Die Schweiz hat ihr Datenschutzrecht grundlegend überarbeitet. Das neue Schweizer Bundesgesetz über den Datenschutz (DSG) wird sich an die Datenschutz-Grundverordnung (DSGVO) anpassen, vor allem mit dem Ziel wieder einen positiven Angemessenheitsbeschluss der EU-Kommission zu erhalten. Wir zeigen auf, worauf Unternehmen achten müssen, die personenbezogene Daten in der Schweiz verarbeiten, dort Produkte bzw. Dienstleistungen anbieten oder mit Schweizer Unternehmen kooperieren.
Update 31. August 2022: Wie der (schweizer) Bundesrat mitteilte, treten das neue DSG sowie die neue Datenschutzverordnung (DSV) und die neue Verordnung über Datenschutzzertifizierungen (VDSZ) am 1. September 2023 in Kraft.
Relevanz des neuen Schweizer Datenschutzrechts
Das Schweizer Bundesgesetz über den Datenschutz stammt in der aktuellen Version aus dem Jahr 1993. Vor allem durch die Einführung der Datenschutz-Grundverordnung in den umliegenden EU/EWR-Staaten kam die Schweiz in Zugzwang, ihr nationales Datenschutzrecht zu überarbeiten. Die Gleichwertigkeit des derzeitigen Schweizer Gesetzes mit der entsprechenden EU-Regulierung ist nicht mehr gegeben.
Der Angemessenheitsbeschluss der EU-Kommission aus dem Jahre 2000 steht somit auf der Kippe. Für europäische Firmen, die in der Schweiz tätig sind, könnte eine Nicht-Anerkennung zu einem großen Problem werden, sofern die Schweiz als Drittland eingestuft werden würde. Ohne bestehenden Angemessenheitsbeschluss müsste der Datenverkehr zwischen der Schweiz und dem EU/EWR mit „geeigneten Garantien“ im Einzelfall abgesichert werden, insbesondere mit Standardvertragsklauseln (Art. 46 DSGVO).
Es ist demnach nicht verwunderlich, dass die derzeitige Fassung des DSG umfassend revidiert wurde, mit dem Ziel die technologischen Entwicklungen und die EU-Vorgaben zu berücksichtigen. Der neue Entwurf wurde am 25. September 2020 vom Schweizer Parlament verabschiedet. Über das Inkrafttreten entscheidet der Schweizer Bundesrat nach Ablauf der 100-tägigen Referendumsfrist.
Die wichtigsten Regelungen des neuen Schweizer Datenschutzrechts
“Geltungsbereich”
Der Geltungsbereich wird unter dem neuen DSG ausgeweitet und erstreckt sich nun auch auf Datenverarbeitungen, die sich in der Schweiz auswirken, obwohl sie im Ausland veranlasst wurden.
“Kein Schutz mehr für juristische Personen”
Nur noch natürliche Personen unterstehen dem Schutz des neuen DSG. Dies steht im Einklang mit den Bestimmungen der DSGVO und den meisten nationalen Datenschutzgesetzen der EU-Mitgliedstaaten.
“Erweiterung der Informationspflichten für Verantwortliche”
Die Informationspflicht ist nun auf die Verarbeitung jeglicher personenbezogenen Daten ausgedehnt worden. Bisher bestand die Pflicht nur bei der Verarbeitung besonders schützenswerter Daten und der Erstellung von Persönlichkeitsprofilen. Die neuen Informationspflichten im DSG sind vergleichbar mit den Pflichten in Art. 13 und 14 DSGVO.
“Automatisierte Entscheidungsfindung und Profiling”
Der Verantwortliche muss den Betroffenen grundsätzlich darüber informieren, wenn eine Entscheidung ausschließlich auf einer automatisierten Verarbeitung beruht und diese rechtliche Auswirkungen für den Betroffenen hat. Zudem kann der Betroffene verlangen, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird.
“Profiling”
Eine Einwilligung für die Verarbeitung personenbezogener Daten ist beim Profiling nach wie vor grundsätzlich nicht erforderlich. Allerdings führt das neue DSG den Begriff „Profiling mit hohem Risiko“ ein. Damit ist diejenige Art von Profiling gemeint, bei dem es zu einer Verknüpfung von Daten kommt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt. Bei dieser Art von Profiling muss eine ausdrückliche Einwilligung des Betroffenen eingeholt werden.
“Betroffenenrechte”
Das neue DSG gibt Betroffenen die Möglichkeit, Auskunft über jegliche für sie erforderliche Information zu erhalten. Demnach ist die Auskunft nicht mehr auf abschließend definierte Mindestinformationen beschränkt. Mit dem Recht auf Datenübertragbarkeit erhalten Betroffene zudem ein neues Recht und können kostenlos vom Verantwortlichen die Herausgabe ihrer Personendaten bzw. deren Übertragung an einen anderen Verantwortlichen in maschinenlesbarer Form verlangen.
