Das Datenschutzrecht in der Schweiz wurde grundlegend überarbeitet. Das neue Schweizer Bundesgesetz über den Datenschutz (Datenschutzgesetz – DSG) orientiert sich an der EU-Datenschutz-Grundverordnung (DSGVO), vor allem mit dem Ziel wieder einen positiven Angemessenheitsbeschluss der EU-Kommission zu erhalten.
Das neue DSG sowie die neue Datenschutzverordnung (DSV) und die neue Verordnung über Datenschutzzertifizierungen (VDSZ) sind am 1. September 2023 in Kraft getreten. Wir zeigen auf, worauf Schweizer Unternehmen achten müssen und wie sie die neuen Vorschriften zum Datenschutz am besten umsetzen.
Warum ein neues Schweizer Datenschutzgesetz?
Das Schweizer Bundesgesetz über den Datenschutz stammte in der alten Version aus dem Jahr 1993. Vor allem durch die Einführung der Datenschutz-Grundverordnung in den umliegenden EU-Staaten kam die Schweiz in Zugzwang, ihr nationales Datenschutzrecht zu überarbeiten. Die Gleichwertigkeit des derzeitigen Schweizer Gesetzes mit der entsprechenden EU-Regulierung war nicht mehr gegeben.
Der Angemessenheitsbeschluss der EU-Kommission aus dem Jahre 2000 stand somit auf der Kippe. Die Schweiz lief Gefahr als unsicheres Drittland eingestuft zu werden. Ohne bestehenden Angemessenheitsbeschluss müsste der Datenverkehr zwischen der Schweiz und EU bzw. EWR (Europäischem Wirtschaftsraum) mit geeigneten Garantien im Einzelfall abgesichert werden, insbesondere mit Standardvertragsklauseln (Art. 46 DSGVO).
Es ist demnach nicht verwunderlich, dass die alte Fassung des DSG umfassend revidiert wurde, mit dem Ziel die technologischen Entwicklungen und die EU-Vorgaben zu berücksichtigen. Einigung über den Entwurf gab es bereits 25. September 2020 im Schweizer Parlament. Am 31. August 2022 verabschiedete der Bundesrat das neue DSG.
Nachdem nun das Datenschutzgesetz am 1. September 2023 in Kraft getreten ist, gibt es keine Übergangsfrist. Schweizer Unternehmen sind demnach gut beraten, die neuen Anforderungen schnellstens umzusetzen.
Die wichtigsten Regelungen des neuen Schweizer Datenschutzrechts
Geltungsbereich
Der Geltungsbereich wird unter dem neuen DSG ausgeweitet und erstreckt sich nun auch auf Datenbearbeitungen, die sich in der Schweiz auswirken, obwohl sie im Ausland veranlasst wurden. Beispielsweise müssen Unternehmen, welche ihren Sitz im Ausland haben und von dort Personendaten von natürlichen Personen in der Schweiz bearbeiten, um Waren oder Dienstleistungen anzubieten oder Profile zu erstellen, das neue DSG beachten.
Kein Schutz mehr für juristische Personen
Nur noch natürliche Personen unterstehen dem Schutz des neuen DSG. Dies steht im Einklang mit den Bestimmungen der DSGVO und den meisten nationalen Datenschutzgesetzen der EU-Mitgliedstaaten.
Externe oder interne Datenschutzberater
Private Unternehmen können einen externen oder internen Datenschutzberater ernennen. Zu den Aufgaben gehören die allgemeine Beratung und Schulung des Unternehmens in Fragen des Datenschutzes sowie die Mitwirkung beim Erlass und der Anwendung von Datenschutzvorschriften.
Datenschutzberater sind vom Verantwortlichen fachlich unabhängig und weisungsungebunden. Sie fungieren als innerbetriebliche Anlaufstelle und erste Ansprechperson für den EDÖB.
