Schweizer- Datenschutzgesetz im Kontext zur EU-DSGVO | Compliance

Christopher Schmieg
Global Director Data Privacy & Digital Risks bei Bucherer AG | Rechtsanwalt

Schweizer- Datenschutzgesetz im Kontext zur EU-DSGVO — Bild: Haufe Online Redaktion

Die Basis für die Überarbeitung des Datenschutzgesetzes in der Schweiz bilden die Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO). Dennoch bleiben noch deutliche Unterschiede bestehen.

Das revidierte Schweizer Datenschutzgesetz

Die Basis für die Überarbeitung des Datenschutzgesetzes in der Schweiz bilden die Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO). Es ist jedoch zu beachten, dass das schweizerische Gesetz nicht einfach eine 1:1-Umsetzung der DSGVO ist. Stattdessen erfolgt die Umsetzung der Datenschutzregeln in der Regel weniger formalistisch und spezifisch. Ein markanter Unterschied besteht darin, dass die Überarbeitung teilweise strengere Sanktionen, erweiterte Informationspflichten und die Verpflichtung zur Erstellung eines Bearbeitungsverzeichnisses vorsieht.

Das Ziel des neuen Schweizer Datenschutzgesetzes besteht darin, den Schutz der Persönlichkeits- und Grundrechte natürlicher Personen in der Schweiz zu gewährleisten und ihre Daten vor Verarbeitung durch private Unternehmen oder staatliche Stellen zu schützen. Im Gegensatz dazu sind Daten von juristischen Personen nicht mehr durch die neuen Regelungen geschützt. Die Gesetzesänderung zielt darauf ab, mehr Transparenz zu schaffen und das Selbstbestimmungsrecht in Bezug auf persönliche Daten zu stärken. Zusätzlich sollen Datenverarbeiter präventiv auf Risiken aufmerksam gemacht werden, um eigenverantwortlicher handeln zu können.

Für Unternehmen bedeutet die Revision des Datenschutzgesetzes neue Verpflichtungen, insbesondere im Zusammenhang mit der Erhebung, dem Verlust oder dem Missbrauch von personenbezogenen Daten.

Die revDSG Neuerungen im Überblick

1. Anwendungsbereich: Auswirkungsprinzip, juristische Personen

Im neuen Datenschutzgesetz (nDSG) wird der räumliche Geltungsbereich nun explizit nach dem sogenannten Auswirkungsprinzip festgelegt. Das bedeutet, dass das Gesetz auch für Unternehmen mit ausländischem Sitz anwendbar ist, sofern sie personenbezogene Daten verarbeiten und diese Datenverarbeitung Auswirkungen in der Schweiz hat. Die bisherigen Grundsätze für die zivil- und strafrechtliche Durchsetzung bleiben jedoch unverändert bestehen.

Neu können Unternehmen ohne Sitz in der Schweiz zusätzlich dazu verpflichtet sein, eine Vertretung in der Schweiz zu benennen, wenn sie personenbezogene Daten von Personen in der Schweiz verarbeiten. Diese Verpflichtung tritt in Kraft, wenn die Datenverarbeitung im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen (sogenannte Angebotsausrichtung) oder der Verhaltensbeobachtung dieser Personen steht. Darüber hinaus muss es sich um eine umfangreiche und regelmäßige Datenverarbeitung handeln, die ein hohes Risiko für die Persönlichkeitsrechte der betroffenen Personen birgt.

Die Anwendung des nDSG auf Daten juristischer Personen entfällt künftig. Diese spezifische Regelung in der Schweiz wird erfreulicherweise aufgehoben. Es sollte jedoch beachtet werden, dass dies in der Praxis möglicherweise nicht zu übermäßigen Auswirkungen führt, da im B2B-Verkehr häufig auch eine Verarbeitung von Daten natürlicher Personen erfolgt, beispielsweise der Ansprechpartner.

2. Datenverarbeitungsverzeichnis

Künftig wird gemäß dem neuen Datenschutzgesetz in der Schweiz, ähnlich wie unter der Datenschutz-Grundverordnung (DSGVO), die Pflicht zur Führung eines Verzeichnisses sämtlicher Datenbearbeitungen eingeführt („Verzeichnis der Bearbeitungstätigkeiten“). Für die meisten Unternehmen wird das Erstellen eines solchen Verzeichnisses vermutlich einen erheblichen Aufwand bei der Umsetzung bedeuten, insbesondere wenn entsprechende Maßnahmen zur Einhaltung der DSGVO-Compliance noch nicht ergriffen wurden. Dieser erhebliche Aufwand resultiert daraus, dass sämtliche Datenbearbeitungen im gesamten Unternehmen erfasst, detaillierte Angaben gemacht und kontinuierlich aktualisiert werden müssen. Der Mindestinhalt dieses Bearbeitungsverzeichnisses ist gesetzlich sowohl für den Verantwortlichen als auch den Auftragsbearbeiter vorgeschrieben.

