Das neue Schweizer Datenschutzgesetz – kurz DSG – ist am 01.09.2023 in Kraft getreten. Was das für Schweizer Unternehmen bedeutet und welcher Handlungsbedarf sich daraus ergibt, erfahren Sie hier in unserem Blogbeitrag.

Ich freue mich sehr, dass ich diesen Blogartikel verfassen darf, da ich auch in privater Hinsicht viele Berührungspunkte mit der Schweiz habe: Mein Mann und mein Schwiegervater sind Schweizer Staatsbürger.

Wie immer gilt bei neuen Gesetzen oder Verordnungen:

1. Ruhe bewahren
2. und alle Schritte praxisnah in Ihrem Unternehmen umsetzen.

In diesem Blogartikel möchten wir Sie an die Hand nehmen und durch das Schweizer Datenschutzgesetz führen.

Die gute Nachricht vorweg: Das neue DSG der Schweiz hat sehr viele Ähnlichkeiten mit der DSGVO. Beginnen wir daher erst mal damit und lassen Sie uns die Gemeinsamkeiten zwischen der DSGVO und dem DSG zusammentragen.

Auf den Punkt gebracht: Das Schweizer Datenschutzgesetz

Ähnlichkeiten mit DSGVO

Themen	DSG (Schweiz)	DSGVO
Nicht-Anwendbarkeit (natürliche Personen)	Art. 2 Satz 2 lit. a	Art. 2
Grundsätze der Datenverarbeitung	Art. 6 Satz 1 – 5	Art. 5
Rechtsgrundlage Datenverarbeitung	Art. 6 Satz 6 (Notwendigkeit der Einwilligung)	Art. 6
TOMs	Art. 7, Art. 8	Art. 32
Auftragsverarbeitung / Auftragsbearbeitung	Art. 9 (vereinfacht zu Art. 28 DSGVO)	Art. 28
Verzeichnis der Verarbeitungstätigkeiten / Bearbeitungstätigkeiten	Art. 12	Art. 30
Zertifizierung	Art. 13 (unabhängige Zertifizierungsstelle)	Art. 40 ff.
Garantien Datenübermittlung	Art. 16, Art. 17 (Ausnahmen)	Art. 40 ff.
Vertretung	Art. 14 (Person ist in der Schweiz zu nennen, wenn private Verantwortliche Sitz / Wohnsitz im Ausland)	Art. 27
Informationspflicht	Art. 19, Art. 20 (Ausnahmen), Art. 21	Art. 13, Art. 14
Datenschutzfolgenabschätzung	Art. 22	Art. 35
Meldung Verletzung Datensicherheit / Datenschutzverletzung	Art. 24 (rasch wie möglich), Art. 30 (Persönlichkeitsverletzung)	Art. 33
Rechte der Betroffenen	Art. 25 (Auskunft), Art 28 (Rechts auf Datenherausgabe oder -übertragung), Art. 29 (Einschränkung des Rechts auf Datenherausgabe- oder übetragung)	Art. 15
Bußgelder / Strafbestimmungen	Art. 60 (Verletzung Informations-, Auskunfts- und Mitwirkungspflicht), Art. 61 (Verletzung Sorgfaltspflicht), Art. 62 (Verletzung beruflicher Schweigepflicht)	Art. 83

Wie man sieht, hat sich die Schweizerische Eidgenossenschaft sehr an der DSGVO orientiert. Das ist aus unserer Sicht auch für Sie sehr vorteilhaft.

Warum?

Als Schweizer Unternehmen können Sie von dem Wissen und den Vorlagen von „DSGVO“-Datenschutzberatern profitieren.

Dennoch gibt es vereinzelte Unterschiede zur DSGVO, auf welche ich nachfolgend eingehe.

Unterschiede zwischen dem Schweizer Datenschutzgesetz und der DSGVO

Der erste Unterschied, der mir beim Lesen ins Auge sprang, sind die Begrifflichkeiten. Sie unterscheiden sich von der DSGVO. So wird z.B. aus Datenschutzbeauftragter im DSG der Datenschutzberater. Im Beitrag werde ich natürlich die Begrifflichkeiten aus dem DSG verwenden.

