Am 1. September 2023 ist es soweit. Das Schweizer Bundesgesetz über den Datenschutz (DSG) tritt endlich samt seiner Begleitvorschriften in Kraft. So zumindest die Einschätzung des Schweizer Bundesrates. Mit dem DSG nähert sich die Schweiz dem Datenschutzniveau der DSGVO an, setzt jedoch auch eigene Akzente. Dabei tritt das Schweizer Datenschutzgesetz im nächsten Jahr ohne Umsetzungsfrist in Kraft. Es lohnt sich daher bestimmte Regelungen genauer unter die Lupe zu nehmen!
Für wen gilt das Schweizer Datenschutzgesetz?
Im Hinblick auf den Geltungsbereich gibt es viele Gemeinsamkeiten zwischen dem DSG und der DSGVO. Das DSG findet bereits auf Datenschutzsachverhalte Anwendung, die „sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden“.
Die DSGVO kommt hingegen bei der Datenverarbeitung von Niederlassungen außerhalb der EU/EWR zur Anwendung, wenn den betroffenen Personen in der Union Waren oder Dienstleistungen angeboten werden oder das Verhalten betroffener Personen in der EU „beobachtet“ wird. Im Ergebnis ist für beide Rechtsakte nicht der Ort der Datenverarbeitung erheblich, sondern die Ausrichtung der Datenverarbeitung auf die EU/EWR bzw. Schweiz (Marktortprinzip).
Datenverarbeitung ohne Rechtsgrundlage?
Im Unterschied zur DSGVO ist im DSG die Datenverarbeitung im Ausgangspunkt erlaubt und bedarf keiner Erlaubnis oder Einwilligung. Das Schweizer Datenschutzgesetz hat jedoch strenge Anforderungen an die Verarbeitung personenbezogener Daten, insbesondere darf die Datenverarbeitung nicht die Persönlichkeit der betroffenen Person widerrechtlich verletzen (Art. 30 DSG). Dabei ist eine Persönlichkeitsverletzung widerrechtlich, wenn sie nicht durch Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist (Art. 31 DSG). Der offene Ansatz wird daher durch die Verfahrensvorschriften erheblich eingeschränkt und damit der DSGVO angenähert, die bei jeder Verarbeitung personenbezogener Daten eine Rechtsgrundlage erfordert (Art. 6 DSGVO).
Umfassende Informationspflichten?
Auch das DSG normiert die Pflicht des Verantwortlichen die betroffene Person über die Verarbeitung ihrer personenbezogenen Daten zu informieren (Art. 19 DSG). Im Unterschied zur DSGVO ist der Katalog mitzuteilender Informationen jedoch nicht abschließend formuliert. Der Verantwortliche hat der betroffenen Person zwar mindestens die Identität und die Kontaktdaten des Verantwortlichen und den Verarbeitungszweck mitzuteilen. Darüber hinaus sind jedoch nur in Einzelfällen weitere Pflichtinformationen festgelegt.
Im Übrigen muss der Verantwortliche der betroffenen Person nur diejenigen Informationen mitteilen, die „erforderlich sind, damit sie [die betroffene Person] ihre Rechte nach diesem Gesetz [DSG] geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist“. Da die Informationspflicht des DSG gleichermaßen wie die DSGVO eine transparente Datenverarbeitung sicherstellen soll, kann die Informationspflicht der DSGVO gemäß Art. 13 bzw. Art. 14 DSGVO zur Orientierung des Umfangs „erforderlicher“ Informationen im DSG dienen.
Zudem normiert das DSG einen umfassenden Katalog an Ausnahmetatbeständen, in denen eine Informationspflicht entfällt, insbesondere bei überwiegenden Interessen des Verantwortlichen oder eines Dritten (Art. 20 DSG). Damit kann im Ergebnis nur von einer eingeschränkten Informationspflicht gesprochen werden.