Das Bearbeitungsverzeichnis des Verantwortlichen muss mindestens die folgenden Angaben enthalten:

Die Identität des Verantwortlichen.
Den Bearbeitungszweck.
Eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten.
Die Kategorien der Empfängerinnen und Empfänger.
„Wenn möglich“ die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer.
„Wenn möglich“ eine allgemeine Beschreibung der Maßnahmen zur Gewährleistung der Datensicherheit (geeignete technische und organisatorische Maßnahmen, die es ermöglichen, Verletzungen der Datensicherheit zu vermeiden).
Falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien, durch die ein geeigneter Datenschutz gewährleistet wird.
Es empfiehlt sich auch hinsichtlich Third- Parties zu prüfen, ob ein Auftragsverarbeitungsvertrag bereits vorliegt. Nach dem nDSG kann dies zukünftig sanktioniert werden.

3. Erweiterte Informationspflicht

Die Informationspflicht wird im Vergleich zum bisherigen Recht erheblich erweitert. Leider enthält das neue Datenschutzgesetz (nDSG) keine abschließende Liste aller Pflichtinformationen, die der betroffenen Person bei der Datenerhebung mitgeteilt werden müssen. Es muss daher im Einzelfall geprüft werden, welche Angaben erforderlich sind. Dabei könnte eine Orientierung am Katalog der EU-Datenschutz-Grundverordnung (EU-DSGVO) in Betracht gezogen werden.

Mindestens sind jedoch folgende Pflichtangaben mitzuteilen:

Die Identität und Kontaktdaten des Verantwortlichen.
Die Bearbeitungszwecke.
Bei einer Bekanntgabe von Daten: die Empfänger oder Kategorien von Empfängern.
Bei einer Datenbekanntgabe ins Ausland: zusätzlich der Staat oder das internationale Organ und gegebenenfalls die Garantie für einen angemessenen Datenschutz oder den Ausnahmetatbestand, falls solche Garantien nicht gegeben sind.
Bei indirekter Datenerhebung (d.h., wenn Daten nicht direkt bei der betroffenen Person erhoben werden): zusätzlich die Kategorien der bearbeiteten Personendaten.
Die Durchführung automatisierter Einzelentscheidungen, d.h. eine Entscheidung, die ausschließlich auf automatisierter Bearbeitung beruht und die für die betroffene Person mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt.

4. Besonders schützenswerte Personendaten

Die Definition der besonders schützenswerten Personendaten wurde im Vergleich zum geltenden Datenschutzgesetz erweitert. Zukünftig fallen auch Daten über die Ethnie, genetische Daten sowie biometrische Daten, die eine natürliche Person eindeutig identifizieren, unter diese Kategorie. Im neuen Datenschutzgesetz (nDSG) wird die Gruppe der "Persönlichkeitsprofile", für die bisher die gleichen strengen Anforderungen wie für besonders schützenswerte Personendaten galten, nicht mehr enthalten sein (siehe jedoch die Regelungen zum Profiling unten).

5. Profiling

Im überarbeiteten Datenschutzgesetz wurde eine neue Legaldefinition für Profiling eingeführt, die der EU-Datenschutz-Grundverordnung (EU-DSGVO) entspricht und bisher im bestehenden Datenschutzgesetz fehlte. Profiling wird nun als "jede Art der automatisierten Bearbeitung von Personendaten" definiert, die dazu dient, bestimmte persönliche Aspekte einer natürlichen Person zu bewerten. Dies umfasst insbesondere Aspekte wie Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel.

Ursprünglich schlug der Bundesrat im Vorstadium vor, dass Profiling nur mit einem Rechtfertigungsgrund, wie der Einwilligung der Betroffenen, zulässig sein sollte. Obwohl dieser Vorschlag nicht im Gesetz verankert wurde, wurde im Parlament ähnliche Ansichten geäußert. Somit könnte Profiling auch weiterhin ohne Einwilligung zulässig sein, einschließlich des sogenannten "Profiling mit hohem Risiko". Trotz Unsicherheiten und Diskussionen im Parlament geht man davon aus, dass das Grundkonzept des Schweizer Datenschutzrechts beibehalten werden sollte. In jedem Fall löst es die Pflicht zur Durchführung einer Datenschutz- Folgenabschätzung aus.