Dahingehend gibt es noch weitere Unterschiede:

• Die Einwilligung ist notwendig bei:
  • Bearbeitung von besonders schützenswerten Personendaten,
  • Profiling mit hohem Risiko durch eine private Person oder Bundesorgan
• Freistellung, ob private Verantwortliche einen Datenschutzberater bestellen (keine Mitarbeiteranzahl)
• Bekanntgabe von Personendaten ins Ausland (Art. 16, Art. 17 DSG)

Grundsätzliche Neuerungen durch das DSG

Die Schweizerische Eidgenossenschaft fasst die Neuerungen auf ihrer Webseite wie folgt zusammen:

1. Nur noch die Daten natürlicher Personen sind betroffen. Die Daten von juristischen Personen sind nicht mehr im DSG betrachtet.
2. Genetische und biometrische Daten werden in die Definition der besonders schützenswerten Daten aufgenommen.
3. Die Grundsätze „Privacy by Design“ und „Privacy by Default“ werden eingeführt. Wie der Name bereits andeutet, bedeutet „Privacy by Design“ (Datenschutz durch Technikgestaltung) für die Entwickler, den Schutz und den Respekt der Privatsphäre der Nutzerinnen und Nutzer in die Struktur der Produkte oder Dienstleistungen einzubauen. Der Grundsatz „Privacy by Default“ (Datenschutz durch Voreinstellung) stellt sicher, dass schon beim Inverkehrbringen des Produktes oder der Dienstleistung die höchste Sicherheitsstufe vorhanden ist, indem standardmässig, also ohne Eingreifen der Nutzer, alle nötigen Massnahmen für den Datenschutz und die Einschränkung der Datennutzung aktiviert sind. Anders gesagt, müssen sämtliche Software, Hardware sowie die Dienstleistungen so konfiguriert sein, dass die Daten geschützt sind und die Privatsphäre der Nutzer gewahrt wird.
4. Folgenabschätzungen müssen durchgeführt werden, sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht.
5. Die Informationspflicht wird ausgeweitet: Bei jeder Beschaffung von Personendaten – und nicht mehr nur von sogenannten besonders schützenswerten Daten – muss die betroffene Person vorgängig informiert werden.
6. Ein Verzeichnis der Bearbeitungstätigkeiten wird obligatorisch. Die Verordnung zum Gesetz sieht jedoch eine Ausnahme für KMU vor, deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt.
7. Eine rasche Meldung ist erforderlich, wenn die Datensicherheit verletzt wurde. Sie ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten.
8. Der Begriff Profiling (die automatisierte Bearbeitung personenbezogener Daten) wurde in das Gesetz aufgenommen.

Quelle Schweizerische Eidgenossenschaft: Neues Datenschutzgesetz (revDSG) (admin.ch)

Positive Anmerkung meinerseits: Die Erläuterungen und Auswirkungen und Folgen bei geplanten Gesetzesänderung oder Volksabstimmungen oder wie in diesem Fall die Zusammenfassung der wichtigsten Änderungen, schätze ich sehr an der Schweiz.

Für wen gilt nun das DSG und wer muss es umsetzen?

Ähnlich wie bei der DSGVO gilt das sogenannte Marktorientierungsprinzip. Das bedeutet, dass nicht der Ort der Verarbeitung an sich ausschlaggebend ist, sondern die Ausrichtung der Verarbeitung in der Schweiz. Konkret: Wenn EU-Unternehmen auch Daten von Schweizer Staatsbürgern verarbeiten, haben diese ebenfalls das DSG einzuhalten (z.B. Betrieb eines Onlineshops).

Umgekehrt gilt dies natürlich ebenfalls: Sofern Schweizer Unternehmen Daten von Kunden aus der EU verarbeiten, haben diese die Vorschriften ebenfalls einzuhalten.

