Das Schweizer Bundesgesetz über den Datenschutz (DSG) tritt am 1. September 2023 samt seiner Begleitvorschriften in Kraft. Bislang war die Datenschutzgrundverordnung (DSGVO) gemäß dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) grundsätzlich nicht auf Schweizer Unternehmen anwendbar. Die DSGVO der EU bezweckt die Regelung des Umgangs und die Verarbeitung von personenbezogenen Daten. Es handelt sich dabei um eine umfassende Datenschutzregelung auch über das Gebiet der EU bzw. des EWR hinaus, die am 25.5.2018 in Kraft getreten ist.
Die DSGVO spielt auch für Schweizer Unternehmer eine wichtige Rolle und diente auch als Vorlage für den Schweizer Datenschutzgesetz.
DSGVO für Schweizer Unternehmen?
Bestimmte Datenbearbeitungen können unter die DSGVO fallen, sodass die einschlägigen Bestimmungen daraus zur Anwendung kommen. Bisher konnten Unternehmen anhand einem vom Wirtschafts-Dachverband economiesuisse zur Verfügung gestellten Online-Check herausfinden, ob die DSGVO auch für das eigene Unternehmen gilt.
Die EDÖB beschreibt hierfür drei Fälle, in denen die europäischen Datenschutzrichtlinien angewendet werden müssen. Diese liegen vor, wenn Schweizer Unternehmen eine Niederlassung in der EU haben, sie Waren oder Dienstleistungen in der EU anbieten oder die Firma das Surfverhalten ihrer Kundinnen und Kunden in der EU beobachten, um ihnen personalisierte Angebote zu unterbreiten. Werden die Bestimmungen missachtet, so drohen hohe Geldbußen. Im Folgenden gehen wir näher auf die von der EDÖB definierten Fälle ein.
- Niederlassung in der EU
Laut Art. 3 Abs.1 DSGVO ist die Datenschutzgrundverordnung für Schweizer Unternehmen mit einer Niederlassung in der EU oder im EWR verbindlich. Hierbei gilt als Niederlassung jede dauerhafte Vertretung. Die DSGVO ist jedoch nicht für das gesamte Unternehmen verbindlich, sondern nur für die entsprechende Niederlassung im Ausland.
- Waren und Dienstleistungen in der EU anbieten
Art. 3 Abs.2 lit.a DSGVO schreibt vor, dass die DSGVO auch dann anwendbar ist, wenn ein Schweizer Unternehmen Waren oder Dienstleistungen an Personen in der EU oder im EWR anbietet. Hier ist allein die Absicht entscheidend, Kunden in den entsprechenden Ländern zu bedienen. Die entsprechende Absicht muss die Firma erkennbar und aktiv zum Ausdruck bringen. Ob das Unternehmen tatsächlich Erfolg in der EU hat, spielt keine Rolle.
- Verhaltensbeobachtung in der EU
Das Beobachten von Surfverhalten der Kunden in der EU fällt unter Art. 3 Abs.2 lit.b DSGVO. Sowohl die betroffenen Personen als auch das beobachtete Verhalten muss sich dabei in der EU befinden.
Das Schweizer Datenschutzrecht 2023
Mit dem Inkrafttreten des Schweizer Bundesgesetz über den Datenschutz (DSG) im September baut sich auch die Schweiz ein Datenschutzniveau wie in der EU auf. Das DSG findet hierbei auf Datenschutzsachverhalte Anwendung, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden. Das DSG ist auch für EU-Unternehmen relevant, da nicht der Ort der Datenverarbeitung erheblich ist, sondern die Ausrichtung der Datenverarbeitung auf die Schweiz.
Nun sieht Art. 14 DSG vor, dass bei einer Datenverarbeitung durch einen Verantwortlichen mit Sitz im Ausland eine Vertretung in der Schweiz zu benennen ist, wenn der Verantwortliche personenbezogene Daten von Personen in der Schweiz verarbeitet und die Datenverarbeitung im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz steht. Zusätzlich ist eine Vertretung zu benennen, wenn die Datenverarbeitung in der Schweiz umfangreich oder regelmäßig ist oder mit einem hohen Risiko für die Persönlichkeit der betroffenen Personen einhergeht.
