Um sich der Datenschutzgrundverordnung (DSGVO) der Europäischen Union anzunähern und ihr Datenschutzrecht auf den Stand der Zeit zu bringen, hat die Schweiz ein neues „Bundesgesetz über den Datenschutz“ (DSG) erlassen. Dieses soll weiterhin den einfachen Datenaustausch zwischen Unternehmen aus der Schweiz mit Partnern aus der EU ermöglichen und das Fortbestehen des Angemessenheitsbeschlusses der EU-Kommission für die Schweiz gewährleisten. Die wichtigsten Änderungen fassen wir Ihnen in diesem Artikel zusammen.
Welche Relevanz hat die Anpassung für europäische Unternehmen?
Unternehmen, die Daten an Nicht-EU-Staaten (Drittstaaten) übermitteln, können dies nur tun, wenn hierfür ein Angemessenheitsbeschluss der EU-Kommission oder eine anderweitige geeignete Garantie vorweisen können. Während dies insbesondere mit Datentransfers in die USA weiterhin erhebliche Probleme für Unternehmen bereitet, gibt es für die Schweiz schon seit 2000 einen Angemessenheitsbeschluss. Datenübermittlungen deutscher Unternehmen in die Schweiz waren damit bisher kein Problem.
Durch die DSGVO drohte der Schweiz jedoch der Verlust des Angemessenheitsbeschlusses. Um dies zu verhindern, hat sie nun eine umfassende Anpassung des Schweizer Datenschutzrechts (DSG) vorgenommen.
Ab wann gilt das neue DSG?
Das neue DSG tritt zum 1. September 2023 in Kraft und gilt auch für Unternehmen, deren Datenverarbeitungen sich auf die Schweiz auswirken (Art. 3 DSG). Unternehmen müssen zudem eine Vertretung in der Schweiz bezeichnen, wenn sie regelmäßig umfangreich Daten von Personen in der Schweiz im Zusammenhang mit Angeboten von Waren oder Dienstleistungen oder zwecks Beobachtung des Verhaltens verarbeiten und diese Datenverarbeitung ein hohes Risiko für die Betroffenen mit sich bringt.
Welche Unterschiede bleiben?
Nach altem wie neuem Recht kennt das Schweizer Datenschutzrecht kein Verbot mit Erlaubnisvorbehalt. Während nach der DSGVO Datenverarbeitungen verboten sind, sofern keine Rechtsgrundlage gegeben ist, sind nach dem DSG Datenverarbeitungen grundsätzlich erlaubt, wenn die betroffene Person nicht widersprochen hat, keine besonders schützenswerten Daten verarbeitet werden und die Verarbeitungsgrundsätze der Transparenz, Zweckbindung, Verhältnismäßigkeit und Datensicherheit eingehalten werden.
Was hat sich geändert?
Die wichtigsten Änderungen zusammengefasst:
- Geltungsbereich: Eine wesentliche Vereinfachung der Rechtslage besteht für Unternehmen bereits in der Anpassung des Geltungsbereiches des DSG. Anders als bisher werden zukünftig die Daten juristischer Personen nicht mehr geschützt. Genau wie in der DSGVO geht es auch im DSG zukünftig um den Schutz personenbezogener Daten natürlicher Personen.
- Betroffenenrechte: Eine wichtige Angleichung der Rechtslage gab es im Bereich der Betroffenenrechte. Während Verantwortliche bisher nur bei besonders schützenswerten Daten Informationspflichten unterlagen, gilt dies nun für alle Datenverarbeitungen. Die Informationspflichten nach dem DSG sind hierbei sogar ein wenig strenger als die der DSGVO. Verantwortliche müssen nämlich nicht nur darüber informieren, dass sie personenbezogene Daten in ein Drittland übermitteln wollen, sondern bei jeder Übermittlung außerhalb der Schweiz (somit auch in jeden EU-Staat) den Empfängerstaat ausdrücklich benennen.