Es ist aber unerheblich, ob die Daten nun automatisiert oder manuell verarbeitet werden. Sofern Sie Daten von Privatpersonen verarbeiten, haben Sie die Vorschriften des DSG einzuhalten. Verarbeiten Sie lediglich Daten von juristischen Personen, so ist das DSG nicht anwendbar. Dies ist, wie oben beschrieben, eine Neuerungen zum bisherigen Datenschutzrecht.

Genug der Theorie: Lassen Sie uns nun die Schritte zur Umsetzung des DSG ansehen.

Vorgehensweise zur Umsetzung des DSG

1. Verzeichnis der Bearbeitungstätigkeiten (Art. 12 DSG)

Aus unserer Erfahrung heraus hat es sich bewährt, mit dem Verzeichnis der Bearbeitungstätigkeiten zu starten. In diesem tragen Sie alle Bearbeitungstätigkeiten ein, in welchem personenbezogene Daten von von natürlichen Personen vorkommen.

Was muss im Verzeichnis stehen?

Folgende Mindestinhalte sind im Bearbeitungsverzeichnis des Verantwortlichen nach Art. 12 Satz 1 und Satz 2 DSGVO zu dokumentieren:

• Identität des Verantwortlichen
• Bearbeitungszweck
• Beschreibung der Kategorie der betroffenen Personen und Kategorie bearbeitenden Personendaten
• Kategorie der Empfänger
• Datenübermittlung ins Ausland; Angabe des Staats und der Garantien nach Art. 16 DSG
• Aufbewahrungsdauer (wenn möglich) oder Kriterien zur Speicherdauer
• Beschreibung der TOMs nach Art. 8 DSG (wenn möglich)

Sofern Sie Auftragsbearbeiter sind (siehe Nr. 2) sind folgende Angaben einzuhalten:

• Identität des Auftragsbearbeiters und Verantwortlichen
• Kategorie von Bearbeitungen , die im Auftrag des Verantwortlichen durchgeführt werden
• sowie die Mindestangaben (s.o.)

Beispiele für Bearbeitungsätigkeiten

• Kundenverwaltung
• E-Mail-Kommunikation
• Betrieb einer Internetseite
• Lohnabrechnung
• Personalverwaltung
• ….

In einem vorhergehenden Blogartikel finden Sie bereits zahlreiche „Standardbearbeitungstätigkeiten“, welche für das Erstellen und Befüllen bestimmt hilfreich sind.

Ausnahme zur Pflichtführung des Verzeichnisses für Bearbeitungstätigkeiten

Nicht jeder Verantwortliche muss ein Verzeichnis führen. Sofern Sie

• weniger als 250 Mitarbeiter haben und
• die Datenbearbeitung ein geringes Risiko für die betroffenen Personen mit sich bringt,

sind Sie von der Pflicht befreit. Als Beispiel dafür fällt mir ein Blumenladen oder eine Bücherei ein.

Auf der Website des EDÖB ist eine Auflistung der Datensammler vorhanden, welche von der Führung des Bearbeitungsverzeichnisses befreit sind: verzeichnis_der_inhaberderdatensammlungendiedurchbezeichnungeine (1).pdf. Sofern Ihr Unternehmen nicht gelistet ist, besteht die Pflicht zur Erstellung des Bearbeitungsverzeichnisses.

2. Auftragsbearbeiter

Tragen Sie in Ihrem Verzeichnis der Bearbeitungstätigkeiten auch gleich die Auftragsbearbeiter zu dem jeweiligen Bearbeitungszweck hinzu, falls vorhanden.

Wer ist Auftragsbearbeiter?

Im Gesetz ist nichts konkretes enthalten, wer Auftragsbearbeiter ist. Folgendes heißt es im Gesetzestext:

Wer die Bearbeitung von Personendaten an einen Auftragsbearbeiter übertragt hat sicherzustellen, dass

• die Daten so bearbeitet werden, wie es der Verantwortliche selbst tun dürfte und
• keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.

Weiterhin muss die Datensicherheit durch den Auftragsbearbeiter gewährleistet sein. Setzt der Auftragsbearbeiter weitere Unterauftragnehmer / Dritte ein, so ist dies nur mit einer vorherigen Genehmigung zulässig.

