Schweizer Datenschutzgesetz (DSG) – FAQ und Checkliste für Unternehmen und Webseiten

Ab wann gilt das neue Schweizer Datenschutzgesetz?

Das neue Schweizer Datenschutzgesetz (DSG) tritt am 15. September 2023 in Kraft und es gibt keine Umsetzungsfrist, sodass das Gesetz sofort zu beachten ist.

Auf welche Art von Verfahren ist das DSG anwendbar?

Der sachliche Anwendungsbereich des DSG ist ähnlich weit wie der Anwendungsbereich der DSGVO. Er umfasst automatische Datenbearbeitungen sowie manuelle Datenbearbeitungen von Dateisystemen (also systematisch angeordnete Daten, wie z.B. Personalakten).

Ferner müssen “Personendaten” bearbeitet werden, d.h. lt. Art. 5 lit. a. DSG:

alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen;

Der Begriff entspricht im Wesentlichen dem Begriff der “personenbezogenen Daten” in der DSGVO (Art. 4 Nr. 1). Es werden also nicht nur Klardaten, wie Namen oder Adressen erfasst, sondern auch Onlinekennzeichen, wie z.B. ID-Nummern in einem Cookie, die ein Verhaltensprofil einem bestimmten Nutzer zuordnen können.

Ferner müssen die Personendaten “bearbeitet” werden, was dem Begriff der “Verarbeitung” in der DSGVO entspricht (Art. 4 Nr. 2 DSGVO). “Bearbeitung” ist lt. Art. 5 lit. b. DSG:

jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten;

Zu beachten ist, dass das DSG keine Daten von juristischen Personen (AGs, GmbHs, etc.), sondern nur noch von natürlichen Personen, also Menschen, schützt.

IP-Adressen und der Personenbezug: Die genaue Grenze, ab wann eine natürliche Person nicht mehr bestimmbar ist und die Daten also anonym werden, ist umstritten. Das zeigt sich z.B. anhand der IP-Adresse, bei der Kriterien wie z.B. welcher Aufwand für die Identifizierung betrieben müsste, herangezogen werden (so. das Schweizer Bundesgericht, das eine dynamische IP-Adresse als ein Personendatum qualifizierte, BGE 136 II 508 S. 511; ebenso urteilte auch der Europäische Gerichtshof, EuGH 19.10.2016 – C-582/14). Im Ergebnis sollten Sie davon ausgehen, dass IP-Adressen personenbezogen sind, außer Sie können stichhaltige Umstände darlegen, warum Personen, die mit der IP-Adresse Ihre Webseite oder App aufsuchten nicht bestimmt werden können (was der Erfahrung nach eher selten gelingen wird).

Wer muss das Schweizer Datenschutzgesetz beachten?

Das Schweizer Datenschutzgesetz gilt räumlich nicht nur für Schweizer. Maßgeblich ist laut § 3 Abs. 1 Schweizer DSG allein die Auswirkung in der Schweiz:

Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.

Das bedeutet, dass das Schweizer DSG in den folgenden Fällen beachtet werden muss:

• (Wohn)Sitz in der Schweiz: Das Schweizer DSG muss von Unternehmen und Personen mit (Wohn)Sitz in der Schweiz beachtet werden.
• Kunden oder Nutzer in der Schweiz: Auch wenn Unternehmen nicht in der Schweiz ansässig sind, müssen sie das Schweizer DSG beachten, wenn ihre Kunden oder Nutzer sich in der Schweiz befinden (sog. “Marktortprinzip”). So müssen z.B. deutsche E-Shops mit Schweizer Kunden oder österreichische App-Anbieter mit Schweizer Nutzern das Schweizer DSG beachten.
• Verhaltensbeobachtung (Tracking und Profiling): Wenn Schweizer Bürger eine deutsche Webseite besuchen, auf der z.B. Google Analytics oder Meta-Pixel aktiv sind, werden deren Interaktionen in einem Nutzerprofil gespeichert. Dieses Profil wird z.B. eingesetzt, um Nutzern auf sie zugeschnittene Werbeinhalte anzuzeigen. Diese Verhaltensbeobachtung stellt entsprechend Art. 5 lit. f. DSG ein “Profiling” dar, das sich auf Schweizer Bürger auswirkt (z.B. durch Anzeige bestimmter Werbeinhalte”), weshalb der Websitebetreiber ebenfalls das Schweizer DSG beachten müsste.
• Tätigkeit für Schweizer Auftraggeber: Wenn nicht-schweizerische Auftragnehmer weisungsgebunden Personendaten für Schweizer Auftraggeber bearbeiten (sog. “Auftragsbearbeitung”), dann müssen sie auch die für diese Bearbeitung geltenden Pflichten des DSG beachten.

Genauso wie die DSGVO gilt auch für das neue Schweizer DSG der Schutz der Daten der eigenen Bürger als Anknüpfungspunkt für dessen Anwendbarkeit. Damit macht das Gesetz nicht an nationalen Grenzen halt.

In der Praxis wird sich die Anwendbarkeit des Schweizer DSG für EU-Unternehmen aber kaum bemerkbar machen, da es im Hinblick auf den Pflichtenkatalog weitestgehend der DSGVO entspricht.

Müssen Schweizer Unternehmen die DSGVO einhalten?

Seit Inkrafttreten der DSGVO im Mai 2018 müssen Schweizer Unternehmen und Website-Betreiber in den folgenden Situationen die DSGVO beachten (gemäß § 3 Abs. 2 DSGVO):

• Kunden oder Nutzer in der EU: Wenn Schweizer Unternehmen oder Freiberufler Kunden oder Nutzer in der EU haben (z.B. E-Shops, Berater, Hosts, Agenturen usw.), müssen sie auch die DSGVO beachten.
• Beobachtung des Verhaltens von EU-Nutzern: Dies betrifft beispielsweise das Tracking und Profiling von EU-Besuchern auf Schweizer Websites mit Tools wie Google Analytics oder Meta-Pixel. In der Praxis bedeutet dies, dass Schweizer Website-Betreiber, die Tracking-Tools verwenden, ebenfalls die DSGVO einhalten müssen.
• Tätigkeit für EU-Auftraggeber: Wenn Schweizer Unternehmen personenbezogene Daten für EU-Unternehmen in weisungsgebundener Form verarbeiten (sogenannte “Auftragsverarbeitung”), müssen sie auch die damit verbundenen DSGVO-Pflichten beachten.