Für private Verantwortliche wird eine Einwilligung oder eine andere Rechtfertigung für Profiling (insbesondere mit hohem Risiko) nur bei persönlichkeitsverletzender Datenverarbeitung erforderlich sein. Aufgrund der Unsicherheiten beim Rechtfertigungsgrund des überwiegenden Interesses könnte das Einholen einer Einwilligung weiterhin empfohlen werden, insbesondere wenn es um Profiling mit hohem Risiko geht. Im revidierten Datenschutzgesetz wird Profiling mit hohem Risiko definiert als solches, das eine erhebliche Gefahr für die Persönlichkeit oder die Grundrechte der betroffenen Person darstellt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt.

6. Erweiterung der Betroffenenrechte

Zusätzlich zur Ausweitung der Informationspflicht werden im neuen Datenschutzgesetz (nDSG) auch die Rechte der Betroffenen verstärkt. Ähnlich wie in der Datenschutz-Grundverordnung (DSGVO) wird nun ein Recht der betroffenen Person auf Datenherausgabe und -übertragung eingeführt. Betroffene Personen haben das Recht zu verlangen, dass die von ihnen bereitgestellten Daten in einem gängigen elektronischen Format herausgegeben oder an andere Anbieter übermittelt werden. Allerdings ist dieses Recht nicht bedingungslos. Insbesondere aufgrund der gesetzlichen Anforderungen an das "gängige elektronische Format" und die "Verhältnismäßigkeit" wird sich im Streitfall zeigen müssen, wie oft dieses Recht tatsächlich von den betroffenen Personen in Anspruch genommen werden kann.

Zusätzlich dazu hat die betroffene Person im Falle automatisierter Einzelentscheidungen (siehe Informationspflicht oben) ein Widerspruchsrecht. Dies bedeutet, dass die betroffene Person ihre Position zu solchen Entscheidungen darlegen kann und verlangen kann, dass eine natürliche Person die automatisierte Einzelentscheidung überprüft.

7. Strenge Regelung für Bonitätsprüfungen

Artikel 30 Absatz 2 Buchstabe c des neuen Datenschutzgesetzes (nDSG) legt strengere und spezifische Voraussetzungen für die Annahme eines überwiegenden Interesses bei der Durchführung einer Bonitätsprüfung fest. Eine solche Bonitätsprüfung ist nur dann gerechtfertigt, wenn:

Keine besonders schützenswerten Personendaten verarbeitet werden und es sich nicht um ein Profiling mit hohem Risiko handelt.
Die Daten Dritten nur bekanntgegeben werden, wenn diese die Daten für den Abschluss oder die Abwicklung eines Vertrags mit der betroffenen Person benötigen.
Die Daten nicht älter als zehn Jahre sind.
Die betroffene Person volljährig ist.

Zusätzliche Pflichten des Verantwortlichen

Es wurden ebenfalls neue Verpflichtungen im Zusammenhang mit der Bearbeitung von Personendaten eingeführt:

Data Breach Meldungen: Zwischenfälle, die zu Verletzungen der Datensicherheit führen könnten, wie etwa Datenverluste, müssen unverzüglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Gegebenenfalls ist auch die betroffene Person zu informieren, insbesondere wenn ein hohes Risiko für ihre Persönlichkeit oder Grundrechte besteht.

Datenschutz-Folgenabschätzungen: Wenn eine geplante Datenbearbeitung ein erhöhtes Risiko für Verletzungen der Persönlichkeit oder der Grundrechte einer betroffenen Person birgt, ist der Verantwortliche verpflichtet, die Risiken in einer Datenschutz-Folgeabschätzung zu analysieren. Insbesondere bei der Nutzung neuer Technologien oder umfangreicher Bearbeitung besonders schützenswerter Personendaten sowie bei systematischer Überwachung umfangreicher öffentlicher Bereiche ist davon auszugehen, dass ein hohes Risiko besteht.

Privacy-by-Design und Privacy-by-Default: Wie in der Datenschutz-Grundverordnung (DSGVO) sind auch im neuen Schweizer Datenschutzgesetz (nDSG) die Grundsätze des „Datenschutzes durch Technik“ und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ explizit verankert. Bereits ab Zeitpunkt der Planung von Personendatenverarbeitungen müssen angemessene technische und organisatorische Maßnahmen getroffen werden, um die Umsetzung von Datenschutzgrundsätzen, wie etwa Datenminimierung, sicherzustellen (Privacy-by-Design). Auch die Voreinstellungen bei Anwendungen oder Webseiten müssen so gestaltet sein, dass die Bearbeitung von Personendaten auf das für den jeweiligen Verwendungszweck notwendige Mindestmaß beschränkt ist (Privacy-by-Default).

