In der Schweiz tritt am 1. September 2023 ein neues Datenschutzgesetz in Kraft. Dies soll vor allem die datenschutzrechtlichen Bedingungen in der Schweiz an die DSGVO anpassen.

Alles, was Sie zu den rechtlichen Neuerungen wissen müssen, erfahren Sie hier.

Warum ein neues Schweizer Datenschutzgesetz?

Genau genommen handelt es sich um drei Regelungswerke, die die Schweiz ausgearbeitet hat: Das neue Schweizer Bundesgesetz über den Datenschutz (DSG), die neue Datenschutzverordnung (DSV) und die neue Verordnung über Datenschutzzertifizierung (VDSZ). Alle drei treten zum 1. September 2023 in Kraft.

Die momentan geltende Fassung des Schweizer Bundesgesetzes über Datenschutz stammt aus dem Jahre 1993. Diese bietet keine Gleichwertigkeit mehr mit der in der EU geltenden DSGVO. Der Angemessenheitsbeschluss der EU-Kommission aus dem Jahre 2000 gerät deshalb ins Wanken. Sollte sich diese Situation weiter zuspitzen, könnte die Schweiz datenschutzrechtlich als Drittland im Sinne der DSGVO gewertet werden, was für die Schweiz wirtschaftliche Probleme mit sich bringen würde. Es müsste dann eine Absicherung etwa über Standardvertragsklauseln (Art. 46 DSGVO) stattfinden.

Die Schweiz gibt nun allerdings doch dem Zugzwang seit der Einführung der DSGVO nach und gleicht das eigene Datenschutzrecht der DSGVO an.

Was regelt das neue Schweizer Datenschutzgesetz?

Hier finden Sie eine Übersicht der wichtigsten Regelungen des neuen Schweizer Datenschutzgesetzes:

Geltungsbereich

Der sachliche Geltungsbereich des DSG wird ausgeweitet. Er umfasst alle Datenverarbeitungen, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst sind.

Im persönlichen Geltungsbereich sind nur noch natürliche Personen geschützt, juristische dagegen nicht.

Erweiterte Informationspflichten für Verantwortliche

Auch die Informationspflichten für Verantwortliche im DSG werden ausgeweitet. Sie erstrecken sich nun auf die Verarbeitung jeglicher personenbezogenen Daten. Sie sind vergleichbar mit den Art. 13 und 14 DSGVO.

Betroffenenrechte

Im neuen DSG ist geregelt, dass Betroffene ein Recht auf umfassende Auskunft, Datenübertragbarkeit und Herausgabe von Daten haben. Alle diese Rechte müssen kostenlos geltend zu machen sein.

Die Grundsätze privacy by design und privacy by default sind im neuen DSG genauso zu finden wie in der DSGVO.

Dokumentationspflichten

Nach dem neuen DSG sind Verantwortliche und Auftragsverarbeiter verpflichtet, jede Datenverarbeitung zu dokumentieren. Diese Datensammlung muss jedoch nicht mehr angemeldet werden. Im neuen DSG ist aufgelistet, welche Informationen das Verzeichnis haben muss.

Automatisierte Entscheidungsfindung und Profiling

Wenn ein Verantwortlicher automatisierte Entscheidungsfindungen nutzt, muss er den Betroffenen darüber informieren. Der Betroffene kann verlangen, dass diese Entscheidung von einem Menschen überprüft wird.

Weiterhin ist beim Profiling grundsätzlich keine Einwilligung erforderlich, es sei denn, es handelt sich um sogenanntes „Profiling mit hohem Risiko“, bei dem es zu einer Verknüpfung von Daten kommt, die eine Beurteilung der Persönlichkeit ermöglichen.

Auftragsverarbeitung

Das neue DSG führt den Begriff des „Auftragsbearbeiters“ ein, der dem „Auftragsverarbeiter“ in der DSGVO entspricht. Die Übergabe von Datenverarbeitungsprozessen an diesen ist möglich, wenn sie so durchgeführt werden, wie sie auch der Verantwortliche hätte durchführen müssen. Außerdem darf bei einer Geheimhaltungspflicht keine Auftragsbearbeitung stattfinden. Der Verantwortliche muss sicherstellen, dass der Auftragsbearbeiter die entsprechenden Anforderungen erfüllt. Will der Auftragsbearbeiter die Datenbearbeitung seinerseits weitergeben, muss er dafür die Zustimmung des Verantwortlichen einholen.

Datenschutzfolgenabschätzung

Das neue DSG führt eine Datenschutzfolgenabschätzung ein, die der in der DSGVO weitgehend entspricht.

Datensicherheit

Das neue DSG sieht ebenfalls den Verantwortlichen und Auftragsbearbeiter in der Pflicht, entsprechende technische und organisatorische Maßnahmen (TOM) einzuführen, um die Datensicherheit zu gewährleisten. Hier benutzt das neue DSG wie die DSGVO den Begriff des Risikos. Über die Mindestanforderungen bedarf es noch genauerer Bestimmungen vom Bundesrat.

Datenpannen müssen wie in der DSGVO auch gemeldet werden. Allerdings nur solche, die ein hohes Risiko für die Betroffenen darstellen. Der Auftragsbearbeiter muss die Meldung solcher Vorfälle an den Verantwortlichen richten und dieser wiederum an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Vertreter für ausländische Verarbeiter

Verantwortliche, die in der Schweiz Daten verarbeiten, aber nicht dort ansässig sind, müssen in drei Fällen einen Vertreter in der Schweiz haben. Diese Fälle bezeichnen Angebot von Waren und Dienstleistungen in der Schweiz oder Überwachung des Verhaltens von Menschen in der Schweiz, umfangreiche und regelmäßige Verarbeitung oder hohe Risiken für die Privatsphäre der Betroffenen. Die Regelung ähnelt damit der des EU-Vertreters in der DSGVO.

Datenschutzbehörden und Sanktionen

Die Schweizer Datenschutzbehörde (EDÖB) erhält durch das neue DSG erweiterte Aufgaben und Kompetenzen. Sie gleicht damit den europäischen Datenschutzbehörden, kann aber keine Bußgelder verhängen.

Mögliche Sanktionen sind im neuen DSG deutlich höher beziffert als die Bußgelder der DSGVO. Zuständig sind die kantonalen Staatsanwaltschaften. Private Personen stehen dabei im Fokus und nicht wie unter der DSGVO Unternehmen. Jedoch werden nicht alle Pflichtverletzungen auch im Bußgeldkatalog gelistet.

Was gilt es nun zu beachten?

Das Schweizer Datenschutzrecht nähert sich nun stark der DSGVO an.

Verantwortliche mit Bezug zur Schweiz sollten eine Bestandsaufnahme ihrer Datenverarbeitungen vornehmen, um Handlungsbedarf zu erkennen. Es sind entsprechende Prozesse festzulegen, Meldeprozesse einzurichten, ein Verzeichnis zu erstellen, Auftragsverarbeiter zu überprüfen und gegebenenfalls ein Vertreter zu ernennen.

Sie benötigen Unterstützung rund um das Thema Datenschutz und Datensicherheit? Unser Team an Experten hilft ihnen gerne weiter. Kontaktieren Sie uns hier.

DSB buchen
de_DEDeutsch