Wie das neue Schweizer Datenschutzgesetz (DSG) bindet auch die DSGVO ihren regionalen Anwendungsbereich an den Schutz der Daten ihrer eigenen Bürger und gilt daher auch für Schweizer Datenverarbeitungsverantwortliche.

Müssen Privatpersonen das DSG beachten?

Das DSG enthält, ebenso wie die DSGVO, eine Ausnahme für die Bearbeitung von Daten durch natürliche Personen, die Personendaten nur innerhalb ihres eigenen oder persönlichen Kreises bearbeiten, beispielsweise unter Freunden und Familie.

Die Formulierung in beiden Gesetzen weichen zwar leicht voneinander ab, meinen aber dasselbe:

• Schweizer DSG: “Dieses Gesetz ist nicht anwendbar auf: Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden” (Art. 2 Abs. 2 lit. a. DSG).
• DSGVO: “Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten” (Art. 2 Abs. 2 lit. c DSGVO).

Um zu bestimmen, wo der persönliche Bereich endet, sollte man insbesondere auf die Kontrolle der Daten und das Ausmaß der negativen Folgen für die betroffenen Personen achten. Beispiel:

• Persönlicher Gebrauch: Wer beispielsweise Adressdaten eines Vereins unter engen Freunden teilt, kann die Löschung dieser Daten noch mit verhältnismäßigen Mitteln erreichen so dass das DSG und die DSGVO nicht zur Anwendung kommen.
• Kein persönlicher Gebrauch: Wer die im obigen Beispiel genannten Adressdaten auf einer Website oder in sozialen Medien veröffentlicht, verliert die Kontrolle, und die betroffenen Personen müssen mit negativen Folgen rechnen, wie beispielsweise unerwünschter Zustellung von Waren, Nutzung für Phishing-Zwecke usw. Entsprechend betrachtet auch der Europäische Gerichtshof (EuGH) die Veröffentlichung von personenbezogenen Daten durch private Personen als Datenschutzverstoß (EuGH, 14.02.2019 – C-345/17).

Darüber hinaus besteht auch dann keine persönliche Verarbeitung, wenn die Verarbeitung im Zusammenhang mit einer beruflichen oder wirtschaftlichen Tätigkeit steht (zum Beispiel, wenn ein Vertreter eines Unternehmens Kunden in seinem Freundeskreis akquiriert und deren Adressen an seinen Arbeitgeber weitergibt).

Was sind die Unterschiede zwischen dem DSG und der DSGVO?

Obwohl die DSGVO und das DSG inhaltlich nicht identisch sind, sind sie in ihrer praktischen Auswirkung ähnlich. Wenn Sie bisher die DSGVO einhalten mussten, werden sich für Sie nur wenige Änderungen ergeben.

Die Hauptunterschiede sind:

• Kein Katalog von Rechtsgrundlagen: Im Gegensatz zur DSGVO (Art. 6 DSGVO) muss im DSG keine spezifische Rechtsgrundlage für die Bearbeitung angegeben werden. Es genügt, dass die Bearbeitung die Grundsätze von Rechtmäßigkeit, Treu und Glauben, Verhältnismäßigkeit und Zweckbindung beachtet (Art. 6 Abs. 1 bis 3 DSG).
• Weniger detaillierte Regeln: Die DSGVO ist wesentlich detaillierter, wenn es um die Definition von Begriffen und Regeln geht. Ein Beispiel ist der fehlende Katalog von Rechtsgrundlagen im DSG oder die Anforderungen an die Ausführung einer Auftragsbearbeitung. Dies bedeutet jedoch nicht, dass das DSG einen geringeren Datenschutz bietet. Es lässt mehr Spielraum für den Weg, wie Verletzungen des Persönlichkeitsrechts vermieden werden sollen.
• Keine explizite Rechenschaftspflicht: Das DSG sieht im Gegensatz zur DSGVO (Art. 5 Abs. 2) keine ausdrückliche Nachweispflicht zur Einhaltung der Vorgaben des DSG (sogenannte “Rechenschaftspflicht”) vor. Dies mag zwar erleichternd wirken, jedoch wird die Protokollierung von Verfahren, wie der Überprüfung der Zulässigkeit oder technischen und organisatorischen Schutzmaßnahmen, empfohlen, um mögliche gegen die eigene Verantwortung sprechende Indizien bei Datenpannen zu vermeiden.
• Geringere Bußgelder: Bußgelder bis zu 250.000 Franken (Art. 60 bis 63 DSG) erscheinen im Vergleich zu bis zu 4% bzw. 20 Millionen Euro (je nachdem, was höher ist) als gering. Es handelt sich jedoch um Maximalbeträge, so dass bei “Alltagsdelikten” durchaus eine Angleichung des DSG und der DSGVO erfolgen kann.

Das DSG ist insgesamt unternehmensfreundlicher als die DSGVO. Allein die Unterschiede bei den Bußgeldern sind ein klares Zeichen dafür. Allerdings hilft das nur Unternehmen, die nicht gleichzeitig unter die DSGVO fallen, also deren Aktionsradius auf die Schweiz und Nicht-EU-Länder beschränkt ist.

Was sind die Gemeinsamkeiten zwischen dem DSG und der DSGVO?