Das DSG enthält keine Informationen, wie die Information gegenüber der betroffenen Person bekanntzugeben ist, sondern regelt allein, dass dies auf eine „angemessene“ Weise zu erfolgen hat. Auch hier kann die DSGVO als Orientierung dienen, was unter einer angemessenen Weise zu verstehen ist, sodass die Informationen in der Regel zumindest in Textform dem Betroffenen bereitzustellen sind.
Konzernprivileg?
Die Frage, ob der Datenaustausch innerhalb eines Konzernes eine Rechtsgrundlage benötigt (Konzernprivileg), ist im Rahmen des DSG differenziert zu betrachten. So gelten für den konzerninternen Datenaustausch unter dem DSG zwar Ausnahmen von der Informationspflicht und dem Auskunftsrecht, jedoch kann auch eine konzerninterne Weitergabe persönlichkeitsverletzend sein und ist dann nur bei Vorliegen eines Rechtfertigungsgrunds rechtmäßig.
Das DSG enthält zwar einen privilegierenden Rechtfertigungsgrund bei der konzerninternen Weitergabe von personenbezogenen Daten. Dieser besondere Rechtfertigungsgrund findet jedoch nur Anwendung, wenn die betreffenden Daten und die Art ihrer Verarbeitung „für den wirtschaftlichen Wettbewerb“ relevant und erforderlich sind. Daher muss die konzerninterne Datenverarbeitung stets in jedem Einzelfall sorgfältig auf ihre Rechtmäßigkeit hin überprüft werden. Ein Konzernprivileg besteht somit nur in sehr eingeschränkter Form. Die DSGVO lehnt eine solche Privilegierung hingegen vollständig ab.
Verzeichnis sämtlicher Datenbearbeitungen
Das DSG verlangt im Unterschied zur vorherigen Datenschutzregelung erstmals vom Verantwortlichen und vom Auftragsbearbeiter die Erstellung eines „Verzeichnisses der Bearbeitungstätigkeiten“ (Art. 12 DSG). Damit wird künftig vergleichbar mit dem Verarbeitungsverzeichnis der DSGVO auch in der Schweiz ein Verzeichnis sämtlicher Datenverarbeitungen verlangt.
Dabei muss das Bearbeitungsverzeichnis mindestens die folgenden Angaben umfassen:
- die Identität des Verantwortlichen;
- den Bearbeitungszweck;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
- die Kategorien der Empfängerinnen und Empfänger;
- wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
- wenn möglich eine allgemeine Beschreibung der Maßnahmen zur Gewährleistung der Datensicherheit (geeignete technische und organisatorische Maßnahmen, die es ermöglichen Verletzungen der Datensicherheit zu vermeiden);
- falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien, durch die ein geeigneter Datenschutz gewährleistet wird.
Sind nicht bereits Maßnahmen zur Anpassung an die DSGVO getroffen worden, dürfte das Erstellen eines Datenbearbeitungsverzeichnisses mit einem erheblichen Umsetzungsaufwand einhergehen. Dabei müssen nicht nur die Datenverarbeitungen des gesamten Unternehmens einmal ausführlich erfasst werden, sondern dieses Verzeichnis muss auch laufend aktualisiert werden.
Der Datenschutzberater
Das DSG sieht die Rolle des Datenschutzberaters vor, dessen Aufgaben dem Datenschutzbeauftragten der DSGVO ähneln. Im DSG besteht jedoch keine Pflicht zur Benennung eines Datenschutzberaters. Die Benennung führt lediglich zu Erleichterungen bei einer Datenverarbeitung, die mit einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person einhergehen. Bei einer solchen Datenverarbeitung kann statt dem Schweizer Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) der benannte Datenschutzberater konsultiert und mit ihm geeignete Maßnahmen zur Kompensation der hohen Risiken ersucht werden.
