​Am 1. September 2023 ist das neue Schweizer Bundesgesetz über den Datenschutz (DSG) mitsamt seiner Begleitvorschriften in Kraft getreten. Mit dem totalrevidierten DSG und den Ausführungsbestimmungen, insbesondere in der neuen Datenschutzverordnung (DSV), hat sich die Schweiz dem Datenschutzniveau der Europäischen Union angenähert, setzt jedoch auch eigene Akzente. Wir werfen daher einen inhaltlichen Blick auf das Schweizer Datenschutzrecht und stellen einen Vergleich zur Europäischen Datenschutz-Grundverordnung an.

Schweizer Datenschutzgesetz

Für wen gilt das Schweizer Datenschutzgesetz?

Im Hinblick auf den Geltungsbereich gibt es bedeutende Gemeinsamkeiten zwischen dem DSG und der DSGVO. Das DSG findet auf Datenschutzsachverhalte Anwendung, die „sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden“.

Das stellt das Marktortprinzip dar und ist damit vergleichbar mit den Regelungen in der DSGVO. Nicht der Ort der Datenverarbeitung ist erheblich, sondern die Ausrichtung der Datenverarbeitung auf die Schweiz. Somit ist dieses Gesetz auch für EU-Unternehmen relevant, die beispielsweise Daten von Schweizer:innen verarbeiten.

Der sachliche Anwendungsbereich umfasst sämtliche (automatisierte und manuelle) Datenverarbeitungen. Die DSGVO gilt bei manuellen Datenverarbeitungen nur für Dateisysteme. Hier sind damit z.B. auch handschriftliche Notizen mit Personendaten gemeint, was im DSG ebenso gilt.

Nicht vom Anwendungsbereich des Gesetzes erfasst sind Daten juristischer Personen. Dies war im alten DSG noch der Fall. Durch das DSG werden damit, wie in der DSGVO, nur noch natürliche Personen geschützt.

Vertreter

Bei einer Datenverarbeitung durch einen Verantwortlichen mit Sitz im Ausland, ist eine Vertretung in der Schweiz zu benennen, wenn der Verantwortliche personenbezogene Daten von Personen in der Schweiz verarbeitet und die Datenverarbeitung im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz steht (Art. 14 DSG). Ebenso ist eine Vertretung zu benennen, wenn die Datenverarbeitung in der Schweiz umfangreich oder regelmäßig ist oder mit einem hohen Risiko für die Persönlichkeit der betroffenen Personen einhergeht.

Auch die DSGVO verpflichtet – im umgekehrten Fall – ein Schweizer Unternehmen dazu, einen Vertreter in der EU zu benennen, wenn das Schweizer Unternehmen Daten von Personen verarbeitet, die sich in der Union befinden und den Personen entweder Waren oder Dienstleistungen angeboten werden oder das Verhalten dieser Personen beobachtet wird.

Grundsätze der Datenbearbeitung

Die in Art. 6 DSG benannten Grundsätze sind mit denjenigen des Art. 5 DSGVO vergleichbar. Das DSG benennt die Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Zweckbindung, Speicherbegrenzung und Richtigkeit und folgt wie die DSGVO einem risikobasierten Ansatz.

Personendaten müssen gem. Art. 6 DSG zwar rechtmäßig bearbeitet werden. Im Unterschied zur DSGVO ist im DSG die Datenverarbeitung grundsätzlich erlaubt und bedarf keiner Erlaubnis oder Einwilligung. Das Schweizer Datenschutzgesetz sieht jedoch strenge Anforderungen an die Verarbeitung personenbezogener Daten vor. Insbesondere darf die Datenverarbeitung nicht die Persönlichkeit der betroffenen Person widerrechtlich verletzen (Art. 30 DSG). Eine Persönlichkeitsverletzung liegt beispielsweise vor, wenn die Datenverarbeitung gegen die datenschutzrechtlichen Grundprinzipien wie Zweckbindung, Speicherbegrenzung, Datensicherheit, Verarbeitung nach Treu und Glauben oder Richtigkeit verstößt. Eine Persönlichkeitsverletzung ist dann widerrechtlich, wenn sie nicht durch Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist (Art. 31 DSG). Der offene Ansatz wird daher durch diese Vorschriften erheblich eingeschränkt und damit der DSGVO angenähert, die bei jeder Verarbeitung personenbezogener Daten eine Rechtsgrundlage erfordert (Art. 6 DSGVO). Es ist davon auszugehen, dass eine nach der DSGVO rechtmäßige Datenverarbeitung auch die Kriterien des DSG erfüllen wird.