Viele neue Regelungen im schweizerischen DSG ähneln den Verfahren der DSGVO, auch wenn sie meist detaillierter sind:

1. Geltungsbereich über die Landesgrenzen hinaus: Sowohl die DSGVO als auch das DSG beziehen ihre Gültigkeit darauf, ob ihre Bürger betroffen sind, unabhängig davon, ob die Verantwortlichen im Ausland sitzen (Art. 3 DSG, Art. 3 DSGVO).
2. Ausnahme für persönliche Datenbearbeitung: Natürliche Personen, die Personendaten lediglich innerhalb ihres persönlichen oder eigenen Kreises bearbeiten, zum Beispiel innerhalb der Familie und unter Freunden (Art. 2 Abs. 2 lit. a. DSG, Art. 2 Abs. 2 lit. c. DSGVO).
3. Verantwortlichkeit: Sowohl das DSG als auch die DSGVO ist jemand für die Bearbeitung von Personendaten verantwortlich, wenn er allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet (Art. 5 lit. j. DSG, Art. 4 Nr. 7 DSGVO).
4. Auftragsbearbeitung: Wie die DSGVO kennt auch das DSG das Konzept eines anweisungsgebundenen Auftragsbearbeiters, an den bestimmte, wenn auch weniger detailliert festgelegte Anforderungen gestellt werden (Art. 5 lit. k., Art. 9 DSG, Art. 4 Nr. 8, 28 DSGVO).
5. Erlaubnis der Bearbeitung: Beide Gesetze erlauben die Bearbeitung von Personendaten nur, wenn die Grundsätze der Rechtmäßigkeit, Treu und Glauben, Verhältnismäßigkeit und Zweckbindung eingehalten werden (Art. 6 Abs. 1 bis 3 DSG, Art. 5 Abs. 1 lit. a und b. DSGVO).
6. Datenschutz-Folgenabschätzung: Neue Vorschriften erfordern eine Datenschutz-Folgenabschätzung und ein Konsultationsverfahren, oder eine Überprüfung durch bestellte Datenschutzberater, falls eine Datenbearbeitung ein hohes Risiko für die Persönlichkeitsrechte oder Grundrechte einer Person darstellt (Art. 22, 23 DSG).
7. Privacy by design/default: Die Prinzipien des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) finden sich im Art. 7 DSG wieder. Daher müssen auch unter dem DSG Datenschutzvorgaben bereits in der Planungs- und Konzeptionsphase beachtet werden, z.B. bei der Auswahl von Software-Tools.
8. Sicherheit der Datenbearbeitung: Auch das DSG verlangt, dass geeignete technische und organisatorische Maßnahmen ergriffen werden, um die Datensicherheit zu gewährleisten (Art. 8 DSG). Allerdings bleibt das DSG in Bezug auf den Detailgrad hinter der DSGVO zurück. Auch besteht keine explizite Rechenschaftspflicht, wobei eine Protokollierung der Maßnahmen empfohlen wird.
9. Datenschutzberaterin: Die Schweizer “Datenschutzberaterin oder -berater” (Art. 10 DSG) entspricht zwar von den Aufgaben her den “Datenschutzbeauftragten” der DSGVO (Art. 37 und 38 DSGVO). Im Unterschied zu der DSGVO ist deren Bestellung jedoch stets freiwillig.
10. Verzeichnis der Bearbeitungstätigkeiten: Sowohl nach der Datenschutz-Grundverordnung (DSGVO) als auch nach dem neuen Datenschutzgesetz (DSG) sind Unternehmen verpflichtet, ein aktuelles Verzeichnis von Bearbeitungstätigkeiten zu führen.
11. Informationspflichten und Datenschutzerklärung: Genau wie die DSGVO schreibt auch das DSG vor, dass betroffene Personen über die Bearbeitung ihrer personenbezogenen Daten informiert werden müssen (Art. 19 DSG, Art. 13 und 14 DSGVO). Im Gegensatz zur DSGVO ist jedoch der Katalog der vorgeschriebenen Inhalte einer Datenschutzerklärung weniger umfangreich.
12. Automatisierte Entscheidungsfindung – Verantwortliche müssen betroffene Personen grundsätzlich darüber informieren, wenn eine Entscheidung ausschließlich auf einer automatisierten Verarbeitung beruht und diese rechtliche Auswirkungen für die Betroffenen hat. Ferner können Betroffene verlangen, dass automatisierte Einzelentscheidung von einer natürlichen Person überprüft werden.
13. Betroffenenrechte: Das neue DSG erweitert die Auskunftsrechte der betroffenen Personen (Art. 25 DSG) und führt ein neues Recht auf Datenübertragung ein, ähnlich wie in der DSGVO (Art. 28 DSG, Art. 20 DSGVO). Weitere Rechte, wie auf Berichtigung, Löschung oder Widerspruch, sind nicht so explizit katalogisiert wie in der DSGVO (siehe Art. 32 DSG).
14. Meldepflicht bei Datenschutzverletzungen: Datenschutzverletzungen müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) “so rasch als möglich” gemeldet werden (Art. 24 DSG). Dies gilt auch für die DSGVO, jedoch mit einer festgelegten 72-Stunden-Frist (Art. 33 DSGVO). Allerdings gibt es, anders als unter der DSGVO, keine Bußgelder, wenn die Meldung unterbleibt.
15. Vertretung in der Schweiz und in der EU: Die DSGVO und das DSG verlangen, dass ausländische Bearbeiter einen Vertreter im Inland, d.h. in der Schweiz bzw. in der EU, benennen, insbesondere wenn sie nicht nur gelegentlich Schweizer Kunden oder Nutzer in der EU bedienen und dabei für die betroffenen Personen ein Risiko von Persönlichkeitsverletzungen entsteht (Art. 14 DSG, Art. 27 DSGVO).
16. Übermittlung von Personendaten ins Ausland: Wie in der EU müssen Datentransfers in Drittländer, insbesondere in die USA, besonders begründet sein (Art. 16 DSG, Art. 44-49 DSGVO). Wie auch in der EU kommen hier sogenannte Angemessenheitsbeschlüsse zum Einsatz, bei denen der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) die Angemessenheit des Datenschutzniveaus bestimmt, oder alternativ die Nutzung von Standardvertragsklauseln oder Zustimmungen.

Wann ist eine Bearbeitung von Personendaten nach dem DSG erlaubt?

Die Bearbeitung von Personendaten ist nach dem DSG erlaubt, wenn dabei die Grundsätze der Rechtmäßigkeit, Treu und Glauben, Verhältnismäßigkeit und Zweckbindung beachtet werden (Art. 6 Abs. 1 und 2 DSG).

Dies sind Grundpfeiler des Datenschutzes, die auch in der EU gelten (Art. 5 Abs. 1 lit. a und b. DSGVO). Es bedeutet vor allem, dass eine Abwägung von eigenen Interessen der Bearbeiter mit denen der betroffenen Personen erfolgen muss, und diese darüber informiert sein müssen, welche Daten von ihnen zu welchen Zwecken bearbeitet werden, die nicht nachträglich verändert werden dürfen.

