Aktualisierung vom 14.09.2022:
Dieser Beitrag wurde nach der Verabschiedung der finalen Fassung der Datenschutzverordnung (DSV) durch den Bundesrat am 31. August 2022 ergänzt.
Das neue Datenschutzgesetz (DSG) der Schweiz wird sich der Europäischen Datenschutzgrundverordnung (DSGVO, auch GDPR für die englische Bezeichnung «General Data Protection Regulation» genannt) annähern.
Wenn Sie resp. Ihr Unternehmen die Datenschutzvorschriften der DSGVO bereits umsetzen, setzen Sie zwar Vieles für das neue DSG bereits um. Aber nicht alles. Damit nicht gerade die Unterschiede Sie zukünftig teuer zu stehen kommen, sollten Sie sich mit den Differenzen zwischen der DSGVO und dem neuen DSG auseinandersetzen.
Erfahren Sie in diesem Beitrag, auf was Sie achten sollten, wenn Sie resp. Ihr Unternehmen die DSGVO bereits umsetzen.
Am 1. September 2023 wird das neue Datenschutzgesetz der Schweiz (DSG) in Kraft treten. Es wird sich dabei an der als sehr streng geltenden Datenschutz-grundverordnung der EU (DSGVO, GDPR) annähern. Dass wir uns in der Schweiz dabei den EU-Regelungen annähern ist notwendig, wenn wir nicht riskieren wollen, von der EU nicht mehr als Land mit einem angemessenen Datenschutz zu gelten. Dies ist für einen einfachen Datenaustausch zwischen der EU und der Schweiz und damit für die Wirtschaft insgesamt zentral.
Doch was heisst Annäherung? Wird das DSG identisch zur DSGVO?
Das neue Datenschutzgesetz wird zwar etliche Regelungen der DSGVO aufnehmen, es wird aber nicht identisch werden. Insgesamt wird das DSG seinen liberalen Charakter behalten, auch wenn etliche Regelungen gleichermassen streng wie in der EU werden, z.T. sogar strenger.
Was heisst dies für Schweizer Unternehmen, die bereits die DSGVO umsetzen?
Folgende Themen sollten sie spezifisch prüfen und gegebenenfalls anpassen, sonst könnte dies teuer zu stehen kommen:
Grenzüberschreitender Datentransfer
Bei einem Datentransfer ins Ausland ist das Zielland der Datenbearbeitung anzugeben.
Weiter ist daran zu erinnern, dass bei einem Datentransfer in ein Land ohne angemessenes Datenschutzniveau die Standardvertragsklauseln der EU zwar eingesetzt werden dürfen, dass es aber Anpassungen bedarf, die unter Schweizer Recht beachtet werden müssen. Dies gilt bereits heute.
Informationspflichten
Die für die Schweiz geltenden Informationspflichten sehen gewisse Differenzierungen gegenüber der DSGVO vor (z.B. Angabe des Ziellandes bei einem Datentransfer ins Ausland).
Bearbeitungsverzeichnis
Erleichternd ist zwar für KMU, dass unter dem neuen DSG Unternehmen mit weniger als 250 Mitarbeiterinnen und Mitarbeiter kein Bearbeitungsverzeichnis führen müssen, ausser eine der folgenden Voraussetzungen ist erfüllt:
Es werden umfangreich besonders schützenswerte Personendaten bearbeitet.
Es wird ein Profiling mit hohem Risiko durchgeführt.
Muss ein Bearbeitungsverzeichnis geführt werden, kann grundsätzlich das Verzeichnis verwendet werden wie es unter der DSGVO erstellt und gepflegt wird. Werden allerdings Daten ins Ausland übermittelt (was in einem Unternehmen meistens in irgendeinem Bereich der Fall sein dürfte), sollte das Zielland der Datenbearbeitung ergänzt werden.
Datensicherheit: Protokollierungspflicht und Bearbeitungsreglement
Im Unterschied zur DSGVO kennt das neue DSG keine allgemeine "Rechenschaftspflicht". Im Zusammenhang mit der Datensicherheit gelten für die Bearbeitung von besonders schützenswerten Personendaten im grossen Umfang und für die Durchführung eines Profilings mit hohem Risiko erhöhte Pflichten: Für das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten gilt eine Protokollierungspflicht und es muss ein Bearbeitungsreglement mit Angaben zur internen Organisation, zum Datenbearbeitungs- und Kontrollverfahren sowie zu den Massnahmen zur Gewährleistung der Datensicherheit erstellt werden.
Meldung von Verletzung der Datensicherheit
Unter der DSGVO sind sog. Data Breaches innerhalb von 72 Stunden zu melden. Unter dem neuen DSG ist eine Verletzung der Datensicherheit so rasch als möglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden. Zudem sind die Voraussetzungen, wann ein Data Breach gemeldet werden muss, etwas differenzierter gegenüber der DSGVO. Es empfiehlt sich deshalb, die Prozesse anzupassen.
Auskunftsbegehren
Im Gegensatz zur DSGVO enthält das neue DSG neben Mindestinformationen, welche in jedem Fall einer betroffenen, auskunftsersuchenden Person zur Verfügung gestellt werden müssen, eine allgemeine Regelung, dass eine betroffene Person diejenigen Informationen erhält, die erforderlich sind, damit sie ihre Rechte geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist.
Berufsgeheimnis
Das neue DSG sieht eine erweiterte Berufsgeheimnispflicht für geheime Personendaten vor.
Sanktionen
Im Gegensatz zur DSGVO richten sich die für den Verletzungsfall angedrohten Geldbussen von bis CHF 250'000 primär nicht gegen Unternehmen, sondern persönlich gegen diejenigen Personen, welche Datenschutzvorschriften vorsätzlich (eventualvorsätzlich genügt ebenfalls) verletzen.
Da insbesondere Verletzungen von Vorschriften, die von der DSGVO abweichen, mit einer Geldbusse bis CHF 250'000 angedroht werden (grenzüberschreitender Datentransfer, Informationspflicht, Auskunftserteilung, berufliche Schweigepflicht), empfiehlt es sich umso mehr, sich die Differenzierungen zwischen dem neuen Schweizer Datenschutzgesetz und der DSGVO genau anzuschauen und entsprechende Umsetzungen vorzunehmen.
______
Das könnte für Sie auch interessant sein:
Mit der ONMAP erhalten Sie einen Gesamtüberblick über das revidierte Datenschutzgesetz der Schweiz, das am 01.09.2023 in Kraft treten wird.
Ich habe im Podcast meines Berufskollegen RA Henning Koch über das neue Schweizerische Datenschutzgesetz gesprochen, insbesondere wo es sich im Vergleich zur DSGVO unterscheidet.
Sie wissen nicht, ob Sie resp. Ihr Unternehmen der DSGVO unterstehen? Hier kann der DGSVO-Check eine baldige Antwort liefern.
______
Foto by AbsolutVision on Unsplash.