Suche
Close this search box.
Datenschutz Institut Baden
Weitere Information

Schweizer Datenschutz (DSG)

Das revidierte Datenschutzgesetz

Die Schweiz bekommt für ihr veraltetes Datenschutzgesetz (DSG) eine Totalrevision. Gründe hierzu sind neben der Anpassung an die Standards der Datenschutz-Grundverordnung (DSGVO) der EU auch die Anpassung der aktuellen technologischen und gesellschaftlichen Voraussetzung, die sich über die Jahre stark verändert haben und dringend angepasst werden mussten. 

Eine solche Veränderung des in die Jahre gekommenen DSG, ist dringend notwendig, da der noch existierende  Angemessenheitsbeschluss mit der Schweiz noch gültig ist, aber die EU bei der nächsten regelmäßigen Überprüfung des Angemessenheitsbeschlusses, der Schweiz kein gleichwertiges Datenschutzniveau mehr attestieren kann.

schweizer DSG

Handlungsempfehlungen für Unternehmen nach dem neuen revDSG

Unternehmen mit Sitz in der Schweiz, die als Verantwortlicher oder Auftragsverarbeiter innerhalb der Schweiz tätig sind, sowie Unternehmen, die an Datenübermittlungen in die und aus der Schweiz heraus tätig sind, sollten nach dem neuen revDSG folgende Maßnahmen berücksichtigen:

  • Informationspflicht der Betroffenen
    Betroffene sollten von aktuellen und zukünftigen Datenübermittlungen ausreichend informiert werden.
  • Bestandsaufnahme von Verarbeitungsprozessen
    Unternehmen sollten alle Verarbeitungsprozesse dahingehend überprüfen, in welchen personenbezogene Daten verarbeitet werden.
  • Richtlinien für Betroffenenanfragen
    Unternehmen sollten Prozesse für Betroffenen Anfragen erstellen.
  • Erkennen und melden von Datenschutzvorfällen
    Unternehmen müssen ihre Mitarbeiter schulen, damit sie Datenschutzvorfälle erkennen und melden können. Ein solcher Meldeprozess sollte in jedem Unternehmen integriert sein, um Meldefriste einhalten zu können.
  • Datenschutz Repräsentant
    Unternehmen aus der EU müssen prüfen, ob ein Datenschutz Repräsentant in der Schweiz notwendig ist. Genauso müssen umgekehrt Unternehmen aus der Schweiz prüfen, ob sie Datenschutz Repräsentant in der EU oder EWR benötigen.

Wichtige Neuerungen

Wir werden hier nicht alle Neuerungen aufführen. Die Auflistung der Neuerungen sind die in unseren Augen die Wichtigsten:

Nach dem revDSG geht es bei den Datenverarbeitung nicht mehr nur um Datenverarbeitungen die innerhalb der Schweiz stattfinden. Der Geltungsbereich wird ausgeweitet auf Datenverarbeitungen, die sich in der Schweiz stattfinden, auch wenn sie im Ausland veranlasst wurden.

Ein anderer Geltungsbereich wird eingeschränkt. Während das noch geltende DSG auf Daten sowohl natürlicher als auch juristischer Personen anwendbar ist, schränkt das revDSG hier den Geltungsbereich auf nur noch natürlicher Personen ein.

Die Informationspflicht ist jetzt auf alle Datenverarbeitungen ausgedehnt worden, vergleichbar wie bei den Informationspflichten in Art. 13 + 14 DSGVO. Die folgende Angaben sind Mindestinformationen, die dem Betroffenen mitgeteilt werden müssen:

  • Identität und Kontaktdaten des Verantwortlichen
  • Bearbeitungszweck
  • Ggf. Empfängerinnen und Empfänger oder Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden.

 

Falls die Personendaten ins Ausland übermittelt werden, müssen dem Betroffenen auch der Staat oder das internationale Organ und ggf. die Garantien zum Schutz der Personendaten mitgeteilt werden, wenn es sich hierbei um eine Übermittlung in ein unsicheres Drittland handelt.