Der Unterschied zwischen der DSGVO und dem DSG liegt in der Ausgestaltung dieser Prinzipien:

• Alles ist verboten, außer es ist erlaubt: In der DSGVO ist eine Verarbeitung von personenbezogenen Daten generell verboten und nur dann erlaubt, wenn einer der im Katalog des Art. 6 DSGVO genannten Erlaubnisgründe vorliegt (Einwilligung, Verarbeitung zur Vertragserfüllung oder auf Grundlage berechtigter Interessen usw.).
• Alles ist erlaubt, außer es ist verboten: Im Gegensatz zur DSGVO ist eine Bearbeitung von Personendaten nach dem DSG grundsätzlich erlaubt, sofern die Grundsätze der Rechtmäßigkeit, Zweckbindung, Verhältnismäßigkeit sowie Treu und Glauben beachtet werden. Nur wenn die Bearbeitung zu einer Verletzung der Persönlichkeitsrechte führt, muss sie gemäß Art. 31 DSG begründet werden.

Im Allgemeinen sollte die Bewertung der Zulässigkeit von Verarbeitungsprozessen nach beiden Gesetzen gleich ausfallen. Es ist jedoch unbestreitbar, dass das Schweizer System flexibler, weniger reguliert und daher unternehmensfreundlicher ist. Wer allerdings die DSGVO beachten muss, sollte sich an deren Anforderungen orientieren. Verarbeitungen, die nach der DSGVO erlaubt sind, werden auch nach dem DSG zulässig sein.

Ist ein Verzeichnis von Bearbeitungstätigkeiten notwendig?

Laut dem Schweizer Datenschutzgesetz (DSG) sind Unternehmen dazu verpflichtet, ein Verzeichnis von Bearbeitungstätigkeiten zu führen (Art. 12 DSG).

Keine Veröffentlichungspflicht: Es besteht keine Pflicht zur Veröffentlichung des Verzeichnisses von Bearbeitungstätigkeiten. Es muss lediglich auf Anforderung der Datenschutzaufsicht zur Verfügung gestellt werden.

Dieses Verzeichnis enthält eine kontinuierlich aktualisierte Übersicht über die Datenbearbeitungsaktivitäten eines Unternehmens. Es beinhaltet Informationen zu den Zwecken der Bearbeitung, den beteiligten Datenkategorien, den Empfängern und weiteren relevanten Details. Gemäß Art. 12 des Schweizer DSG enthält das Verzeichnis mindestens folgende Punkte:

• die Identität des Verantwortlichen;
• den Bearbeitungszweck;
• eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
• die Kategorien der Empfängerinnen und Empfänger;
• wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
• wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Artikel 8;
• falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Artikel 16 Absatz 2.
• (3) Im Fall der Auftragsbearbeitung Angaben zur Identität des Auftragsbearbeiters und des Verantwortlichen, zu den Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden, sowie die Angaben oben nach Buchstaben f und g.

Falls bereits ein Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 der DSGVO existiert, erfüllt es in der Regel auch die Anforderungen des DSG.

Ausnahme von der Pflicht zur Führung eines Verzeichnisses von Bearbeitungstätigkeiten: Der Bundesrat kann gem. Art. 12 Abs. 5 DSG Ausnahmen für Unternehmen vorsehen, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt. Im Art. 30 Abs. 5 DSGVO ist eine Ausnahme bei weniger als 250 Mitarbeitern bereits vorgesehen, aber sie gilt nur, wenn die Bearbeitung nicht nur gelegentlich stattfindet. Bei den heutigen Arbeitspraktiken (z.B. E-Mail, Website-Nutzung) findet die Bearbeitung von Personendaten in der Regel regelmäßig statt. Folglich müssen die meisten Unternehmen ein Verzeichnis von Bearbeitungs- bzw. Verarbeitungstätigkeiten führen.

Ist eine Datenschutzerklärung nach Schweizer Recht erforderlich?

Ja, gemäß Art. 19 des Schweizer DSG besteht eine Pflicht zur Bereitstellung einer Datenschutzerklärung. Bei Zuwiderhandlungen kann eine Geldstrafe von bis zu 250.000 Franken gemäß Art. 60 des Schweizer DSG verhängt werden.

Eine gesonderte Datenschutzerklärung nach dem DSG neben der DSGVO-Datenschutzerklärung zu führen, ist aufgrund der vielen Überschneidungen und des Aufwands für die Aktualisierung weder notwendig noch empfehlenswert. Obwohl die gesetzlichen Anforderungen auf den ersten Blick unterschiedlich erscheinen mögen, ähneln sich die verlangten Inhalte stark.

Die Pflichtangaben nach der DSGVO in den Art. 13 und 14 umfassen:

• Identität und Kontaktdaten des Verantwortlichen.
• Kontaktdaten des Datenschutzbeauftragten.
• Verarbeitungszwecke und Rechtsgrundlage.
• “Berechtigte Interessen” des Verantwortlichen oder eines Dritten.
• Empfänger oder Kategorien von Empfängern der personenbezogenen Daten.
• Übermittlung von Daten an ein Drittland.
• Dauer der Speicherung.
• Hinweis auf die Rechte der betroffenen Person.
• Ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist.
• Informationen zu automatisierten Entscheidungsfindung einschließlich Profiling.
• Bei Bezug auf dritten Quellen (z.B. Kauf von Datensätzen), Kategorien und Quelle der Daten.

Im Gegensatz dazu ist die Liste der in jedem Fall erforderlichen Inhalte in Art. 19 DSG kürzer:

• Die Identität und die Kontaktdaten des Verantwortlichen
• Den Bearbeitungszweck.
• Empfänger oder Kategorien von Empfängern der Personendaten.
• Übermittlung von Daten ins Ausland
• Bei Bezug auf dritten Quellen (z.B. Kauf von Datensätzen), Kategorien u der Daten.

Es sollte jedoch beachtet werden, dass eine geringere Anzahl von Pflichtangaben nicht bedeutet, dass nicht weitere Informationen notwendig sind. Sowohl die DSGVO als auch das DSG enthalten keine abschließende Aufzählung der erforderlichen Informationen. Art. 19 Abs. 2 DSG sieht vielmehr vor, der Verantwortliche teilt den betroffenen Personen

diejenigen Informationen mit, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann.

