichten bei der Datenerhebung (was nicht mehr nur für besonders schützenswerte Daten oder Bundesorgane verpflichtend ist).
Im Unterschied zur DSGVO ist im DSG die Datenverarbeitung grundsätzlich erlaubt und bedarf keiner Erlaubnis oder Einwilligung. Das Schweizer Datenschutzgesetz sieht jedoch strenge Anforderungen an die Verarbeitung personenbezogener Daten vor. Insbesondere darf die Datenverarbeitung nicht die Persönlichkeit der betroffenen Person widerrechtlich verletzen (Art. 30 DSG). Eine Persönlichkeitsverletzung liegt beispielsweise vor, wenn die Datenverarbeitung gegen die datenschutzrechtlichen Grundprinzipien wie Zweckbindung, Speicherbegrenzung, Datensicherheit, Verarbeitung nach Treu und Glauben oder Richtigkeit, die auch aus der DSGVO bekannt sind, verstößt. Eine Persönlichkeitsverletzung ist dann widerrechtlich, wenn sie nicht durch Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist (Art. 31 DSG). Der offene Ansatz wird daher durch diese Vorschriften erheblich eingeschränkt und damit der DSGVO angenähert, die bei jeder Verarbeitung personenbezogener Daten eine Rechtsgrundlage erfordert (Art. 6 DSGVO). Es ist davon auszugehen, dass eine nach der DSGVO rechtmäßige Datenverarbeitung auch die Kriterien des DSG erfüllen wird.
Das DSG normiert die Pflicht des Verantwortlichen, die betroffene Person über die Verarbeitung ihrer personenbezogenen Daten zu informieren (Art. 19 DSG). Im Unterschied zum bisher geltenden Recht gilt diese Verpflichtung nicht nur für besonders schützenswerte Personendaten oder Bundesorgane, sondern stets. Im Unterschied zur DSGVO ist der Katalog mitzuteilender Informationen jedoch nicht abschließend formuliert. Der Verantwortliche hat der betroffenen Person stets die Identität und die Kontaktdaten des Verantwortlichen, den Verarbeitungszweck und die Empfänger*innen mitzuteilen. Darüber hinaus muss in einer Form informiert werden, dass die betroffene Person „ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist“. Da die Informationspflicht des DSG ebenso wie jene der DSGVO eine transparente Datenverarbeitung sicherstellen soll, kann die Informationspflicht der DSGVO gemäß Art. 13 bzw. Art. 14 DSGVO zur Orientierung des Umfangs der Informationen im DSG dienen.
Über die Anforderungen der DSGVO hinaus geht die Verpflichtung, sämtliche Empfängerstaaten und die möglicherweise genutzten Garantien anzugeben, wenn Daten ins Ausland übermittelt werden sollen. Das DSG normiert allerdings auch einen umfassenden Katalog an Ausnahmetatbeständen, in denen eine Informationspflicht entfällt, insbesondere bei einer gesetzlich vorgesehenen Datenverarbeitung
Die Umsetzung des neuen Datenschutzgesetzes erfordert für die meisten Unternehmen voraussichtlich den größten Aufwand bei der Führung eines “Verzeichnisses der Bearbeitungstätigkeiten”. Der hohe Aufwand ergibt sich daraus, dass alle Datenverarbeitungen des gesamten Unternehmens erfasst werden müssen, einschließlich genauer Angaben zum Zweck der Verarbeitung und zu allen Kategorien von Datenempfängern. Es ist außerdem sicherzustellen, dass das Verzeichnis kontinuierlich aktualisiert wird.
Unternehmen, die am 1. Januar eines Jahres weniger als 250 Mitarbeiter*innen beschäftigen und keine umfangreiche Verarbeitung besonders schützenswerter personenbezogener Daten oder hochriskantes Profiling durchführen, sind von der Verpflichtung zur Führung eines Verzeichnisses befreit. Darüber hinaus ist zu beachten, dass das Verzeichnis für die effiziente Erfüllung der weiteren Pflichten des neuen Datenschutzgesetzes von großer Bedeutung ist.
Zudem verpflichtet das neue Datenschutzgesetz Verantwortliche einer Webseite oder eines Blogs eine Datenschutzerklärung zu erstellen sowie die vorherige, freiwillig erteilte, informierte und ausdrückliche Einwilligung der Besucher*innen der Webseite einzuholen, wenn auf der Webseite personenbezogene Daten verarbeitet werden. Die Datenschutzerklärung muss rechtssicher gestaltet sein und wichtige Informationen wie den Zweck der Datenverarbeitung, den Verantwortlichen und die Weitergabe der Daten erfassen. Verändert sich die Rechtslage oder Ihre Webseite, so müssen auch die Rechtstexte angepasst werden. Dazu gehören auch die Datenschutzhinweise zur Webseite, damit Sie Ihren Informationspflichten nachkommen.