Mit dem in Kraft treten der revDSG erweitert sich die Liste der Daten, welche als besonders schützenswert gelten und damit an qualifizierte Rechtsfolgen geknüpft sind (wie z. B. bei der Einwilligung des Betroffenen, der Datenschutz-Folgenabschätzung oder der Bekanntgabe an Dritte).
Der Begriff „Profiling“ meint die Bewertung bestimmter Merkmale einer natürlichen Person auf der Grundlage von automatisiert bearbeiteten Personendaten, insbesondere um die Arbeitsleistung, die wirtschaftlichen Verhältnisse, die Gesundheit, das Verhalten, die Vorlieben, den Aufenthaltsort oder die Mobilität zu analysieren oder vorherzusagen. Damit versuchte man, jede Auswertung von Personendaten mit Hilfe von computergestützten Analysetechniken zu erfassen.

Profiling mit hohem Risiko liegt dann vor, wenn Personendaten automatisiert bearbeitet werden und eine Verknüpfung von Daten die Beurteilung „wesentlicher Aspekte der Persönlichkeit“ des Betroffenen erlaubt. Eine genauere Auslegung zur gesetzlichen Definition „Profiling mit hohem Risiko“ muss noch kommen, da eine Abgrenzung zum normalen Profiling in der Praxis nicht einfach werden wird.

Wird jetzt ein Profiling mit hohem Risiko gemacht, muss das Unternehmen sicherstellen, dass sämtliche Bearbeitungsgrundsätze eingehalten werden oder ein anderer Rechtfertigungsgrund vorliegt, wie z. B. die Einwilligung durch den Betroffenen.

Bei einer Entscheidungsfindung, die ausschließlich auf einer automatisierten Verarbeitung basiert und rechtliche Auswirkungen für den Betroffenen hat, muss der Verantwortliche den Betroffenen informieren. Der Betroffene hat bei einer solchen automatisierten Entscheidungsfindung auch das Recht, diese Entscheidung zusätzlich von einer natürlichen Person überprüfen zu lassen.

Falls Unternehmen nicht schon jetzt DSGVO-Compliant  sind, wird dieser Punkt hier wohl die größte Hürde sein. Wie auch in nach der DSGVO, wird auch nach dem revDSG für alle Unternehmen ein Datenverarbeitungsverzeichnis zu führen sein.

Bei Erstellung eines solchen Verarbeitungsverzeichnisses können wir gerne helfen. Ebenso kümmern wir uns auch um die Identifikation dieser Verarbeitungsprozesse in Ihrem Unternehmen oder unterstützen die entsprechend Verantwortlichen bei dieser Aufagbe.

Hier hat sich das revDSG sehr stark an das DSGVO gehalten. Unternehmen, die entweder in der Schweiz sitzen und in der EU oder in der EU sitzen und in der Schweiz einer der folgenden Punkte erfüllen, brauchen in dem jeweiligen Land einen Datenschutz Repräsentanten.

  • Eine Datenverarbeitung steht im Zusammenhang mit dem Angebot von Waren (z. B. Online Shop) oder Dienstleistungen in der Schweiz oder mit der Überwachung des Verhaltens von Menschen in der Schweiz.
  • Eine Datenverarbeitung personenbezogener Daten ist umfangreich und findet regelmäßig statt.
  • Eine Datenverarbeitung führt wahrscheinlich zu einem hohen Risiko für die Privatsphäre der betroffenen Person.

In beiden Fällen bieten wir eine Repräsentanz in dem entsprechenden Land und sind somit die Anlaustelle für Betroffene und Behörden.

Das revDSG sieht im Vergleich zur DSGVO nur strafrechtliche Sanktionen gegen natürliche Personen, und nicht gegen Unternehmen, wie in der DSGVO, vor. Und hier werden hauptsächlich auf Personen in leitenden Positionen geschaut. Es ist allerdings nicht gänzlich ausgeschlossen, dass es Sanktionen gegen Personen ohne Leitungsfunktion geben kann. Wird der Aufwand zur Ermittlung der Person, die die strafbare Handlung vollzogen hat, zu unverhältnismässig, dann kann das Unternehmen auch zur Zahlung der Sanktion verurteilt werden.