Unterschiede zwischen der DSGVO und dem DSG
Im DSG ist anders als in der DSGVO die Datenverarbeitung grundsätzlich erlaubt und bedarf keiner Erlaubnis oder Einwilligung. Stattdessen sieht das Schweizer DSG strenge Anforderungen an die Verarbeitung personenbezogener Daten vor. Gemäß Art. 30 DSG darf die Datenverarbeitung nicht die Persönlichkeit der betroffenen Person widerrechtlich verletzen. Hierzu schreibt Art. 31 DSG vor, dass die Persönlichkeitsverletzung dann widerrechtlich ist, wenn sie nicht durch Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist. Es ist davon auszugehen, dass eine nach der DSGVO rechtmäßige Datenverarbeitung auch die Kriterien des DSG erfüllen wird.
Ferner ist in Art. 19 DSG die Pflicht des Verantwortlichen geregelt, die betroffene Person über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Im Unterschied zum bisher geltenden Recht gilt diese Verpflichtung nicht nur für besonders schützenswerte Personendaten oder Bundesorgane, sondern stets. Im Unterschied zur DSGVO ist der Katalog mitzuteilender Informationen jedoch nicht abschließend formuliert. Es muss in einer Form informiert werden, dass die betroffene Person ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. Die Informationspflicht der DSGVO gemäß Art. 13 bzw. Art. 14 DSGVO kann zur Orientierung des Umfangs der Informationen im DSG dienen, da die Informationspflicht des DSG genauso wie jene der DSGVO eine transparente Datenverarbeitung sicherstellen soll. Über die Anforderungen der DSGVO hinaus geht die Verpflichtung, sämtliche Empfängerstaaten und die möglicherweise genutzten Garantien anzugeben, wenn Daten ins Ausland übermittelt werden sollen.
Außerdem enthält das DSG einen umfassenden Katalog an Ausnahmetatbeständen, in denen eine Informationspflicht entfällt, insbesondere bei einer gesetzlich vorgesehenen Datenverarbeitung.
In Art. 12 DSG wird im Unterschied zur bisherigen Regelung vom Verantwortlichen und vom Auftragsbearbeiter erstmals die Erstellung eines „Verzeichnisses der Bearbeitungstätigkeiten“ verlangt. Damit wird künftig, vergleichbar mit dem Verzeichnis von Verarbeitungstätigkeiten der DSGVO, auch in der Schweiz ein Verzeichnis sämtlicher Datenverarbeitungen erforderlich. Unternehmen, die weniger als 250 Beschäftigte haben und dessen Datenverarbeitungen nur ein geringes Risiko für die betroffenen Personen aufweisen, sind von der Pflicht zur Führung eines solchen Verzeichnisses befreit.
Darüber hinaus gibt es noch einige Regelungen im neuen DSG, deren Einführung eine Annäherung an die Bestimmungen in der DSGVO darstellen. Darunter fallen die Datenschutz-Folgenabschätzung (Art. 22, 23 DSG), die Betroffenenrechte, die Meldepflicht bei Verletzungen der Datensicherheit (Art. 24 DSG), sowie die Sicherheit der Datenverarbeitung (Art. 8 DSG).
Die Regelungen zu Datenübertragungen in das Ausland sind weitgehend unverändert geblieben (Art. 16 – Art. 18 DSG). Hierfür muss vom Bundesrat ein angemessenes Schutzniveau des Empfängerlandes festgestellt werden.
Konsequenzen für Unternehmen
Es lohnt sich für Schweizer Unternehmen bis zum Inkrafttreten des DSG, genau abzuklären, ob und wie man von der DSGVO betroffen ist. Die Datenschutz-Grundverordnung sieht bei einem Verstoß gegen den Datenschutz Bußgelder bis zu 20 Millionen Euro oder bis 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vor. Verstößt eine Person gegen die Regelungen des DSG, droht dieser die Pflicht zur Zahlung einer Buße von bis zu 250.000 CHF.
Wie hoch der Aufwand für die Umsetzung des neuen Gesetzes ist, hängt vom aktuellen Stand der Datenschutzorganisation im Unternehmen ab. Schweizer Unternehmen, die eine an der EU-DSGVO ausgerichtete Datenschutzorganisation etabliert haben, sollten mit wenig Umsetzungsaufwand rechnen. Im Gegensatz dazu besteht ein beachtlicher Umsetzungsaufwand, sollten Unternehmen sich bisher ausschließlich an dem aktuell geltenden Schweizer Datenschutzrecht orientiert haben.