- Datenschutz-Folgeabschätzung (DSFA): Unternehmen sind nach dem neuen DSG verpflichtet, eine DSFA durchzuführen, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt. Dies entspricht den Vorgaben der DSGVO, die eine DSFA bei einem Risiko für die Rechte und Freiheiten natürlicher Personen erfordert.
- Privacy by Design und Default: Genau wie Art. 25 DSGVO sieht auch das neue DSG vor, dass Datenverarbeitungen von Grund auf so geplant und umgesetzt werden, dass sie möglichst datenschutzgerecht gestaltet sind.
- Meldung von Datenpannen: Verletzungen der Datensicherheit (unbeabsichtigtes oder widerrechtliches Verlieren, Löschen, Vernichten, Verändern oder Unbefugten zugänglich machen von personenbezogenen Daten) müssen dem Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragten so rasch wie möglich gemeldet werden, wenn sie voraussichtlich zu einem hohen Risiko für die Betroffenen führen. Hier ist die DSGVO strenger. Nach Art. 33 DSGVO ist bereits ein einfaches Risiko für die Rechte und Freiheiten natürlicher Personen ausreichend, damit eine Meldung an die Aufsichtsbehörde erfolgen muss.
- Profiling: Anders als nach der DSGVO, benötigen Sie im Geltungsbereich des DSG nicht grundsätzlich eine Einwilligung für Profiling, sondern nur dann, wenn hieraus ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen entsteht.
- Verzeichnis der Bearbeitungstätigkeiten: Wie nach der DSGVO müssen Verantwortliche nun auch nach Art. 12 DSG ein Verarbeitungsverzeichnis führen. Hierbei sieht der Bundesrat Ausnahmen für Unternehmen für unter 250 Mitarbeitern vor und deren Datenbearbeitung ein geringes Risiko für die Persönlichkeit der Betroffenen entsteht. Die entsprechende ergänzende Verordnung ist jedoch noch nicht in Kraft.
Was müssen Sie tun?
Wenn Sie personenbezogene Daten in die Schweiz übermitteln, dort direkt verarbeiten oder am Schweizer Markt tätig sind, müssen Sie ihre bestehenden Datenverarbeitungen dahingehend überprüfen, ob diese mit dem neuen Datenschutzrecht in Einklang stehen. Wie bei der Einführung der DSGVO gilt auch hier das Stichtagsprinzip: Ab dem 01.September 2023 gelten die Regelungen des neuen DSG.
Brauche ich nach dem neuen DSG möglicherweise einen Datenschutzbeauftragten?
Die Antwort laut hier nein. Anders als in der DSGVO, ist nach dem DSG die Benennung eines sog. „Datenschutzberaters“ stets freiwillig. Wird ein Datenschutzbeauftragter benannt, kommen ihm im Wesentlichen die gleiche Aufgabe wie nach der DSGVO zu , er ist Bindeglied zur Datenschutzbehörde und soll die Geschäftsführung in Bezug auf den Datenschutz kontrollieren.
Einen Datenschutzberater i.S.d. DSG zu benennen, kann jedoch einen Vorteil mit sich bringen: Ist aus einer Datenschutz-Folgeabschätzung erkennbar, dass trotz ergriffener Maßnahmen auch weiterhin ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht, müsste der Verantwortliche eigentlich eine Stellungnahme des Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragten einholen. Hierauf kann er jedoch verzichten, wenn ein qualifizierter und unabhängiger interner oder externer Datenschutzberater benannt ist.
Was bedeutet das neue DSG für Unternehmen?
Durch die Anpassung des DSG an die DSGVO wird es für europäische Unternehmen leichter, auch Datenübermittlungen in die Schweiz vorzunehmen. Unternehmen, die ihren Markt auch auf die Schweiz ausrichten, profitieren zudem davon, dass die Regeln für den Datenschutz in vielen Bereichen angeglichen wurden. Dies macht die Umsetzung praktikabler und vereinfacht die Compliance.
Bei Rückfragen beraten wir Sie gerne!
Bildnachweis für diesen Beitrag © BestPolygon– stock. adobe. com