Neues Datenschutzgesetz in der Schweiz

Am 1. September 2023 tritt in der Schweiz ein neues Datenschutzgesetz in Kraft. Hauptziel der Totalrevision ist es, das Schweizer Datenschutzrecht (DSG) auf das Niveau der EU anzuheben. Das neue Datenschutzgesetz (nDSG) bringt sodann auch zahlreiche Angleichungen an die EU-Datenschutzgrundverordnung (DSGVO) mit sich. Dennoch behält das neue Schweizer Datenschutzgesetz weiterhin eine eigene Grundkonzeption und weicht auch in diversen anderen Punkten von der DSGVO ab. Im Rahmen der Revision wurden insbesondere wesentlich strengere Sanktionen eingeführt, erweiterte Informationspflichten geschaffen und die Pflicht zur Erstellung eines Bearbeitungsverzeichnisses vorgesehen. 

Typischerweise bringen Gesetzesänderungen für die betroffenen Rechtsanwenderinnen und Rechtsanwender häufig eine gewisse Unsicherheit mit sich. Auch mit der Revision des Datenschutzgesetzes werden sich für viele Personen neue Fragen stellen. Deshalb sollen in diesem Text die wichtigsten Änderungen aufgegriffen und erläutert werden.

Ist mein Unternehmen datenschutzkonform?

Die Datenschutzanforderungen an eine Organisation ist von mehreren Faktoren abhängig. Für Unternehmen, welche mehr als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und/oder sensitive Personendaten bearbeiten, gelten strengere Anforderungen. Auch kleinere Unternehmen müssen bestimmte Anforderungen erfüllen, z.B. das Erstellen einer Datenschutzerklärung, wenn sie eine Webseite betreiben. Mit unserem kostenlosen Datenschutz-Check kannst du kostenlos prüfen, ob dein Unternehmen den Anforderungen des neuen Datenschutzgesetzes in der Schweiz entspricht.

Erweiterung der Informationspflichten 

Die Informationspflichten im neuen Datenschutzgesetz wurden ausgebaut. Im Unterschied zum bestehenden Gesetz, muss neu die bzw. der Verantwortliche bei jeder Beschaffung von Personendaten informieren, sofern keine der gesetzlich festgeschriebenen Ausnahmen vorliegen. Die folgenden Mindestanforderungen müssen den betroffenen Personen bei der Beschaffung von personenbezogenen Daten mitgeteilt werden: 

• Bearbeitungszweck 
• Identität und Kontaktdaten des Verantwortlichen 
• allfällige Empfängerinnen und Empfänger oder Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekannt gegeben werden 
• bei Bekanntgabe der Daten ins Ausland: der Staat oder das internationale Organ und gegebenenfalls die Garantien zum Schutz der Personendaten 

Somit müssen neu alle Unternehmen eine Datenschutzerklärung erstellen, wobei die obigen vier Mindestangaben enthalten sein sollten. Die neu geschaffenen Mindestangaben sind weniger umfassend als die der DSGVO. Hingegen geht das neue Schweizer Datenschutzgesetz hinsichtlich Informationspflicht bezüglich Datenbekanntgabe ins Ausland weiter als die DSGVO. 

Verzeichnis der Bearbeitungstätigkeiten 

Das nDSG sieht die Pflicht für Verantwortliche und Auftragsbearbeiterinnen bzw. Auftragsbearbeiter vor, je ein Verzeichnis ihrer Datenbearbeitungstätigkeiten zu führen. Die Angaben müssen dabei aktuell und genau sein. Eine ähnliche Pflicht kennt bereits die DSGVO. Das neue Datenschutzgesetz sieht jedoch Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitungen ein geringes Risiko von Persönlichkeitsverletzungen mit sich bringen.  

Sowohl für die Verantwortlichen als auch die Auftragsbearbeiterinnen und Auftragsbearbeiter wird der Mindestinhalt des Verzeichnisses vorgegeben. Dafür entfällt zukünftig die bisherige Pflicht zur Registrierung der Datensammlungen. Mit dieser Dokumentation soll die Transparenz der Datenbearbeitungen verbessert werden.  

Verschärfte Sanktionen und Ausbau der Befugnisse des EDÖB 

Im Gegensatz zum bestehenden Gesetz sieht das neue klarere Sanktionen vor. So werden zukünftig vorsätzliches Handeln und Unterlassen, nicht jedoch Fahrlässigkeit, bestraft. Verglichen mit der bestehenden Regelung wurden die Strafbestimmungen deutlich ausgebaut und verschärft. Wer die Auskunftspflichten, die Informationspflichten oder die Mitwirkungspflichten verletzt, kann auf Antrag mit einer Busse von bis zu CHF 250’000 bestraft werden. Für Unternehmen ist es daher umso wichtiger, dass Auskunftsbegehren korrekt beantwortet werden.