Umfassende Informationspflichten

Das DSG normiert die Pflicht des Verantwortlichen, die betroffene Person über die Verarbeitung ihrer personenbezogenen Daten zu informieren (Art. 19 DSG). Im Unterschied zum bisher geltenden Recht gilt diese Verpflichtung nicht nur für besonders schützenswerte Personendaten oder Bundesorgane, sondern stets. Im Unterschied zur DSGVO ist der Katalog mitzuteilender Informationen jedoch nicht abschließend formuliert. Der Verantwortliche hat der betroffenen Person stets die Identität und die Kontaktdaten des Verantwortlichen, den Verarbeitungszweck und die Empfänger mitzuteilen. Darüber hinaus muss in einer Form informiert werden, dass die betroffene Person „ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist“. Da die Informationspflicht des DSG ebenso wie jene der DSGVO eine transparente Datenverarbeitung sicherstellen soll, kann die Informationspflicht der DSGVO gemäß Art. 13 bzw. Art. 14 DSGVO zur Orientierung des Umfangs der Informationen im DSG dienen.

Über die Anforderungen der DSGVO hinaus geht die Verpflichtung, sämtliche Empfängerstaaten und die möglicherweise genutzten Garantien anzugeben, wenn Daten ins Ausland übermittelt werden sollen.

Das DSG normiert allerdings auch einen umfassenden Katalog an Ausnahmetatbeständen, in denen eine Informationspflicht entfällt, insbesondere bei einer gesetzlich vorgesehenen Datenverarbeitung. Eine Information kann zudem eingeschränkt, aufgeschoben oder gar darauf verzichtet werden, wenn überwiegende Interessen des Verantwortlichen oder Dritter dies erfordern. Damit kann im Ergebnis nur von einer eingeschränkten Informationspflicht gesprochen werden. Die DSV regelt die Modalitäten der Information derart, dass eine solche in „präziser, transparenter, verständlicher und leicht zugänglicher Form“ erfolgen soll.

Verzeichnis der Bearbeitungstätigkeiten

Das DSG verlangt vom Verantwortlichen und vom Auftragsbearbeiter die Erstellung eines „Verzeichnisses der Bearbeitungstätigkeiten“ (Art. 12 DSG). Dieses Verzeichnis ist mit dem Verzeichnis von Verarbeitungstätigkeiten der DSGVO vergleichbar. Das Bearbeitungsverzeichnis mindestens die folgenden Angaben umfassen:

  • die Identität des Verantwortlichen;
  • den Bearbeitungszweck;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
  • die Kategorien der Empfängerinnen und Empfänger;
  • wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
  • wenn möglich eine allgemeine Beschreibung der Maßnahmen zur Gewährleistung der Datensicherheit (geeignete technische und organisatorische Maßnahmen, die es ermöglichen Verletzungen der Datensicherheit zu vermeiden);
  • falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien, durch die ein geeigneter Datenschutz gewährleistet wird.

 Sollte ein Unternehmen weniger als 250 Beschäftigte haben und dessen Datenverarbeitungen nur ein geringes Risiko für die betroffenen Personen aufweisen, ist es von der Pflicht zur Führung eines solchen Verzeichnisses befreit.

Datenschutz-Folgenabschätzung

Die Regelungen zur Datenschutz-Folgeabschätzung (DSFA) und zur Konsultation des EDÖB (Art. 22, 23 DSG) gleichen im Wesentlichen denen der DSGVO.

Verantwortliche müssen eine DSFA durchführen, wenn eine Datenverarbeitung ein hohes Risiko für die Persönlichkeit oder Grundrechte einer Person darstellt. Ein solches hohes Risiko kann sich aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung ergeben, insbesondere bei der Verwendung neuer Technologien. Im Rahmen der DSFA sind die geplante Bearbeitung und die Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen zu beschreiben und Maßnahmen zu deren Schutz aufzuzeigen.