Ich gehe stark davon aus, dass die Abgrenzung relativ gleich zur DSGVO gehändelt wird. Auf der Website der Konferenz der schweizerischen Datenschutzbeauftragten geht aus dem Merkblatt zu Cloud-spezifischen Risiken und Maßnahmen hervor, dass mit Cloud-Anbietern ein Vertrag zu schließen ist.

Anforderungen an den Vertrag mit dem Auftragsbearbeiter

Im DSG sind keine konkreten Voraussetzungen für einen Auftragsdatenbearbeitungsvertrag genannt. Daher ist es ratsam, wenn die Vorgaben aus Art. 28 DSGVO herangezogen und umgesetzt werden.

Datenübermittlung in Drittländer – erlaubt?

Ähnlich wie in der DSGVO sind bei Datenübermittlung in Drittländer geeignete Garantien zu definieren bzw. festzulegen. Folgende Garantien sind nach Art. 16 DSG zulässig:

• Angemessenheitsbeschluss (die Liste der Länder mit einem angemessenen Datenschutzniveau ist hier abrufbar: SR 235.11 – Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) (admin.ch))
• völkerrechtlicher Vertrag,
• Datenschutzklauseln
• Garantien, welche vom Bundesrat erarbeitet und vom EDÖB mitgeteilt wurden,
• Standardvertragsklauseln (SCC) (die EU-SCC können nach Aussage des EDÖB verwendet werden)
• Binding Corporate Rules (BCR)

Identifizieren Sie am Besten gleich im Rahmen der Erstellung des Bearbeitungsverzeichnisses Ihre Dienstleister mit Hauptsitz in einem Drittland und notieren Sie sich dies dort.

Prüfen Sie anschließend, ob bereits eine der oben genannten Garantien vorhanden ist und notieren Sie sich dies ebenfalls.

3. Informationspflicht bzw. Datenschutzerklärung bei Beschaffung von Personendaten

Nachdem Sie nun alle Ihre Bearbeitungstätigkeiten und eingesetzten Dienstleister zusammengetragen haben, besteht die Pflicht, nach Art. 19 DSG die Betroffenen über die Datenverarbeitung zu informieren.

Was ist der Unterschied zwischen Informationspflicht und Datenschutzerklärung?

Keiner! Auch die Datenschutzerklärung ist eine Informationspflicht. Für die Webseite hat sich nur der Begriff Datenschutzerklärung eingebürgert.

Inhalt

Die Informationsflicht muss folgendes beinhalten:

• Quelle der Beschaffung (eigens oder von Dritten)
• Information über Rechtsausübung (Betroffenenrechte)
• Identität und die Kontaktdaten des Verantwortlichen
• Bearbeitungszweck
• Empfänger (namentlich oder kategorisiert)
• Kategorie der Daten, wenn nicht eigens erhoben
• Bei Auslandsübermittlung: Staat oder internationale Organisation und ggf. Garantien nach Art. 16 und Ausnahmen nach Art. 17

Zeitpunkt Information

Werden die Daten nicht beim Betroffenen beschafft, hat die Information spätestens einen Monat nach Datenerhalt zu erfolgen.

Bei direkter Erhebung hat die Information zum Zeitpunkt der Beschaffung der Informationen zu erfolgen.

Wie stelle ich die Informationspflicht am Besten bereit?

Sie können die Informationspflichten in physischer Form z.B. Aushang im Wartezimmer, Anlage zum Vertrag etc. oder in digitaler Form z.B. auf der Homepage in der Datenschutzerklärung zur Verfügung stellen. 

Verweisen Sie zum Beispiel bei der zweiten Variante in sämtlichen ausgehenden Dokumenten und E-Mails mit einem Satz „Weitere Informationen zum Datenschutz nach Art. 19 DSG finden Sie unter: [Link der Datenschutzerklärung] auf die DSE.