Mit dem revDSG hat es der Bundesrat der DSGVO gleichgetan und den Verantwortlichen und die Auftragsbearbeiter in die Pflicht genommen, dem Risiko angemessene Datensicherheit zu gewährleisten. Eine genauere Definition des „Risikos“ bzw. der Mindestanforderung wird bestimmt noch folgen. Die Maßnahmen zur Datensicherung soll in einer technischen und organisatorischen Maßnahme (TOM) vom Unternehmen aufgelistet werden.

Bei einer Datenschutzverletzung (z. B. Datenverlust oder versehentlicher Versand von Mails an falschen Adressaten), die vermeintlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte des Betroffenen führen, sind unverzüglich dem EDÖB und gegebenenfalls dem Betroffenen zu melden.

Fazit zum revDSG

Es gibt viel Positives zu sehen, in der Änderung des alten DSG. Zum einen wird jetzt deutlicher, welche Vorschriften die Unternehmen erfüllen müssen, um den Datenschutz Genüge zu tun. Aber genau hier sieht man auch, dass die Ausarbeitung der Gesetzesvorlage nicht vollständig ausgereift ist und hier noch nachgearbeitet werden muss.

Die Zuständigkeiten haben sich geändert, gerade was den Entscheid des angemessenen Datenschutzniveaus in Drittländern angeht. Hier ist jetzt der Bundesrat und nicht mehr der EDÖB zuständig.

Wann genau der Bundesrat das revDSG jetzt in Kraft setzen wird, ist noch unklar. Sehr viel wichtiger ist, dass keine Übergangsfristen vorgesehen sind und die Unternehmen gut daran tun, sich jetzt schon intensiv mit der Umsetzung der Neuerungen im revDSG auseinander zu setzen.

Abschließend ist zu sagen, dass die Änderungen des alten DSG zwingend nötig war. Ob die Annäherung des revDSG an die DSGVO allerdings ausreicht, um einen Angemessenheitsbeschluss von der EU attestiert zu bekommen, ist noch ungewiss.

Link zum aktuellen Gesetzestext: https://www.fedlex.admin.ch/eli/fga/2020/1998/de

Verlinkung zu Gesetzestexten

Aktuelles Schweizer Datenschutzgesetz – DSG

Schweizer Datenschutzgesetz ab 09/2023

Schweizer Datenschutzgesetz ab 09/2023 (PDF)

Datenschutz Repräsentanz in der Schweiz gemäss Art. 14 revDSG

Durch die Überarbeitung des DSG hat sich eine zusätzliche Pflicht für Unternehmen ergeben, die Waren oder Dienstleitungen an Personen in der Schweiz zum Verkauf anbieten oder das Profiling von Personen in der Schweiz betreiben. Diese Unternehmen müssen jetzt, unabhängig ob sie schon einen Datenschutzbeauftragten haben, einen zusätzlichen Repräsentanten in der Schweiz nach Art. 14 revDSG bestimmen.

Aufgrund dieser Bestimmung hat das Datenschutz Institut Baden eine Repräsentanz in der Schweiz gegründet und kann Ihnen als Unternehmen eine Repräsentanz in der Schweiz anbieten. Bitte vereinbaren Sie hierzu einen Termin mit uns, wir beraten Sie gerne zu dem Thema.

Termin  Absprache

Gegründet 2020, um den Datenschützern eine Plattform zu geben, auf der sie sich weiterbilden und austauschen können.

Leistungen

Internationale Datenschutz Repräsentanz Internationaler Datenschutzbeauftragter (DSB) für EU, UK und Schweiz
Schulungen
Datenschutz Vertretung (kurzzeitig)
Unterstützung von internen Datenschutzbeauftragten
Erstellung von Datenschutz Audits
Prüfung von Internetseiten / Online Shops
Erstberatung zum Thema Datenschutz
Datenschutz Bestandsaufnahme
Erstellung von Datenschutzkonzepten
Erstellung von Risikoanalysen
Hilfe bei bereits eingetretenen Datenschutzverletzungen

Seminare & Schulungen

Individuelle Schulungen & Seminare Standard Schulungen & Seminare Weiterbildungs- & Spezialisierungskurse Ausbildungsformate

Kunden Bereich

Mitglieder-Datenbank
Podcasts
Formulare


Hauptsitz

Ⓒ 2022 - All Rights Are Reserved