Bundesorgane sind gesetzlich dazu verpflichtet, einen Datenschutzberater zu bestellen.
Erweiterung der Informationspflichten für Verantwortliche
Die Informationspflicht ist nun auf die Bearbeitung jeglicher Personendaten ausgedehnt worden. Bisher bestand die Pflicht nur bei der Bearbeitung besonders schützenswerter Daten und der Erstellung von Persönlichkeitsprofilen.
Der Verantwortliche muss den Betroffenen grundsätzlich darüber informieren, wenn eine Entscheidung ausschliesslich auf einer automatisierten Bearbeitung beruht und diese Entscheidung rechtliche Auswirkungen für den Betroffenen hat. Zudem kann der Betroffene verlangen, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird.
Profiling
Eine Einwilligung für die Bearbeitung von Personendaten ist beim Profiling nach wie vor grundsätzlich nicht erforderlich. Allerdings führt das neue DSG den Begriff „Profiling mit hohem Risiko“ ein. Damit ist diejenige Art von Profiling gemeint, bei dem es zu einer Verknüpfung von Daten kommt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt. Bei dieser Art von Profiling muss eine ausdrückliche Einwilligung des Betroffenen eingeholt werden.
Betroffenenrechte
Das Recht einer betroffenen Person über die Bearbeitung Ihrer Personendaten Auskunft zu erhalten, wird im neuen DSG ausgeweitet. Die Liste an Mindestinformationen, die vom Verantwortlichen herausgegeben werden müssen, wurde erweitert und enthält beispielsweise die Aufbewahrungsdauer der bearbeiteten Personendaten.
Konkret sind einer betroffenen Person grundsätzlich alle Informationen zur Verfügung zu stellen, welche erforderlich sind, damit sie die ihr nach dem neuen DSG zustehenden Rechte geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist.
Mit dem Recht auf Datenübertragbarkeit erhalten Betroffene zudem ein neues Recht und können kostenlos vom Verantwortlichen die Herausgabe ihrer Personendaten bzw. deren Übertragung an einen anderen Verantwortlichen in maschinenlesbarer Form verlangen.
Verzeichnis der Bearbeitungstätigkeiten
Das neue DSG verlangt von Verantwortlichen und Auftragsbearbeitern ein Verzeichnis der Bearbeitungstätigkeiten zu führen, welches jede Datenbearbeitung dokumentiert. Die bisherige Meldepflicht beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) entfällt jedoch (bislang musste der Inhaber von Datensammlungen seine Sammlungen grundsätzlich beim EDÖB anmelden). Das neue DSG enthält eine Auflistung der Informationen, die dieses Verzeichnis enthalten muss.
Tipp: Nutzen Sie unsere kostenlosen Vorlagen für ein Verzeichnis der Bearbeitungstätigkeiten für Verantwortliche und Auftragsbearbeiter.
Bearbeitung durch Auftragsbearbeiter
Das neue DSG ersetzt den Begriff „Dritter“ mit „Auftragsbearbeiter“, welches der Funktion des Auftragsverarbeiters in der DSGVO entspricht. Es ist weiterhin möglich, die Bearbeitung von Personendaten an einen Auftragsbearbeiter auszulagern, sofern die Daten so verarbeitet werden, wie der Verantwortliche es selbst tun dürfte, und der Bearbeitung keine gesetzliche oder vertragliche Geheimhaltungspflicht der Übertragung entgegensteht.
Ein Vertrag zur Auftragsbearbeitung ist notwendig, sobald eine bestimme Datenbearbeitung durch einen Auftragsbearbeiter durchgeführt wird und es keine gesetzliche Grundlage für die Auftragsbearbeitung gibt.
Neu ist, dass der Auftragsbearbeiter sich die Zustimmung des Verantwortlichen einholen muss, bevor er einen Unterauftragsbearbeiter einsetzt.
Tipp: Lesen Sie unsere umfassende Anleitung zur Auftragsbearbeitung!