Zusammenfassend empfehlen wir, bei der Erstellung der Datenschutzerklärung die Vorgaben der Art. 13 und 14 DSGVO zu beachten. Damit werden auch die offen formulierten Anforderungen des DSG an eine Datenschutzerklärung erfüllt.

Dies gilt auch für die Vorgaben der DSGVO hinsichtlich der Art und Weise, wie Datenschutzinformationen bereitgestellt werden müssen (“in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache”, Art. 12 Abs. 1 DSGVO).

Begrifflichkeiten in der Datenschutzerklärung: Bei der Terminologie in der Datenschutzerklärung sollten Sie die Begriffe der DSGVO oder des DSG verwenden und diese zu Beginn erklären, um Verwirrung bei den betroffenen Personen zu vermeiden. Wenn die Datenschutzerklärung nur für die Schweiz gelten soll, sollten ausschließlich Schweizer Begriffe verwendet werden.

Wann benötigt man nach dem Schweizer DSG Auftragsbearbeitungsverträge?

Im DSG gibt Artikel 9 Regelungen für Auftragsbearbeiter vor, die einem Auftragsverarbeiter gemäß DSGVO entsprechen (Art. 4 Nr. 8 DSGVO):

• Weisungsgebundenheit: Ein Auftragsbearbeiter ist ein Subunternehmer oder Dienstleister, der auf Anweisung des Verantwortlichen für die Bearbeitung von Personendaten beauftragt wird, z.B. ein Webhoster, externe Personalverwaltung, Google bei Google Analytics, eine Werbeagentur, die Gewinnspiele veranstaltet, oder ein Newsletterversender (Art. 5 lit. k DSG).
• Verantwortung des Auftragsbearbeiters: Ähnlich wie in der DSGVO muss sich der Verantwortliche insbesondere davon überzeugen, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
• Keine Detailvorgaben für Auftragsbearbeitungsverträge: Zwar setzt auch das DSG eine vertragliche Vereinbarung oder eine gesetzliche Grundlage einer Auftragsverarbeitung voraus. Im Unterschied zur DSGVO macht das DSG jedoch keine Detailvorgaben für den Inhalt der Auftragsbearbeitungsverträge (Art. 9 DSG Art. 28 DSGVO). Wenn ein Schweizer Unternehmen aber auch die DSGVO einhalten muss, muss es ohnehin einen Auftragsverarbeitungsvertrag nach Maßgabe der DSGVO abschließen. Deshalb ist zu empfehlen ist, sich beim Inhalt der Auftragsbearbeitungsverträge an der DSGVO zu orientieren.
• Zwar setzt auch das DSG eine vertragliche Vereinbarung oder eine Gesetzliche Grundlage eines Verarbeitungsvertrages vor. Im Unterschied zur DSGVO gibt das DSG jedoch keine Deitalvorgaben für den Inhalt der Auftragsbearbeitungsverträge (Art. 8 DSGVO Art. 28 DSGVO). Wenn ein Unternehmen die DSGVO einhalten muss, muss es jedoch in jedem Fall einen Auftragsverarbeitungsvertrag nach Maßgabe der DSGVO abschließen, weshalb zu empfehlen ist, sich auch beim Inhalt der Auftragsbearbeitungsverträge an der DSGVO zu orientieren.
• Berechtigung: Ein Auftragsbearbeiter darf in Anspruch genommen werden, wenn a. die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun könnte und b. keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
• Unterauftragsbearbeiter: Wie in der DSGVO dürfen Auftragsbearbeiter die Datenbearbeitung auf weitere Auftragsbearbeiter nur mit Genehmigung des ursprünglich Verantwortlichen übertragen, z.B. wenn ein Unternehmen (Verantwortlicher) eine Marketingagentur mit Kundenmailings beauftragt (Auftragsbearbeiter) und diese wiederum einen technischen Versanddienstleister beauftragen möchte (Unterauftragsbearbeiter).

Wann ist nach dem DSG eine Datenschutz-Folgenabschätzung erforderlich?

Das DSG schreibt vor, dass bei besonders risikoreichen Bearbeitungsverfahren eine sog. “Datenschutz-Folgenabschätzung” (DS-FA) durchzuführen ist (Art. 22, 23 DSG).

Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt namentlich vor:

• bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten;
• wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.

Die Voraussetzungen erinnern an die Kriterien im Art. 35 DSGVO. Daher können auch die von EU-Aufsichtsbehörden veröffentlichten Listen der typischen Verarbeitungen, welche einer Datenschutz-Folgenabschätzung bedürfen, herangezogen werden. Z.B. der deutschen Datenschutzkonferenz, die unter anderem in den folgenden Fällen eine Datenschutz-Folgenabschätzung vorsieht:

• Verarbeitung von biometrischen Daten, z.B. beim Einsatz von Fingerabdrucksensoren zur Zutrittskontrolle für bestimmte Bereiche.
• Verarbeitung von genetischen Daten, z.B. im Rahmen von DNA-Tests zur Früherkennung vererblicher Krankheiten.
• Bereitstellung eines Insolvenzverzeichnisses.
• Erstellung und Verarbeitung von Scoringwerten im Handel.
• Bewertungsportale, bei denen z.B. Ärzte oder Lehrer bewertet werden.
• Auswertung der Stimmlage der Anrufer in einem Call-Center.
• Einsatz von Webportalen oder Apps durch Ärzte, um mit Patienten mittels Videotelefonie zu kommunizieren.

Dabei handelt es sich nur um Richtbeispiele. D.h. es muss immer im Einzelfall geprüft werden, wie hoch das konkrete Risiko ist und ob ein sog. “Schwellenwert” überschritten wird. Erst dann wird die eigentliche Datenschutz-Folgenabschätzung durchgeführt, in deren Rahmen die einzelnen Risiken bewertet und deren Eindämmung dank der ergriffenen Schutzmaßnahmen geprüft wird. Sollten sich die Schutzmaßnahmen als nicht ausreichend erweisen, muss der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) konsultiert werden.

Ist nach dem DSG ein Datenschutzberater erforderlich?