Kommt die DSFA zu dem Ergebnis, dass bei der geplanten Datenbearbeitung trotz der vom Verantwortlichen vorgesehenen Maßnahmen ein hohes Restrisiko bestehen bleibt, muss eine Stellungnahme des EDÖB eingeholt werden. Eine Ausnahme hierzu gilt aber, wenn ein privater Verantwortlicher stattdessen seine Datenschutzberaterin oder seinen Datenschutzberater konsultiert hat.

Betroffenenrechte

Der Umfang der Auskunft könnte über die spezifischen Anforderungen der DSGVO hinausgehen, da geregelt ist, dass die betroffene Person „diejenigen Informationen [erhält], die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist“. Während die DSGVO abschließend den Informationskatalog regelt, ist hier offen, welche spezifischeren Informationen notwendig sein können, um Transparenz herzustellen. Es gibt außerdem ein neues Betroffenenrecht auf Datenübertragbarkeit, ähnlich wie in der DSGVO.

Meldepflicht bei Verletzungen der Datensicherheit

Verletzungen der Datensicherheit müssen dem EDÖB so schnell wie möglich gemeldet werden (Art. 24 DSG). Dafür müssen Verantwortliche, sofern noch nicht geschehen, funktionierende Prozesse im Unternehmen etablieren.

Eine ebenso strenge (72-Stunden-)Frist wie in der DSGVO ist allerdings nicht vorgesehen. Auch muss eine Meldung nur bei einem festgestellten hohen Risiko erfolgen.

Privacy by design/default

Die Prinzipien Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen, die mit der DSGVO im EU-Recht eingeführt wurden, werden nun auch im DSG verankert (Art. 7 DSG). Eine Datenverarbeitung ist bereits in der Konzeption technischer Datenverarbeitungsprozesse so zu gestalten, dass diese auf das Minimum beschränkt wird.

Sicherheit der Datenverarbeitung

Um die Sicherheit der Datenverarbeitung zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete technische und organisatorische Maßnahmen ergreifen (Art. 8 DSG). Diese Maßnahmen werden in Art. 3 der Datenschutzverordnung konkretisiert, indem die einzelnen Schutzbereiche definiert sind, die in einer sehr ähnlichen Form auch aus der DSGVO (und dem alten deutschen BDSG) bekannt sind.  

Auftragsbearbeitung

Der Begriff des Auftragsbearbeiters (statt „Dritter“) wird für ausgelagerte Datenverarbeitungen eingeführt. Das entspricht dem Auftragsverarbeiter in der DSGVO, die Anforderungen sind allerdings im direkten Vergleich geringer.

Für die Übertragung einer Bearbeitung an einen Auftragsverarbeiter ist gem. Art. 9 DSG eine gesetzliche oder vertragliche Grundlage notwendig. Weitere inhaltliche Anforderungen an die Vereinbarung zwischen Verantwortlichem und Auftragsbearbeiter werden anders als in Art. 28 Abs. 3 DSGVO aber nicht verlangt. Die Auslagerung darf erfolgen, soweit die Daten in der Form verarbeitet werden, wie es dem Verantwortlichen gestattet ist und kein rechtlicher oder vertraglicher Grund die Datenweitergabe untersagt. Unterauftragnehmer dürfen aber nur mit Genehmigung des ursprünglich Verantwortlichen eingesetzt werden.

Explizit wird klargestellt, dass sich der Auftragsverarbeiter auf dieselben Rechtfertigungsgründe wie der Verantwortliche berufen kann.

Datenübertragung ins Ausland

​Regelungen zu Datenübertragungen in das Ausland finden sich in Art. 16 bis Art. 18 DSG.

Auslandsübertragungen sind möglich, wenn vom Bundesrat ein angemessenes Schutzniveau des Empfängerlandes oder der internationalen Organisation, an die Daten bekanntgegeben werden sollen, festgestellt wurde. Die Staaten, Gebiete, spezifischen Sektoren in einem Staat und internationalen Organe mit einem angemessenen Datenschutzniveau sind in Anhang 1 der Datenschutzverordnung aufgeführt.