Die Datenschutzvertretung
Bei einer Datenverarbeitung durch einen Verantwortlichen mit Sitz im Ausland ist eine Vertretung in der Schweiz zu benennen, wenn der Verantwortliche personenbezogene Daten von Personen in der Schweiz verarbeitet und die Datenverarbeitung im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz steht. Ebenso ist eine Vertretung zu bestellen, wenn die Datenverarbeitung umfangreich oder regelmäßig ist oder mit einem hohen Risiko für die Persönlichkeit der betroffenen Personen einhergeht.
Diese Regelung ist nicht neu. Auch die DSGVO verpflichtet – im umgekehrten Fall – ein Schweizer Unternehmen dazu, einen Vertreter in der EU zu benennen, wenn das Schweizer Unternehmen entsprechend Art. 3 DSGVO Daten von Personen verarbeitet, die sich in der Union befinden und den Personen entweder Waren oder Dienstleistungen angeboten werden oder das Verhalten dieser Personen beobachtet wird.
Sanktionen und Bußgelder
Verstößt eine Person gegen die Regelungen des DSG, droht dieser die Pflicht zur Zahlung einer Buße – also einer Geldstrafe – bis zu 250.000 CHF (ca. 234.740 EUR). Die Verjährungsfrist beträgt 5 Jahre. Dabei ist die Strafe nicht – wie bei der DSGVO – an das verantwortliche Unternehmen geknüpft, sondern ausdrücklich an die verantwortliche natürliche Person.
Allein bei Verstößen, bei denen höchstens eine Buße von 50.000 CHF (ca. 46.940 Euro) in Betracht fällt und der Aufwand zur Ermittlung der strafbaren Person innerhalb des Geschäftsbetriebs unverhältnismäßig wäre, kann auch das Unternehmen anstelle der natürlichen Person zur Zahlung der Buße verurteilt werden (Art. 64 DSG).
Ausblick
Auch im Übrigen ist eine Orientierung des DSG an der DSGVO erkennbar, auch wenn das Schweizer Datenschutzgesetz nicht in jedem Fall mit der DSGVO übereinstimmt. Größere Überschneidungen gibt es beispielsweise bei den Datenverarbeitungsgrundsätzen (Art. 6 DSG), der Übertragung von personenbezogenen Daten ins Ausland (Art. 16 – 18 DSG), der Datenschutz-Folgenabschätzung und dem Konsultationsverfahren (Art. 22, 23 DSG) und der Meldung von Verletzungen der Datensicherheit (Art. 24).
Hingegen ist beispielsweise die Auftragsverarbeitung (Art. 9 DSG) oder das Thema Sicherheit der Verarbeitung (Art. 8 DSG) deutlich rudimentärerer im DSG geregelt als in der DSGVO. Auch die Betroffenenrechte sind im DSG teilweise in reduzierter Form und an verschiedenen Stellen geregelt. So findet sich das Auskunftsrecht und das Recht auf Datenübertragung in Art. 25 bis Art. 29 DSG und das Recht auf Löschung und Berichtigung in Art. 32 DSG. Dies muss jedoch kein geringeres Schutzniveau bedeuten, sondern die DSGVO ist lediglich konkreter und ausführlicher formuliert, was im Rahmen der DSG der Auslegung überlassen bleibt.
Das DSG stellt im Ergebnis ein modernes Datenschutzrecht in Aussicht, auch wenn damit ein erheblicher Umsetzungsaufwand einhergeht. Wie die vorangehenden Ausführungen zeigen, besteht auch für Unternehmen, die bereits die Anforderungen der DSGVO erfüllen, Handlungsbedarf, da die Anforderungen des DSG und der DSGVO nicht in jeder Hinsicht gleich sind.
Doch noch ist Zeit, um die notwendigen Anpassungen im Unternehmen vorzunehmen. Gerne unterstützen wir Sie dabei bis zum Inkrafttreten des Gesetzes die Datenverarbeitungsvorgänge auf den Prüfstand zu stellen und die notwendigen Anpassungen rechtzeitig vorzunehmen.
Dr. Christoph Aust
Rechtsanwalt