“Dokumentation jeder Datenbearbeitung”
Das neue DSG verlangt von Verantwortlichen und Auftragsverarbeitern, jede Datenbearbeitung zu dokumentieren. Diese Pflicht ist mit der Führung eines Verzeichnisses aller Verarbeitungstätigkeiten in der DSGVO gleichzustellen. Die bisherige Meldepflicht beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) entfällt jedoch (bislang musste der Inhaber von Datensammlungen seine Sammlungen grundsätzlich beim EDÖB anmelden). Das neue DSG enthält eine Auflistung der Informationen, die dieses Verzeichnisse enthalten muss.
“Auftragsverarbeitung bzw. Auftragsbearbeitung”
Das neue DSG ersetzt den Begriff „Dritter“ mit „Auftragsbearbeiter“, welches der Funktion des Auftragsverarbeiters in der DSGVO entspricht. Es ist weiterhin möglich die Verarbeitung personenbezogener Daten an einen Auftragsbearbeiter auszulagern, sofern die Daten so verarbeitet werden, wie der Verantwortliche es selbst tun dürfte, und der Verarbeitung keine gesetzliche oder vertragliche Geheimhaltungspflicht der Übertragung entgegensteht.
Ein Vertrag zur Auftragsbearbeitung ist weiterhin nicht zwingend, jedoch muss der Verantwortliche sich vorab vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Neu ist, dass der Auftragsbearbeiter sich die Zustimmung des Verantwortlichen einholen muss, bevor er einen Unterauftragsbearbeiter einsetzt.
“Datenschutz-Folgenabschätzung (DSFA)”
In Anlehnung an die DSGVO muss der Verantwortliche vor der Verarbeitung personenbezogener Daten eine DSFA erstellen, sofern die Verarbeitung voraussichtlich zu einem hohen Risiko für die betroffene Person führt. Die Anforderungen wann und wie solche eine DSFA zu erfolgen hat, sind denen der DSGVO weitgehend ähnlich.
“Privacy by Design und Privacy by Default”
Die Konzepte Privacy by Design und Privacy by Default sind wie auch in der DSGVO im neuen DSG verankert. Demnach hat der Verantwortliche seine Datenverarbeitung nicht nur so zu gestalten, dass die Datenschutzvorschriften und die Grundsätze der Datenverarbeitung eingehalten werden, sondern dass mittels geeigneter technischer Voreinstellung die Verarbeitung personenbezogener Daten auf ein Minimum reduziert wird.
“Datensicherheit”
Unter dem neuen DSG stehen Verantwortliche und Auftragsbearbeiter in der Pflicht, durch geeignete technische und organisatorische Maßnahmen (TOM) eine dem Risiko angemessene Datensicherheit zu gewährleisten. Der Begriff des Risikos wird wie auch in der DSGVO neu eingeführt.
Es ist zu erwarten, dass der Bundesrat Bestimmungen über die Mindestanforderungen an die Datensicherheit erlässt.
“Meldung von Datenschutzvorfällen”
Wie auch unter der DSGVO müssen laut dem neuen DSG Datenpannen zukünftig gemeldet werden. Der Ansatz unterscheidet sich jedoch zu dem der DSGVO. Demnach müssen in der Schweiz nur die Vorfälle dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden, die ein hohes Risiko für den Betroffenen darstellen. Maßgebend ist dabei unter anderem das Ausmaß der Gefährdung der betroffenen Person.
Eine Frist für die Meldung gibt es nicht, jedoch muss ein meldepflichtiger Vorfall ab Kenntnisnahme „so rasch wie möglich“ gemeldet werden. Auch unter dem neuen DSG unterliegt der Auftragsbearbeiter nicht der Meldepflicht, sondern muss so schnell wie möglich den Verantwortlichen über den Vorfall in Kenntnis setzen.
“Vertreter in der Schweiz”
Verantwortliche, die nicht in der Schweiz ansässig sind, aber personenbezogene Daten von Betroffenen verarbeiten, die sich in der Schweiz aufhalten, müssen einen Vertreter in der Schweiz benennen, wenn eine der drei Situationen zutrifft:
- Die Verarbeitung steht im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen in der Schweiz oder mit der Überwachung des Verhaltens von Menschen in der Schweiz.
- Die Verarbeitung personenbezogener Daten ist umfangreich und findet regelmäßig statt.
- Die Verarbeitung führt wahrscheinlich zu einem hohen Risiko für die Privatsphäre der betroffenen Person.
Die neuen Pflichten sind vergleichbar mit der Pflicht zur Benennung eines EU-Vertreters gemäß DSGVO und dient ebenfalls als Anlaufstelle für Betroffene und die Schweizer Aufsichtsbehörde. Der Verantwortliche muss den Namen und die Adresse des Vertreters veröffentlichen.