Liegt keine entsprechende Entscheidung des Bundesrats vor, können auch Standarddatenschutzklauseln oder vorher von dem EDÖB freigegebene, eigene Vertragsklauseln, spezifische Garantien oder Binding Corporate Rules genutzt werden. Der EDÖB veröffentlicht eine Liste von der von ihm genehmigten, ausgestellte oder anerkannten Standarddatenschutzklauseln. Diese umfasst auch die EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, bei deren Verwendung aber ggf. Anpassungen vorgenommen werden müssen. Weitere Hinweise dazu können auf der Website des EDÖB abgerufen werden.

Der Datenschutzberater

​Das DSG sieht in Art. 10 DSG die Rolle des Datenschutzberaters vor, dessen Aufgaben dem Datenschutzbeauftragten der DSGVO ähneln. Dazu zählen Beratung, Schulung oder Mitwirkung bei der Anwendung von Vorschriften. Er muss weisungsfrei und ohne Interessenskonflikte handeln. Im DSG besteht keine Pflicht zur Benennung eines Datenschutzberaters, die Benennung führt allerdings beispielsweise zu Erleichterungen bei einer Datenverarbeitung, die mit einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person einhergehen. Bei einer solchen Datenverarbeitung kann statt dem Schweizer Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) der benannte Datenschutzberater konsultiert und mit ihm geeignete Maßnahmen zur Kompensation der hohen Risiken ersucht werden.

Rechte eines Datenschutzberaters finden sich auch in der Datenschutzverordnung und beinhalten einen Anspruch auf genügend Ressourcen, Zugang zu allen Dokumenten, die zur Aufgabenerfüllung notwendig sind, sowie einen direkten Kontakt zur obersten Leitungsebene eines Unternehmens für wichtige Fälle.

Sanktionen

Verstößt eine Person gegen die Regelungen des DSG, droht dieser die Pflicht zur Zahlung einer Buße von bis zu 250.000 CHF. Die Verjährungsfrist beträgt 5 Jahre. Dabei ist die Sanktion nicht – wie bei der DSGVO – an das verantwortliche Unternehmen geknüpft, sondern ausdrücklich an die verantwortliche natürliche Person, wodurch deren persönliches Risiko als hoch anzusehen ist. Allein bei Verstößen, bei denen höchstens eine Buße von 50.000 CHF in Betracht gezogen wird und der Aufwand zur Ermittlung der strafbaren Person innerhalb des Geschäftsbetriebs unverhältnismäßig wäre, kann auch das Unternehmen anstelle der natürlichen Person zur Zahlung der Buße verurteilt werden (Art. 64 DSG).

Eine Besonderheit stellt das sog. „kleine Berufsgeheimnis“ des Art. 62 DSG dar. Nach der Regelung kann die vorsätzliche Offenbarung von geheimen Personendaten Antrag mit Busse bis zu 250 000 Franken bestraft werden. Dies gilt auch dann, wenn die geheimen Personendaten nach Beendigung der Berufsausübung offenbar werden. Der Schweigepflicht unterliegt jede Person, die bei der Ausübung ihres Berufes, der die Kenntnis von geheimen Personendaten erfordert, Kenntnis von ebensolchen erlangt hat. Ein solch strenge Regelung kennen die DSGVO und das deutsche Recht nicht.

Fazit

Das revidierte DSG und seine Begleitvorschriften – insbesondere die Datenschutzverordnung – stellen ein modernes Datenschutzrecht für die Schweiz dar. Dabei gleichen die Vorgaben für private Unternehmen im Wesentlichen denen der DSGVO, sind mit diesen aber nicht deckungsgleich. Wer auf dem Schweizer Markt tätig ist, sollte sich daher mit den Besonderheiten des Schweizer Datenschutzrechts vertraut machen und Maßnahmen zu dessen Umsetzung ergreifen.

Gerne unterstützen wir Sie dabei, Ihre Datenbearbeitungsvorgänge auf den Prüfstand zu stellen und die notwendigen Anpassungen vorzunehmen.

 

Philipp Lehmann ist Wirtschaftsjurist (LL.M) und Senior Legal Consultant bei der Datenschutzkanzlei.