Der Schweizer “Datenschutzberater” (Art. 10 DSG) entspricht von den Aufgaben her dem “Datenschutzbeauftragten” der DSGVO (Art. 37 und 38 DSGVO). Der Unterschied liegt in der Pflicht zu dessen Bestellung:

• DSG:  Private Unternehmen können freiwillig einen Datenschutzberater ernennen, der unabhängig und unparteiisch sein sollte. Die Aufgaben der Datenschutzberater umfassen allgemeine Beratung, Schulungen, Mitwirkung bei der Erstellung und Anwendung von Datenschutzvorschriften und Nutzungsbedingungen.
• DSGVO: In der DSGVO ist die Ernennung eines Datenschutzbeauftragten generell ebenfalls freiwillig. Ein Datenschutzbeauftragten muss aber bestellt werden, wenn die Verarbeitung personenbezogener Daten besonders hohe Risiken mit sich bringt (Art. 37 DSGVO). In Deutschland ist national ein Datenschutzbeauftragter sogar ab 20 Mitarbeitern erforderlich (§ 38 Abs. BDSG).

Als Daumenregel gilt, dass ein Datenschutzberater auf jeden Fall bestellt werden sollte, wenn eine Datenschutz-Folgenabschätzung durchzuführen ist.

Ist nach dem Schweizer DSG eine Einwilligung für Cookies erforderlich?

Wenn es um Cookies geht, müssen immer zwei Arten von Gesetzen beachtet werden. Zum einen müssen Regelungen zum Schutz vor Zugriffen auf fremde Geräte geprüft werden:

• Einwilligungspflicht in der EU: In der EU müssen Nutzer einwilligen, wenn auf ihren Geräten nicht unbedingt erforderliche Cookies gespeichert oder ausgelesen werden
• (Art. 5 Abs. 3 der ePrivacy-Richtlinie, in Deutschland im § 25 TDDDG und in Österreich im § 96 Abs. 3 TKG in nationales umgesetzt).
• Hinweispflicht in der Schweiz: Das Pendant zur ePrivacy-Richtlinie der EU ist Art. 45c Fernmeldegesetz (FMG): “Das Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung ist nur erlaubt: […] b. wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert und darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.” D.h., während die EU bei nicht notwendigen Cookies eine Einwilligung fordert, reicht in der Schweiz ein Hinweis auf Cookies und eine Möglichkeit ihrer Löschung (auch via Browsereinstellungen) aus.

Neben den Vorschriften zum Schutz vor Zugriffen auf fremde Geräte, müssen auch die Vorgaben zum Datenschutz beachtet werden:

• Einwilligungspflicht in der EU: In der EU ist weder klar geregelt noch endgültig entschieden, welche Arten von Cookies einer Einwilligung (Art. 6 Abs. 1 lit. a. DSGVO) bedürfen. Die Aufsichtsbehörden sind der Meinung, dass eine Einwilligung nach der DSGVO notwendig ist, wenn sie auch nach der ePrivacy eine Einwilligungspflicht ergibt. Diese Ansicht ist nicht unumstritten. Aber spätestens wenn Tools, die Nutzerprofile bilden, über Geräte hinweg beobachten und die Daten zu Werbezwecken einsetzen (z.B. Google Analytics und Meta-Pixel), ist davon auszugehen, dass Gerichte eine Einwilligungspflicht sehen werden.
• Keine klare Einwilligungspflicht in der Schweiz: Wenn das Profiling mittels Cookies nach Schweizer Recht als Verletzung des Persönlichkeitsrechts eingestuft würde, würde sich auch nach dem Schweizer Recht eine Einwilligungspflicht ergeben. In diesem Fall wäre ebenfalls eine Einwilligung nach Art. 30 Abs. 1 und 31 Abs. 1 nDDSG, also ein “Cookie-Opt-In”, einzuholen. Allerdings gibt es hier keine verlässliche Rechtslage, so dass eine Gerichtsentscheidung weniger einfach vorherzusagen ist als in der EU.

Zusammenfassend kann man sagen, dass bei reiner Anwendung des Schweizer Rechts keine Opt-In-Pflicht für Cookies besteht. Allerdings kommt die DSGVO auch dann zur Anwendung, wenn Schweizer Webseitenbetreiber das Verhalten von EU-Bürgen beobachten.

Daher ist unter dem Strich ein Opt-In auch Schweizer Websitebetreibern ein Cookie-Opt-In empfohlen.

Was gilt nach dem DSG für sensible Personendaten?

Das DSG definiert in Art. 5 lit. c folgende “besonders schützenswerte Personendaten”, die im Wesentlichen den “besonderen Kategorien personenbezogener Daten” in Art. 9 Abs. 1 DSGVO entsprechen (in Kombination mit dem nationalen Schutz von Sozialdaten):

• Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
• Daten über die Gesundheit, Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
• Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
• Daten über Maßnahmen der sozialen Hilfe,
• Genetische Daten,
• Biometrische Daten, die eine natürliche Person eindeutig identifizieren.

Die Berechtigung zur Bearbeitung besonders schützenswerter Personendaten ist nach dem DSG eher weniger streng geregelt als in der DSGVO:

• DSGVO: Die Verarbeitung von besonderen Kategorien personenbezogener Daten ist generell nicht erlaubt und darf nur erfolgen, wenn einer der ausdrücklich genannten Rechtfertigungsgründe vorliegt (z.B. Einwilligung, Behandlungsvertrag etc., Art. 9 Abs. 2 DSGVO).
• DSG: Sofern die Grundsätze der Rechtmäßigkeit, von Treu und Glauben, Verhältnismäßigkeit und Zweckbindung beachtet werden, ist grundsätzlich keine besondere Rechtfertigung erforderlich (Art. 6 Abs. 1 bis 3 DSG, Art. 5 Abs. 1 lit. a und b. DSGVO). Eine Ausnahme gilt, wenn Persönlichkeitsrechte verletzt werden, was insbesondere dann gegeben ist, wenn “Dritten besonders schützenswerte Personendaten bekanntgegeben werden (z.B. begeht ein Arzt, der Gesundheitsdaten zu Untersuchungszwecken an ein Labor weitergibt, grundsätzlich eine Persönlichkeitsverletzung (Art. 30 Abs. 2 lit. c. DSG), die jedoch zur Vertragserfüllung notwendig und somit gerechtfertigt ist (Art. 31 Abs. 1 und 2 lit. a. DSG)).

Welche Rechte stehen den betroffenen Personen nach dem Schweizer DSG zu?