Ausnahmen Informationspflicht

Die Pflicht zur Bereitstellung der Informationspflicht entfällt nach Art. 20 DSG in folgenden Fällen:

• Betroffene Person ist bereits informiert
• Bearbeitung ist gesetzlich vorgeschrieben
• Person ist zur Geheimhaltung verpflichtet

Sofern die Personendaten nicht bei betroffener Person beschafft wurden, gelten folgende Ausnahmen:

• Information ist nicht möglich
• Information erfordert unverhältnismäßigen Aufwand.

Des Weiteren kann der Verantwortliche auch die Informationspflicht in folgenden Fällen einschränken, aufschieben oder verzichten:

• Überwiegende Interessen Dritter erfordern die Maßnahme.
• Die Information vereitelt den Zweck der Bearbeitung.
• Der Verantwortliche ist eine private Person und die folgenden Voraussetzungen sind erfüllt:
  • Überwiegende Interessen des Verantwortlichen erfordern die Maßnahme.
  • Der Verantwortliche gibt die Personendaten nicht Dritten bekannt.
• Der Verantwortliche ist ein Bundesorgan und eine der folgenden Voraussetzungen ist erfüllt:
  • Die Maßnahme ist wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder der äußeren Sicherheit der Schweiz, erforderlich.
  • Die Mitteilung der Information kann eine Ermittlung, eine Untersuchung oder ein behördliches oder gerichtliches Verfahren gefährden.

4. Dokumentation der TOMs

Nach Art. 7 und Art. 8 DSG haben Verantwortliche dem Risiko angemessene, geeignete technische und organisatorische Maßnahmen umzusetzen. Daneben spielt auch das Thema Privacy-by-Design und Privacy-by-Default eine große Rolle.

Dokumentieren Sie Ihre getroffenen Massnahmen entsprechend. Wir haben diesem umfassenden Thema bereits einen ausführlichen Blogartikel gewidmet, in welchem Sie weitere hilfreiche Informationen finden.

5. Umsetzung Prozesse Datenschutzprozesse

Im Datenschutzrecht sind zwei wesentliche Prozesse zu definieren und zu implementieren:

• Betroffenenrechte
• Datenschutzvorfälle

Betroffenenrechte

Folgende Rechte stehen den Betroffenen zu:

• Recht auf Auskunft (Art. 25 – 27 DSG)
• Recht auf Datenherausgabe und -übertragung (Art. 28, 29 DSG)

Weitere Rechte ergebe sich aus Art. 32 DSG:

• Berichtigung
• Löschung

Es ist wichtig, dass vor allem die Umsetzung der Betroffenenrechte gewahrt wird: Wie müssen sich die Mitarbeiter z.B. bei einer Auskunftsanfrage per Telefon verhalten?

Definieren Sie die weiteren Schritte und kommunizieren Sie die Prozessabläufe mit Ihren Mitarbeitern. Wir haben uns mit dem Thema der Betroffenenrechte und der Vorgehensweise in einem Blogartikel auseinandergesetzt.

Datenschutzverletzungen

Sofern eine Verletzung der Datensicherheit mit einem hohen Risiko ergeht, ist eine Meldung beim EDÖB notwendig. Eine konkrete Frist zur Meldung gibt es nicht direkt. Es heißt lediglich, dass die Meldung „so rasch wie möglich“ zu erfolgen hat.

Die Meldung ist online unter folgendem Formular vorzunehmen: EDOEB DataBreach (admin.ch).

6. Durchführung einer Datenschutz-Folgenabschätzung (DSFA)

Nach Art. 22 DSG ist eine DSFA durchzuführen, wenn bei einer Personendatenbearbeitung ein potenziell hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen erkennbar ist.

Wenn Sie

• eine umfangreiche Bearbeitung besonders schützenswerter Personendaten vornehmen oder
• systematisch umfangreiche öffentliche Bereiche überwachen,

ist eine DSFA durchzuführen. Nach dem Wortlaut gibt es hierzu ebenfalls wieder eine Parallele zur DSGVO. Auf der Homepage des EDÖB finden Sie seit Anfang September ein Merkblatt zur Datenschutz-Folgeabschätzung (DSFA) nach den Art. 22 und 23 DSG.