Dadurch drohen auch in der Schweiz Abmahnwellen. Um diese zu vermeiden, lohnt es sich, die Webseite von einem Datenschutzexperten checken zu lassen, der einen datenschutzkonformen Einsatz von Cookies & Co. sicherstellt. Hierzu bieten wir von der Kanzlei Krüger unseren Legal-Check an. Durch den Legal-Check wird Ihre Website analysiert und auf die Einhaltung datenschutzrechtlicher Vorgaben hin überprüft. Nach Abschluss des Legal-Checks erhalten Sie einen detaillierten Bericht bzgl. der Überprüfung sowie entsprechende Handlungsempfehlungen zur Verbesserung Ihrer Website. Zudem erstellen wir individuelle sowie rechtssichere Datenschutzhinweise.
Die Datenschutz-Folgenabschätzung (DSFA) und das Konsultationsverfahren (Art. 22, 23 DSG) sind neu. Verantwortliche müssen eine DSFA durchführen, wenn eine Datenverarbeitung ein hohes Risiko für die Persönlichkeit oder Grundrechte einer Person darstellt.
Der Umfang der Auskunft könnte über die spezifischen Anforderungen der DSGVO hinausgehen, da geregelt ist, dass die betroffene Person „diejenigen Informationen erhält, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist“. Während die DSGVO abschließend den Informationskatalog regelt, ist hier offen, welche spezifischeren Informationen notwendig sein können, um Transparenz herzustellen. Es gibt außerdem ein neues Betroffenenrecht auf Datenübertragbarkeit, ähnlich wie in der DSGVO.
Verletzungen der Datensicherheit müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so schnell wie möglich gemeldet werden (Art. 24 DSG). Dafür müssen Verantwortliche, sofern noch nicht geschehen, funktionierende Prozesse im Unternehmen etablieren.
Eine ebenso strenge (72-Stunden-)Frist wie in der DSGVO ist allerdings nicht vorgesehen.
Die Prinzipien Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen, die mit der DSGVO im EU-Recht eingeführt wurden, werden nun auch im DSG verankert (Art. 7 DSG). Eine Datenverarbeitung ist bereits in der Konzeption technischer Datenverarbeitungsprozesse so zu gestalten, dass diese auf das Minimum beschränkt wird.
Um die Sicherheit der Datenverarbeitung zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete technische und organisatorische Maßnahmen ergreifen (Art. 8 DSG). Diese Maßnahmen werden in Art. 3 der Datenschutzverordnung konkretisiert, indem die einzelnen Schutzbereiche definiert sind, die in einer sehr ähnlichen Form auch aus der DSGVO (und dem alten deutschen BDSG) bekannt sind.
Das Gesetz sieht empfindliche Strafen für Verstöße gegen die Datenschutzvorschriften vor, um sicherzustellen, dass Unternehmen und Organisationen die Bedeutung des Datenschutzes ernst nehmen. Verstößt eine Person gegen die Regelungen des DSG, droht dieser die Pflicht zur Zahlung einer Buße von bis zu 250.000 CHF. Die Verjährungsfrist beträgt 5 Jahre. Dabei ist die Sanktion nicht – wie bei der DSGVO – an das verantwortliche Unternehmen geknüpft, sondern ausdrücklich an die verantwortliche natürliche Person, wodurch deren persönliches Risiko als hoch anzusehen ist.
Das überarbeitete DSG und die damit verbundenen Vorschriften – insbesondere die Datenschutzverordnung – repräsentieren ein zeitgemässes Datenschutzgesetz für die Schweiz. Je nach Entwicklungsstand der Datenschutzorganisation und abhängig von der bisherigen Orientierung der Unternehmen an der DSGVO oder dem vorherigen DSG, wird entweder nur ein punktueller Anpassungsbedarf oder ein beträchtlicher Umsetzungsaufwand erforderlich sein. Insbesondere das Aufsetzen einer vollständigen Liste aller Datenverarbeitungsaktivitäten und die Modifikation der Datenschutzprozesse könnten den Einsatz einiger Ressourcen benötigen. Auch Unternehmen, die schon einmal die Anforderungen der DSGVO erfüllt haben, sollten eine Überprüfung der DSGVO-Konformität vornehmen und dabei die Anpassungen des neuen DSG in Angriff nehmen.
Wir von der Kanzlei Krüger stehen Ihnen gerne mit Rat & Tat zur Seite und unterstützen Sie dabei, die Datenverarbeitungsprozesse einer Prüfung zu unterziehen und die notwendigen Anpassungen durchzuführen.