Die DSGVO umfasst einen Katalog von Betroffenenrechten, die in den Artikeln 15 bis 22 der DSGVO definiert sind:

• Recht auf Auskunft
• Recht auf Berichtigung
• Recht auf Löschung und Einschränkung der Bearbeitung
• Recht auf Widerspruch
• Recht auf Datenübertragbarkeit
• Recht auf Beschwerde bei einer Aufsichtsbehörde

Das neue Datenschutzgesetz (DSG) erwähnt ausdrücklich nur das Recht auf Auskunft (Artikel 25-27 DSG) und die Datenübertragbarkeit (Artikel 28-29 DSG). Die anderen Rechte ergeben sich jedoch u.a. aus dem Katalog der Rechtsansprüche der betroffenen Personen im Artikel 32 und der Berechtigung des  Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) im 49 Abs. 1 des DSG, auf eine Anzeige hin zu handeln.

Welchen Inhalt muss eine Auskunft gemäß dem DSG enthalten?

Die Auskunft an betroffene Personen muss entsprechend Art. 27 DSG folgende Angaben enthalten:

• Die Identität und die Kontaktdaten des Verantwortlichen
• Die bearbeiteten Personendaten als solche
• Der Zweck der Bearbeitung
• Die Dauer der Speicherung der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer
• Verfügbare Informationen über die Herkunft der Personendaten, sofern diese nicht von der betroffenen Person stammen
• Gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der diese Entscheidung beruht
• Gegebenenfalls die Empfänger oder Kategorien von Empfängern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 19 Absatz 4.

Der Katalog entspricht im Wesentlichen auch den Angaben in Art. 15 Asb.1 DSGVO, wo jedoch zusätzlich ein Recht auf eine Kopie der relevanten Daten im maschinellen Format esteht (Art. 15 Abs. 3 DSGVO). Ein solches Recht kann jedoch auch nach dem DSG entstehen, wenn die Kopien notwendig sind, um eine transparente Datenbearbeitung zu gewährleisten.

Denn laut Art- 27 Abs. 1 DSG gilt:

Die betroffene Person erhält diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist.

Was muss bei Datentransfers ins Ausland, beispielsweise in die USA, beachtet werden?

Sowohl die DSGVO als auch das DSG erfordern besondere Garantien für ein angemessenes Datenschutzniveau im Falle von Transfers von Personendaten ihrer Bürger in ein “Drittland” (Art. 44 DSGVO) bzw. ins “Ausland” (Art. 16 DSG).

Als solche Garantien kommen in Frage:

• Angemessenheitsbeschlüsse: Sowohl die EU-Kommission als auch des Bundesrates können ein angemessenes Datenschutzniveau in einem Drittland bzw. Ausland feststellen (Art. 45 Abs. 1 DSGVO, Art. 16 Abs. 1 DSG). Solche Angemessenheitsbeschlüsse existieren seitens der EU beispielsweise für die Schweiz, Neuseeland, Andorra, Argentinien, die Färöer-Inseln, Guernsey, Japan, Korea, Kanada, Israel und Großbritannien. Das entspricht auch der Schweiz Staatenliste, die umgekehrt auch den Datenschutz in der EU für angemessen hält.
• Auch die  Im Rahmen des Data Privacy Framework (DPF) hat die EU-Kommission auch festgestellt, dass ein angemessenes Datenschutzniveau für US-Unternehmen besteht, die ein bestimmtes (Selbst-)Zertifizierungsverfahren durchlaufen (also verkürzt gesagt zusichern, dass sie die DSGVO beachten werden). Ein solcher Angemessenheitsbeschluss wird auch von der Schweiz erwartet.
• Abschluss von Standardvertragsklauseln: Standardvertragsklauseln sind Musterverträge der EU-Kommission, die die Vertragspartner zur Einhaltung des europäischen Datenschutzniveaus verpflichten. Sie werden auch für Verträge mit Schweizer Unternehmen verwendet (Art. 46 Abs. 2 lit. c. DSGVO, Art. 16 Abs. 2 lit. d. DSG).
• Einwilligung, Erforderlichkeit für die Vertragsabwicklung, Binding Corporate Rules (BCR): Neben den oben genannten Angemessenheitsbeschlüssen und Standardvertragsklauseln kommen auch die Einwilligung, die Notwendigkeit der Vertragsabwicklung (z.B. Buchung einer Reise ins Ausland) oder interne unternehmerische Regeln als Grundlagen für die Übermittlung ins Ausland in Frage (Art. 46 – 49 DSGVO, Art. 16 Abs. 2 DSG).

Wie Sie US-Unternehmen, wie z.B. Google, Meta oder Amazon sicher einsetzen können, erfahren Sie in unserem Ratgeber “Data Privacy Framework (DPF) – Einsatz von US-Dienstleistern nun DSGVO-konform?”.

Wann müssen ausländische Unternehmen einen Vertreter in der Schweiz bestellen?

Ausländische Bearbeiter müssen beim Vorliegen der nachfolgenden Voraussetzungen einen Vertreter in der Schweiz benennen (Art. 14 DSG):

• Die Bearbeitung steht im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz.
• Es handelt sich um eine umfangreiche Bearbeitung.
• Es handelt sich um eine regelmäßige Bearbeitung.
• Die Bearbeitung bringt ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich.

Ausgehend von dieser Auflistung, müssten z.B. alle deutschen E-Shops mit Schweizer Kunden einen Vertreter in der Schweiz benennen. Allerdings geht der zumindest vorherrschende Meinungsstand davon aus, dass diese Voraussetzungen zusammen vorliegen müssen. D.h. nur wenn der deutsche E-Shop die Daten der Kunden umfangreich und regelmäßig bearbeitet und diese Bearbeitung ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt.

Das wäre z.B. der Fall, wenn der Onlineshop medizinische Produkte verarbeitet und eine Kundendatenbank führt, aus der auf die Krankheiten der Kunden geschlossen werden kann.

Müssen Sie einen Schweizer Vertreter benennen, dann müssen Sie auch dessen Namen und Adresse mitteilen (was in der Regel in der Datenschutzerklärung erfolgt). Der Vertreter ist die Anlaufstelle für die betroffenen Personen und den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Welche Pflichten bestehen bei Datenpannen?