Regelung für Data- Sharing innerhalb des Konzerns (Konzernprivileg)

Die zukünftige Regelung der konzerninternen Weitergabe von Personendaten und die Überlegung, ob ein sogenanntes Konzernprivileg eingeführt werden sollte, sorgten für reichlich Diskussion. Letztendlich hat ein solches Konzernprivileg jedoch nur in sehr begrenztem Umfang Eingang in das neue Gesetz gefunden. Unter dem neuen Datenschutzgesetz (nDSG) gelten zwar Ausnahmen von der Informationspflicht und dem Auskunftsrecht für den konzerninternen Datenaustausch; dennoch kann eine konzerninterne Weitergabe auch weiterhin persönlichkeitsverletzend sein und in diesem Fall nur bei Vorliegen eines Rechtfertigungsgrunds zulässig sein. Der besondere Rechtfertigungsgrund für die konzerninterne Bearbeitung gilt nur dann, wenn die betreffenden Daten und die Art ihrer Bearbeitung "für den wirtschaftlichen Wettbewerb" relevant und erforderlich sind. Daher müssen konzerninterne Bearbeitungen stets im Einzelfall sorgfältig auf ihre Rechtmäßigkeit geprüft werden.

Verschärfung der Sanktionen und Erweiterung der Befugnisse des eidgenössischen Datenschutzbeauftragten

Das neue Schweizer Datenschutzgesetz (nDSG) sieht strafrechtliche Sanktionen in Form einer Geldbuße von bis zu CHF 250’000 vor. Darüber hinaus kann der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ein verwaltungsrechtliches Untersuchungsverfahren einleiten und Verfügungen erlassen. Obwohl der EDÖB selbst keine Sanktionen verhängen kann, können bei Nichtbeachtung einer Anordnung des EDÖB, wie beispielsweise der Weiterbearbeitung von Daten trotz Verbot, Strafsanktionen in gleicher Höhe drohen. Die Durchsetzung der strafrechtlichen Sanktionen liegt in der Zuständigkeit der kantonalen Strafverfolgungsbehörden. Zusätzlich sind zivilrechtliche Klagen zur Beseitigung, Unterlassung oder Schadenersatz weiterhin möglich.

Während des Gesetzgebungsverfahrens wurde betont, dass die strafrechtlichen Sanktionen in erster Linie auf Führungspersonen abzielen und nicht auf ausführende Mitarbeiter. Gleichzeitig wurde jedoch nicht ausgeschlossen, dass in bestimmten Fällen auch Mitarbeiter ohne Leitungsfunktion sanktioniert werden könnten. Bei Verstößen, bei denen höchstens eine Geldbuße von CHF 50’000 in Frage kommt und der Aufwand für die Identifizierung der strafbaren Person innerhalb des Geschäftsbetriebs unverhältnismäßig wäre, kann das Unternehmen schließlich anstelle der natürlichen Person zur Zahlung der Geldbuße verurteilt werden.

To- Do`s für Unternehmen

Jedes Unternehmen sollte eine Bestandsaufnahme der Verarbeitung von Personendaten vornehmen und eine Risikobewertung im Unternehmen durchführen, das neue Gesetz umzusetzen. Schweizer Unternehmen, die große Mengen oder besonders schützenswerte Personendaten verarbeiten, müssen interne Prozesse so organisieren, dass klar ist, welche Personen Zugriff auf welche Daten haben und dass dieser Zugriff auf das notwendige Minimum beschränkt ist. Es ist ratsam, bestehende Datenschutzerklärungen und Verträge mit Auftragsbearbeitern zu überprüfen, anzupassen und ein Verzeichnis der Bearbeitungstätigkeiten zu erstellen.

Meistgelesene beiträge

Neueste beiträge

32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024

0 Kommentare zum Artikel

Um einen Kommentar zu schreiben, melden Sie sich bitte an.

Jetzt anmelden

Haufe Online Redaktion: Dieser Text wurde redaktionell gelöscht.

Antworten

Giovanna Belardi

Sun Jan 28 14:37:20 CET 2024Sun Jan 28 14:37:20 CET 2024

Um eine Antwort zu schreiben, melden Sie sich bitte an.

Sun Jan 28 14:37:12 CET 2024Sun Jan 28 14:37:12 CET 2024

Sun Jan 28 14:37:04 CET 2024Sun Jan 28 14:37:04 CET 2024

Sun Jan 28 14:36:47 CET 2024Sun Jan 28 14:36:47 CET 2024

Revision des Datenschutzgesetzes im Nachbarland Schweiz im Kontext der EU-DSGVO