Zusätzlich können Sie sich gerne unser Muster für eine DSFA in einem weiteren Blogartikel ansehen.

7. Weitere Themen

Benennung eines Datenschutzberaters

Im Gegensatz zum Bundesdatenschutzgesetz in Deutschland ist die Benennung eines Datenschutzberaters in der Schweiz freiwillig und an keine Mitarbeiteranzahl gebunden.

Zu seinen Aufgaben gehört nach Art. 10 DSG:

• Schulung und Beratung des Verantwortlichen
• Mitwirken bei der Anwendung der Datenschutzvorschriften.

Des Weiteren ist der Datenschutzberater fachlich unabhängig, frei von Weisungen des Verantwortlichen, verfügt über die erforderlichen Fachkenntnisse und steht in keinem Interessenskonflikt zu anderen Aufgaben.

Dürfen Fotos und von Mitarbeitern im Internet oder Intranet veröffentlicht werden?

Der EDÖB nimmt in seinem FAQ folgende Stellung dazu:

Da die fotografische Abbildung einer Mitarbeiterin oder eines Mitarbeiters Rückschlüsse z. B. auf Religion, Rassenzugehörigkeit oder eine körperliche Beeinträchtigung zulässt und in der Regel gar nicht nötig ist, darf Sie nur mit dem Einverständnis der betroffenen Person im Inter- oder Intranet abgebildet werden. Das gilt auch für Fotos von Anlässen (z. B. Weihnachtsfeiern, Betriebsausflüge etc.). Grundsätzlich sollte im Vorfeld evaluiert werden, ob die Veröffentlichung der Fotografien der Angestellten für die Aufgabenerfüllung erforderlich ist oder nicht.

EDÖB, FAQ, FAQ Datenschutz (admin.ch) (Stand: 28.08.2023)

Wir raten dazu an, im Zweifel die Einwilligung der Mitarbeiter einzuholen. Bitte weisen Sie die Mitarbeiter daraufhin, zu welchem Zweck und wo Sie die Fotos veröffentlichen möchten.

Vorgehen zur Umsetzung des DSG

Hier noch einmal eine kurze Zusammenfassung zur Umsetzung der Schweizer Datenschutzgesetzes:

• Verzeichnis der Bearbeitungstätigkeiten erstellen
• Eingesetzte Dienstleister (auch in Drittländern) abklären
• Informationspflicht bzw. Datenschutzerklärung für Mitarbeiter / Kunden erstellen
• TOMs dokumentieren
• Datenschutzprozesse umsetzen
• Falls erforderlich: DSFA durchführen
• Klären, ob Datenschutzberater benannt wird
• Prüfen, ob und inwieweit Einwilligungenen z.B. bei Fotos notwendig sind

Zusammenfassung

Wie schon am Anfang gesagt: Keine Panik! Beherzigen Sie die oben genannten Schritte zur Umsetzung des DSG. Als Schweizer Unternehmer haben Sie den großen Vorteil, dass Sie bereits von der Erfahrung der DSGVO profitieren. Das DSG ist stark an die DSGVO angelehnt. Im Rahmen meiner Recherche habe ich auch immer wieder positiv festgestellt, dass der EDÖB auch auf die EU-Kommission verweist oder auch auf andere europäische Datenschutzbehörden.

Wie kann die Datenbeschützerin® helfen?

Als Experten in der Umsetzung der DSGVO betreuen wir auch internationale Unternehmen mit Niederlassungen in der Schweiz. Mit unserem Knowhow im Datenschutz stehen wir natürlich auch gerne für Ihr Unternehmen zur Verfügung, egal ob in der Schweiz oder einem anderen Land. Wir freuen uns, von Ihnen zu hören oder auch auf Ihre unverbindliche Anfrage über unser Onlineformular.

Quellen

• Gesetz: BBl 2020 7639 – Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) (admin.ch)
• Änderungen: Neues Datenschutzgesetz (revDSG) (admin.ch)
• FAQ EÖDB: Aktuell (admin.ch)