Gemäß dem neuen Datenschutzgesetz (DSG) sind Unternehmen dazu verpflichtet, Datenverletzungen “so rasch als möglich” dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und allen potenziell betroffenen Parteien zu melden, um Bußgelder zu vermeiden (Art. 24 DSG).

Bei einer Datenpanne müssen die für die Datenbearbeitung Verantwortlichen die folgenden Maßnahmen ergreifen:

• Melden Sie den Vorfall schnellstmöglich dem EDÖB, wenn die Verletzung der Datensicherheit voraussichtlich ein hohes Risiko für die betroffenen Personen darstellt.
• Legen Sie die Art der Datenschutzverletzung dar.
• Beschreiben Sie die möglichen Konsequenzen für betroffene Personen.
• Erörtern Sie Maßnahmen zur Risikominimierung.
• Informieren Sie die Betroffenen über die Datenschutzverletzung, wenn dies zu deren Schutz erforderlich ist.

Die Meldepflichten entsprechen im Allgemeinen den Meldepflichten gemäß Art. 33 und 34 der Datenschutz-Grundverordnung (DSGVO), welche jedoch strengere Vorgaben aufweisen:

• Meldefrist: Eine Meldung an die Aufsichtsbehörde muss innerhalb von 72 Stunden erfolgen (anstatt “so schnell wie möglich”).
• Geringere Risikoschwelle bei Meldung an die Behörde: Eine Meldung ist nur dann entbehrlich, wenn die Datenschutzverletzung voraussichtlich kein Risiko für die Betroffenen darstellt.

Es gibt allerdings einen wesentlichen Unterschied zur DSGVO, wenn die Meldung unterbleibt. Denn im Gegensatz zur DSGVO sieht das DSG im Fall einer unterlassenen Meldung keine Bußgelder vor.

Welche Bußgelder können nach dem Schweizer Datenschutzgesetz verhängt werden?

Bei Verstößen gegen das DSG können den Verantwortlichen folgende Konsequenzen drohen (Art. 60 bis 66 DSG):

• Maßnahmen des EDÖB: Der EDÖB kann Untersuchungen einleiten und bei Datenschutzverletzungen weitreichende Maßnahmen anordnen.
• Bußgelder: Bei Verstößen gegen das DSG kann eine Geldstrafe von bis zu 250.000 CHF auferlegt werden.
• Strafbarkeit: Strafbarkeit entsprechend den Regeln für Wi­der­hand­lun­gen in Ge­schäfts­be­trie­ben, durch Be­auf­trag­te (66 Abs.1 DSG i.V.m. Art. 6 und 7 Verwaltungsstrafrecht).

Dabei sind folgende Verfahrensaspekte zu beachten:

• Verjährungsfrist: Die Verjährungsfrist für diese Verstöße beträgt 5 Jahre.
• Adressaten sind Personen, nicht unternehmen: Die Sanktionen richten sich nicht gegen das Unternehmen, sondern gegen die verantwortliche natürliche Person.
• Unternehmen werden nur ausnahmsweise in Anspruch genommen: Wenn die Geldstrafe 50.000 CHF nicht übersteigt und es unverhältnismäßig wäre, die verantwortliche Person zu identifizieren, kann das Unternehmen zur Zahlung der Strafe verurteilt werden.

Im Vergleich zur DSGVO sind die Bußgelder nach der DSGVO üblicherweise höher und können bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes eines Unternehmens betragen, je nachdem, welcher Wert höher ist.

Checkliste zur Vorbereitung auf das DSG

Bitte prüfen Sie anhand der folgenden Checkliste ob und welche Maßnahmen Sie zur Vorbereitung auf das neue Schweizer DSG ergreifen müssen:

1. Kommt das DSG zur Anwendung? Haben Sie Ihren Sitz in der Schweiz oder Kunden sowie Nutzung in der Schweiz?
2. Verfügen Sie über eine DSGVO-Compliance? Wenn die Vorgaben der DSGVO beachtet wurden, dann wird auch eine DSG-Compliance vorliegen. Falls nicht, sind folgende Punkte zu prüfen:
   • Identifizieren Sie die Bearbeitungsprozesse von Personendaten entsprechend Art. 5 lit. a. und d. DSG.
   • Überprüfen Sie die Rechtfertigung der Bearbeitung entsprechend Art. 6, 30, 31 DSG.
   • Prüfen Sie, ob Daten ins Ausland transferiert werden und ob eine Garantie für ein angemessenes Datenschutzniveau vorliegt (Art. 16 DSG).
   • Prüfen und richten Sie bei Bedarf technische und organisatorische Maßnahmen zur Sicherheit der Datenbearbeitung (Art. 8 DSG).
   • Identifizieren und prüfen Sie die Auftragsbearbeitungsverfahren (Art. 5 lit. k., Art. 9 DSG).
   • Identifizieren Sie besonders risikoreiche Bearbeitungsverfahren und führen Sie gegebenenfalls eine Datenschutz-Folgenabschätzung durch (Art. 22, 23 DSG).
   • Stellen Sie ein Verzeichnis von Bearbeitungstätigkeiten auf.
   • Überprüfen Sie die Fähigkeit, Anfragen im Zusammenhang mit Betroffenenrechten (Art. 27-29 DSG) und Meldepflichten bei Datenpannen (Art. 14 DSG) fristgerecht nachzukommen.
3. Für Nicht-Schweizer: Prüfen Sie, ob ein Vertreter in der Schweiz eingesetzt werden muss (Art. 14 DSG).
4. Erstellen Sie eine DSG-Datenschutzerklärung oder erweitern Sie eine bestehende DSGVO-Datenschutzerklärung auf das DSG (Art. 14 DSG).

Fazit und Praxistipp

Falls Sie bereits die Anforderungen der DSGVO erfüllt haben, sollte das DSG für Sie keine besonderen Herausforderungen darstellen. Sie müssen lediglich Ihre Datenschutzhinweise aktualisieren und das DSG in diese integrieren.

Wenn Sie jedoch in der Schweiz ansässig sind und bisher keine Daten von EU-Bürgern bearbeitet haben, sollten Sie prüfen, ob Sie den neuen Pflichtenkatalog des DSG erfüllen können. In diesem Fall ist es ratsam, Ihre Datenschutzerklärung anzupassen, um nach außen hin zu demonstrieren, dass Sie die Anforderungen des DSG einhalten.