Datenschutz-Folgenabschätzung (DSFA)
In Anlehnung an die DSGVO muss der Verantwortliche vor der Bearbeitung von Personendaten eine DSFA erstellen, sofern die Verarbeitung voraussichtlich zu einem hohen Risiko für die betroffene Person führt. Mit der Datenschutz-Folgenabschätzung sollen Unternehmen die Risiken und Folgen evaluieren, die für Betroffene (z. B. Mitarbeiter) aus Datenbearbeitungen folgen können.
Wird eine DSFA nicht oder nur unzureichend durchgeführt, drohen dem Unternehmen ein Bussgeld und / oder ein Verbot der Datenbearbeitung.
Privacy by Design und Privacy by Default
Die Konzepte Privacy by Design und Privacy by Default sind im neuen DSG verankert. Demnach hat der Verantwortliche seine Datenbearbeitung so zu gestalten,
- dass die Datenschutzvorschriften und die Grundsätze der Datenbearbeitung eingehalten werden und
- dass mittels geeigneter technischer Voreinstellung die Bearbeitung von Personendaten auf ein Minimum reduziert wird.
Datensicherheit
Unter dem neuen DSG stehen Verantwortliche und Auftragsbearbeiter in der Pflicht, durch geeignete technische und organisatorische Massnahmen (TOM) eine dem Risiko angemessene Datensicherheit zu gewährleisten. Der Risikobegriff wird im DSG neu eingeführt und bildet den Massstab für die Wahl der technischen und organisatorischen Massnahmen für die Sicherheit der Bearbeitung.
Meldung von Datenschutzvorfällen
Laut dem neuen DSG müssen Datenpannen zukünftig gemeldet werden. Demnach müssen in der Schweiz diejenigen Vorfälle dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden, die ein hohes Risiko für den Betroffenen darstellen. Massgebend ist dabei unter anderem das Ausmass der Gefährdung der betroffenen Person.
Eine Frist für die Meldung gibt es nicht, jedoch muss ein meldepflichtiger Vorfall ab Kenntnisnahme „so rasch wie möglich“ gemeldet werden. Ein Auftragsbearbeiter unterliegt zwar nicht der Meldepflicht, muss aber so schnell wie möglich den Verantwortlichen über den Vorfall in Kenntnis setzen.
Vertreter in der Schweiz
Verantwortliche, die nicht in der Schweiz ansässig sind, aber Personendaten von Betroffenen bearbeiten, die sich in der Schweiz aufhalten, müssen einen Vertreter in der Schweiz benennen, wenn eine der drei Situationen zutrifft:
- Die Bearbeitung steht im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen in der Schweiz oder mit der Überwachung des Verhaltens von Menschen in der Schweiz.
- Die Bearbeitung von Personendaten ist umfangreich und findet regelmässig statt.
- Die Bearbeitung führt wahrscheinlich zu einem hohen Risiko für die Privatsphäre der betroffenen Person.
Die neuen Pflichten sind vergleichbar mit der Pflicht zur Benennung eines EU-Vertreters gemäss DSGVO und dient ebenfalls als Anlaufstelle für Betroffene und die Schweizer Aufsichtsbehörden. Der Verantwortliche muss den Namen und die Adresse des Vertreters veröffentlichen.
Rolle des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)
Der EDÖB, die oberste Schweizer Datenschutzbehörde, hat unter dem neuen DSG erweiterte Aufgaben und Kompetenzen. Er kann demnach nicht nur Massnahmen empfehlen, sondern verfügt unter auch über Verwaltungsmassnahmen, z.B. Anordnung einer Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland.
Im Unterschied zu Datenschutzbehörden in der EU kann der EDÖB jedoch keine Bussgelder verhängen.
Höhere Sanktionen
Die Strafbestimmungen wurden immens verstärkt, wenngleich sie mit den unter der DSGVO möglichen Bussgeldern kaum vergleichbar sind. Die Zuständigkeit liegt dabei bei den kantonalen Staatsanwaltschaften. Private Personen stehen im Fokus.
