Schweizer DSG (neu) – was müssen Europäische Verantwortliche beachten?

Das Schweizer Parlament beschloss am 25.09.2020 ein neues Schweizer Bundesgesetz über den Datenschutz (DSG). Das neue Gesetz tritt am 01.09.2023 in Kraft und ersetzt das vorherige Gesetz von 1992. Eine Umsetzungsfrist gibt es nicht. 

Gemeinsamkeiten und Unterschiede im Hinblick auf die DSGVO 

Mit dem neuen DSG hat die Schweiz ihr Datenschutzrecht in vielerlei Hinsicht an die DSGVO angepasst. Insofern weist das neue DSG viele Übereinstimmungen mit der Datenschutzgrundverordnung (DSGVO) auf.  

Denn ebenso wie die DSGVO bezieht sich das DSG auf den Schutz der Verarbeitung personenbezogener Daten. Anders als in der DSGVO wird hier allerdings nicht von der Verarbeitung personenbezogener Daten, sondern von der Bearbeitung von Personendaten (vgl. Art. 2 Abs. 1 DSG) gesprochen. Dass es sich dabei allerdings nur um unterschiedliche Begrifflichkeiten handelt, die sinngleich zu verstehen sind, zeigt das Vorwort des DSG, in dem die Bearbeitung der Verarbeitung gleichgesetzt und anders als in Art. 2 Abs. 1 DSG von personenbezogenen Daten gesprochen wird.  

Darüber hinaus sind in dem neuen DSG viele Verpflichtungen implementiert, die aus der DSGVO bekannt sind. So wurde in dem neuen DSG gesetzlich verankert, dass eine Verpflichtung zur Erstellung eines Verzeichnisses über die Verarbeitung besteht. Des Weiteren enthält das Gesetz ebenso wie die DSGVO eine Verpflichtung zur Datenschutz-Folgenabschätzung sowie die Verpflichtung zur Durchführung eines Konsultationsverfahrens. Auch die Prinzipien Datenschutz durch Technik (Privacy by design) und datenschutzfreundliche Voreinstellungen (Privacy by default), elementare Bestandteile der DSGVO, wurden in dem neuen DSG eingepflegt. Auch die Verpflichtung zur Ergreifung geeigneter technischer und organisatorischer Maßnahmen im Hinblick auf die Datensicherheit, ähnelt den Ausführungen in der DSGVO sehr. 

Im Rahmen der Rechtmäßigkeit der Bearbeitung/ Verarbeitung von personenbezogenen Daten/ Personendaten wird in der DSG im Vergleich zu der DSGVO ein anderer Ansatzpunkt gewählt. Im Ausgangspunkt ist nach dem DSG jede Verarbeitung grundsätzlich erlaubt und bedarf keiner Einwilligung. Die Datenverarbeitung darf allerdings nicht widerrechtlich erfolgen, was der Fall ist, wenn weder eine Einwilligung des Betroffenen noch ein überwiegendes privates oder öffentliches Interesse oder eine Rechtfertigung durch Gesetz gegeben ist (vgl. Art. 31 DSG). Insofern bestehen strenge Anforderungen an die Bearbeitung, sodass sich zwar das DSG und die DSGVO im Rahmen der Rechtfertigung im Ausgangspunkt unterscheiden, im Hinblick auf Datensicherheit aber ein vergleichbares Niveau erreichen. 

Ein wesentlicher Unterschied liegt allerdings in der Anknüpfung im Rahmen von Sanktionen. Nach dem Schweizer DSG werden die Sanktionen an die verantwortliche natürliche Person und nicht wie nach der DSGVO an das verantwortliche Unternehmen geknüpft. Nur Ausnahmefällen ist dies anders.   

Darüber hinaus setzt das DSG keine Maßstäbe hinsichtlich Auftragsverarbeitungsverträge. Anders die DSGVO, die in Art. 28 Abs. 3 DSGVO eindeutige Anforderungen stellt. 

Die wichtigsten Regelungen zusammengefasst  

Mit Inkrafttreten des neuen Schweizer DSG wurden insbesondere folgende neue Regelungen getroffen:  

• Im Ausgangspunkt ist die Datenverarbeitung grundsätzlich erlaubt und bedarf keiner Einwilligung. Die Datenverarbeitung darf allerdings nicht widerrechtlich erfolgen, was der Fall ist, wenn weder eine Einwilligung des Betroffenen noch ein überwiegendes privates oder öffentliches Interesse oder eine Rechtfertigung durch Gesetz gegeben ist (vgl. Art. 31 DSG).  
• In Abgrenzung zu dem vorherigen Gesetz gelten im neuen DSG umfassende Informationspflichten gegenüber betroffenen Personen generell und nicht nur bei besonders schützenswerten Personendaten oder für Bundesorgane.  
• Das neue DSG verlangt im Unterschied zur vorherigen Datenschutzregelung erstmals die Erstellung eines „Verzeichnisses der Bearbeitungstätigkeiten“ (Art. 12 DSG) 
• Ebenfalls neu sind die Durchführung einer Datenschutzfolgenabschätzung bei einer Datenverarbeitung, die hohes Risko für die Persönlichkeit oder Grundrechte einer Person darstellen sowie das Konsultationsverfahren (vgl. Art. 22, 23 DSG).  

• Neue Meldepflichten bei Datenschutzverletzungen (Art. 24 DSG) wurden verankert. 
• In dem DSG sind nun die Prinzipien Datenschutz durch Technik (Privacy by design) und datenschutzfreundliche Voreinstellungen (Privacy by default) (vgl. Art. 7 DSG) verankert. 

Anwendungsbereich des Schweizer DSG? 

Der sachliche Anwendungsbereich des Schweizer DSG umfasst sämtliche, mithin manuelle sowie automatisierte Bearbeitungen von Personendaten. 

In Abgrenzung zum bisherigen DSG unterfallen dem persönlichen Schutzbereich ausschließlich Verarbeitungen von Daten natürlicher, mithin nicht von juristischen Personen. 

Wer muss das Schweizer DSG beachten?  

Zunächst müssen Personen und Unternehmen mit Sitz in der Schweiz, die Personendaten verarbeiten, das neue Schweizer DSG beachten. 

Darüber hinaus ist das DSG auch für Unternehmen aus der EU relevant,denn die Schweiz hat sich für das Marktortzprinzip entschieden. Hiernach ist nicht der Ort der Datenverarbeitung erheblich, sondern die Ausrichtung der Datenverarbeitung auf die Schweiz. Dementsprechend sind Unternehmen, die Kunden oder Nutzer in der Schweiz haben sowie Webseitenbetreiber, die Schweizer Nutzer tracken, angehalten, die Anforderungen der DSG zu  einzuhalten.  

Im Übrigen müssen Privatpersonen das DSG grundsätzlich nicht beachten. Etwas anderes gilt nur, wenn Personendaten über den persönlichen oder familiären Kreis hinaus bearbeitet werden.