“Rolle des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)”
Der EDÖB, die Schweizer Datenschutzbehörde, hat unter dem neuen DSG erweiterte Aufgaben und Kompetenzen. Er kann demnach nicht nur Maßnahmen empfehlen, sondern verfügt unter dem neuen DSG auch über Verwaltungsmaßnahmen, z.B. Anordnung einer Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland. Im Vergleich zu Datenschutzbehörden in der EU/EWR kann der EDÖB jedoch keine Bußgelder verhängen.
“Höhere Sanktionen”
Die Strafbestimmungen wurden immens verstärkt, wenngleich sie mit den unter der DSGVO möglichen Bußgeldern kaum vergleichbar sind. Die Zuständigkeit liegt dabei bei den kantonalen Staatsanwaltschaften. Private Personen stehen im Fokus (nicht wie unter der DSGVO Unternehmen).
Demnach können natürliche Personen mit Geldbußen bis zu 250.000 Franken bestraft werden, wenn sie gegen die Informations- oder Auskunftspflichten verstoßen oder ihre Sorgfaltspflichten verletzen, z.B. Daten ins Ausland übermitteln, ohne die gesetzlichen Anforderungen zu erfüllen. Auch Personen, die dem EDÖB vorsätzlich im Rahmen einer Untersuchung die Mitwirkung verweigern, machen sich strafbar.
Werden Verfügungen des EDÖB oder einer Rechtsmittelinstanz nicht befolgt, drohen Geldbußen bis zu 250.000 Franken.
Verstöße gegen zentrale neu im Gesetz verankerte Pflichten, wie beispielsweise das Führen eines Verarbeitungsverzeichnisses, oder die Meldung von Datenschutzverstößen, werden jedoch nicht im Bußgeldkatalog gelistet.
Die wichtigsten Erkenntnisse aus dem neuen Schweizer Datenschutzgesetz
Durch die Änderungen des neuen DSG findet eine Annäherung des Schweizer Datenschutzrechts an die DSGVO statt. Als wichtigste Neuerung ist die erhöhte Transparenz (Information über Datenverarbeitungen) und Stärkung der Rechte der betroffenen Personen zu nennen. Aber auch die Stärkung der Datenschutzbehörde und der Ausbau der Strafbestimmungen gehören zu den zentralen Aspekten der Revision.
Im Zusammenhang mit grenzüberschreitenden Datenübermittlungen bleiben bestehende Regelungen weitgehend unberührt. Der Bundesrat (und nicht mehr der EDÖB wie unter dem alten DSG) entscheidet, ob eine Jurisdiktion ein angemessenes Datenschutzniveau bietet oder nicht. Die grenzüberschreitende Weitergabe an eine beliebige Jurisdiktion mit einem positiven Angemessenheitsentscheid ist dann erlaubt.
In Bezug auf Datentransfers in die USA ist die Situation ähnlich wie in der EU. Nachdem der EDÖB dem Regime des Swiss-U.S. Privacy Shield die Anerkennung als Grundlage für einen angemessenen Datenschutz für die Datenbekanntgabe von der Schweiz an die USA abgesprochen hat, muss die Datenverarbeitung auf eine neue Grundlage gestellt werden. Die EU-Standardvertragsklauseln (SCC) oder verbindliche Unternehmensregeln (BCR) können hierfür verwendet werden.
Handlungsempfehlungen für Unternehmen in und außerhalb der Schweiz
Hinweis: Die folgenden Empfehlungen fokussieren auf Unternehmen in der EU. Was das neue Schweizer Datenschutzgesetz für eidgenössische Unternehmen bedeutet, lesen Sie bei unserem Partner activeMind.ch.
Verantwortliche und Auftragsverarbeiter mit Sitz in der Schweiz oder solche, die an Datenübermittlungen in die und aus der Schweiz beteiligt sind, sollten folgende Maßnahmen umsetzen:
- Führen Sie eine Bestandsaufnahme ihrer Datenverarbeitungen durch, um anschließend im Rahmen einer Gap-Analyse den datenschutzrechtlichen Handlungsbedarf festzustellen.
- Stellen Sie sicher, dass Betroffene ausreichend informiert werden.
- Legen Sie Prozesse fest, um Betroffenenanfragen nachkommen zu können.
- Stellen Sie sicher, dass Sie auf Datenschutzvorfälle reagieren können und ein Meldeprozess vorhanden ist.
- Erstellen und pflegen Sie ein aktuelles Verzeichnis der Verarbeitungstätigkeiten.
- Überprüfen Sie die Datenverarbeitung durch Auftragsverarbeiter.
- Beurteilen Sie, ob ein Vertreter in der Schweiz notwendig ist.
Unternehmen, die bereits ein Datenschutzmanagement nach Anforderungen der DSGVO eingeführt haben, werden geringeren Handlungsbedarf haben, als Unternehmen die solche Maßnahmen noch nicht ergriffen haben.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!