Auch für die Verletzung einer beruflichen Schweigepflicht, oder die Missachtung einer Verfügung kann mit bis zu CHF 250'000 bestraft werden. Gleiches gilt für die Verletzung von Sorgfaltspflichten. Diese sind: 

• Missachtung der Regeln für die Datenbekanntgabe ins Ausland, 
• Missachtung der Regeln für den Einbezug von Auftragsbearbeitern, und 
• Missachtung der Mindestanforderungen an die Datensicherheit. 

Die Verfolgung und die Beurteilung strafbarer Handlungen fallen in den Zuständigkeitsbereich der Kantone. Der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) kann allerdings ebenfalls Strafanzeige erstatten. In Verfahren kommen ihm die Rechte einer Privatklägerin bzw. eines Privatklägers zu. Weiter kann der EDÖB ein verwaltungsrechtliches Untersuchungsverfahren eröffnen und Verfügungen erlassen. Ebenso sind weiterhin auch zivilrechtliche Klagen auf Beseitigung, Unterlassung oder Schadenersatz möglich. Obschon die verschiedenen Pflichten dem jeweiligen Unternehmen auferlegt werden, erfolgt die Zurechnung von Verletzungen der Strafbestimmungen innerhalb des Unternehmens den Leitungspersonen. Es sind jedoch auch Fälle denkbar, in welchen Personen ohne Leitungsfunktion für Verstösse sanktioniert werden können. 

Privacy by Design und Privacy by Default 

Das der DSGVO bereits bekannte «Privacy by Design-Prinzip» findet nun Eingang in das Schweizer Datenschutzgesetz. Dieses Prinzip besagt, dass schon im Stadium der Projektplanung die Datenbearbeitung technisch und organisatorisch so ausgestaltet werden muss, dass die Datenschutzvorschriften eingehalten werden.  

Zusätzlich sind die Verantwortlichen gehalten, mit geeigneten Voreinstellungen sicherzustellen, dass standardmässig nur für den jeweiligen Verwendungszweck erforderliche Personendaten verarbeitet werden können und die Bearbeitung auf das nötige Mindestmass beschränkt wird (sog. «Privacy by Default»). 

Entgegen der EU-Datenschutzgrundverordnung (DSGVO) gibt es im nDSG in der Schweiz kein Obligatorium für Cookie-Banner. Untersteht dein Unternehmen nicht der DSGVO musst du kein Cookie-Banner implementieren.

Meldung einer Datensicherheitsverletzung 

Wenn eine Verletzung der Datensicherheit eintritt, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, müssen die Datenverantwortlichen den EDÖB «so rasch als möglich» (im Vergleich dazu die DSGVO, welche 72 Stunden vorschreibt) informieren. Eine solche Verletzung liegt vor, wenn sie dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet, verändert oder Unbefugten offengelegt oder zugänglich gemacht werden. Eine solche Pflicht kennt die DSGVO ebenfalls. Verglichen mit der DSGVO sieht das neue Datenschutzgesetz eine mildere Regel vor, da es eine Meldung nur bei einem hohen Risiko vorsieht. Falls erforderlich, müssen die Verantwortlichen die betroffenen Personen zukünftig informieren, wobei bereits den eigentlichen Auftragsbearbeiterinnen und Auftragsbearbeiter eine Meldepflicht trifft. 

Folgenabschätzung 

Datenverarbeiterinnen und Datenverarbeiter oder aber auch Datenverantwortliche haben vorgängig eine Datenschutz-Folgenabschätzung vorzunehmen, wenn eine vorgesehene Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Eine Definition des «hohen Risikos» liefert der Gesetzgeber jedoch nicht. Höchstwahrscheinlich wird der EDÖB das in einer Verordnung weiter konkretisieren. Die Datenschutz-Folgenabschätzung hat bereits in der Planungsphase stattzufinden. Dabei müssen sowohl die Risiken als auch die geeigneten Massnahmen umschrieben werden. Sollte die Folgenabschätzung ergeben, dass trotz der geplanten Massnahmen ein zu grosses Risiko verbleibt, muss vorgängig zwingend eine Stellungnahme des EDÖB eingeholt werden. 

Auftragsbearbeiterin und Auftragsbearbeiter 

Durch Vertrag oder Gesetz kann ein Auftragsbearbeitungsverhältnis (Outsourcing, bspw. in die Cloud) begründet werden. Dabei muss die Auftragsbearbeiterin bzw. der Auftragsbearbeiter die Daten gleich bearbeiten wie es die verantwortliche Person selbst tun dürfte. Ebenso hat sich die oder der Verantwortliche zu vergewissern, dass die Auftragsbearbeiterin bzw. der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Diesbezüglich ändert sich an der bestehenden Rechtslage nichts. Neu ist jedoch gesetzlich festgehalten, dass das Hinzuziehen eines Dritten durch die Auftragsbearbeiterin oder den Auftragsbearbeiter nur mit vorgängiger Genehmigung der oder des Verantwortlichen erlaubt ist: dies entspricht wiederum der Regelung der DSGVO.