Demnach können natürliche Personen mit Geldbussen bis zu 250.000 Franken bestraft werden, wenn sie gegen die Informations- oder Auskunftspflichten verstossen oder ihre Sorgfaltspflichten verletzen, z.B. Daten ins Ausland übermitteln, ohne die gesetzlichen Anforderungen zu erfüllen. Auch Personen, die dem EDÖB vorsätzlich im Rahmen einer Untersuchung die Mitwirkung verweigern, machen sich strafbar.
Werden Verfügungen des EDÖB oder einer Rechtsmittelinstanz nicht befolgt, drohen Geldbussen bis zu 250.000 Franken.
Verstösse gegen zentrale, neu im Gesetz verankerte Pflichten, wie beispielsweise das Führen eines Bearbeitungsverzeichnisses oder die Meldung von Datenschutzverstössen, werden jedoch nicht im Bussgeldkatalog gelistet.
Die wichtigsten Erkenntnisse aus dem neuen Schweizer Datenschutzgesetz
Durch die Änderungen des neuen DSG findet eine deutliche Annäherung des Schweizer Datenschutzrechts an die DSGVO statt. Als wichtigste Neuerung ist die erhöhte Transparenz (Information über Datenbearbeitungen) und Stärkung der Rechte der betroffenen Personen zu nennen. Aber auch die Stärkung der Datenschutzbehörde und der Ausbau der Strafbestimmungen gehören zu den zentralen Aspekten der Revision.
Im Zusammenhang mit grenzüberschreitenden Datenübermittlungen bleiben bestehende Regelungen weitgehend unberührt. Der Bundesrat (und nicht mehr der EDÖB wie unter dem alten Datenschutzrecht) entscheidet, ob eine Jurisdiktion ein angemessenes Datenschutzniveau bietet oder nicht. Die grenzüberschreitende Weitergabe an eine beliebige Jurisdiktion mit einem positiven Angemessenheitsentscheid ist dann erlaubt.
In Bezug auf Datentransfers in die USA ist die Situation ähnlich wie in der EU. Nachdem der EDÖB dem Regime des Swiss-U.S. Privacy Shield die Anerkennung als Grundlage für einen angemessenen Datenschutz für die Datenbekanntgabe von der Schweiz an die USA abgesprochen hat, muss die Datenverarbeitung auf eine neue Grundlage gestellt werden. Die EU-Standardvertragsklauseln (SCC) oder verbindliche Unternehmensregeln (BCR) können hierfür verwendet werden.
Handlungsempfehlungen für Unternehmen in der Schweiz
Verantwortliche und Auftragsbearbeiter mit Sitz in der Schweiz sollten umgehend folgende Massnahmen umsetzen:
- Führen Sie eine Bestandsaufnahme Ihrer Datenbearbeitungen durch, um anschliessend im Rahmen einer Gap-Analyse den datenschutzrechtlichen Handlungsbedarf festzustellen.
- Stellen Sie sicher, dass Betroffene ausreichend informiert werden.
- Legen Sie Prozesse fest, um Betroffenenanfragen nachkommen zu können.
- Stellen Sie sicher, dass Sie auf Datenschutzvorfälle reagieren können und ein Meldeprozess vorhanden ist.
- Erstellen und pflegen Sie ein aktuelles Verzeichnis der Datenbearbeitung
- Überprüfen Sie die Datenbearbeitungen durch Auftragsbearbeiter.
- Schulen Sie Mitarbeiter, die Zugriff auf Personendaten haben, zu den Anforderungen des DSG.
Unternehmen, die bereits ein Datenschutzmanagement nach Anforderungen der DSGVO eingeführt haben, werden geringeren Handlungsbedarf haben als Unternehmen, die solche Massnahmen noch nicht ergriffen haben.