Co-Founder & Legal Expert
August 25, 2023
12 min
.svg)
• Mit dem neuen revidierten Datenschutzgesetz (DSG) kommt einiges auf Schweizer Unternehmen zu. Wir erklären in diesem Artikel, welche Pflichten sich ergeben und worin die wichtigsten Unterschiede zur DSGVO bestehen.
• Ein wesentlicher Unterschied: Die persönliche strafrechtliche Haftung bedeutet, dass jetzt auch Privatpersonen für DSG-Verstösse belangt werden können.
• Wie können Unternehmen und Manager Verstösse gegen das DSG vermeiden? Unser Rechtsexperte Simon Pentzien gibt Empfehlungen zur gelungenen Umsetzung.
Mit Inkrafttreten des neuen DSG am 1. September 2023 ändert sich die Datenschutzlandschaft in der Schweiz grundlegend. Im Gegensatz zur Europäischen Datenschutzgrundverordnung (DSGVO) konzentriert sich das Schweizer Gesetz nicht nur auf die Gesamtverantwortung von Unternehmen. Hiernach können z.B. auch Einzelpersonen strafrechtlich belangt werden.
Diese Änderung verunsichert viele Schweizer Unternehmen und wirft Fragen auf. Allen voran: Wie können Unternehmen das neue Schweizer Datenschutzgesetz umsetzen, um weiterhin sicher und erfolgreich Geschäfte zu führen und ihre Mitarbeiter zu schützen?
Um das DSG zu verstehen, lohnt es sich, einen Blick auf seine Geschichte zu werfen. Das Schweizer Datenschutzrecht ist historisch gewachsen:
• Bereits in den 1980er-Jahren wurden erste Datenschutzgesetze erlassen, um die Privatsphäre der Bürger zu schützen. Das erste Bundesgesetz zum Datenschutz folgte 1992. Während dieser Zeit konnte diese Entwicklung vor allem im nationalen Rahmen fortschreiten, da Datenschutz zunächst ein nationales Thema war. Die Schweiz hat dabei kontinuierlich an der Stärkung der Datensicherheit gearbeitet, um die persönlichen Daten ihrer Bürger zu schützen.
• Mit fortschreitender Globalisierung stand die Schweiz jedoch nicht isoliert in dieser Entwicklung. Zunehmend sah sich das Land einer wachsenden Zahl von grenzüberschreitenden Regelwerken im Bereich Datenschutz gegenüber. Angesichts der starken Integration von sozialen Netzwerken, Cloud-Diensten und dem Internet der Dinge, war eine Aktualisierung des Datenschutzgesetzes dringend erforderlich.
• Im Jahr 2008 erfolgte eine Teilrevision des Schweizer Datenschutzgesetzes, um das Gesetz an die technologischen Entwicklungen anzupassen. Hier zeigte sich bald, dass dies nicht ausreichend war.
• Seit 2017 hat der Schweizer Gesetzgeber daher schrittweise an der nunmehr im September 2023 geltenden Version des DSG gearbeitet.
Die Europäische Union (EU) stellte hohe Anforderungen an den Schutz von Personendaten und verfestigte mit der DSGVO ihre bisher geltenden Standards.
Nunmehr galt das europäische Datenschutzrecht unmittelbar in allen Mitgliedstaaten und ein Verstoß bringt im Einzelfall hohe Geldbussen mit sich.
Die Schweiz pflegt durch ihre geografische Lage enge Beziehungen mit ihren europäischen Nachbarländern. Dabei ist auch ist ein Datenverkehr mit diesen unvermeidlich. So ergaben sich für Schweizer Unternehmen, die auch Geschäfte in der EU machen, bereits zahlreiche Anforderungen an ihren Datenschutz nach der DSGVO.
Bei der Ausgestaltung des neuen Schweizer Datenschutzgesetzes wurden auch die Vorgaben der DSGVO berücksichtigt, da diese bereits von weiten Teilen der Schweizer Wirtschaft angewandt wird. Daher darf auch zukünftig davon ausgegangen werden, dass die Schweiz für Datentransfers aus der EU in die Schweiz weiterhin als sog. „sicheres Drittland“ angesehen werden wird und umgekehrt.
Das neue Schweizer Datenschutzgesetz bedeutet einen wichtigen Meilenstein in der Entwicklung zu einem höheren Datenschutzniveau in der Schweiz.
In seiner Herbstsession 2020 hat das Schweizer Parlament das neue Schweizer Datenschutzgesetz verabschiedet. Hiermit soll die Bearbeitung persönlicher Daten verbessert und den Bürgerinnen und Bürgern der Schweiz neue Datenschutzrechte gewährt werden.
Die Gesetzesänderung bringt auch einige Verpflichtungen für Unternehmen mit sich. Dadurch wird der Schutz persönlicher Daten nochmals intensiviert, um den wachsenden Anforderungen und Herausforderungen im digitalen Zeitalter gerecht zu werden.
Das neue DSG passt sich nun also an moderne Technologien und die hochdigitalisierte Schweizer Gesellschaft an. Im Zuge dessen ergeben sich zahlreiche Pflichten für Organisationen und Unternehmen.
Die Aktualisierungen im Schweizer Datenschutzgesetz betonen die Wichtigkeit des Datenschutzes auf individueller Ebene. Ab September 2023 wird der Fokus des DSG auf den Schutz von Daten natürlicher Personen gelegt. Dieser strategische Wandel unterstreicht die Relevanz, den Datenschutz auf persönlicher Basis zu verstärken und individuelle Rechte sowie Privatsphäre umfassender zu gewährleisten.
Eine der auffälligsten Anpassungen ist in diesem Kontext auch die Erweiterung der Definition von besonders schützenswerten Daten. Dies beinhaltet nun auch genetische und biometrische Informationen. Diese Erweiterung zielt darauf ab, den Datenschutz angesichts technologischer Fortschritte besser abzudecken und hochsensible Daten effektiver zu schützen. Sie spiegelt das Ziel wider, hochsensible Personendaten bestmöglich zu schützen.
Außerdem neu ist der Begriff “Profiling”. Die Integration des Begriffs "Profiling" in das Schweizer Datenschutzgesetz unterstreicht die Bedeutung der automatisierten Bearbeitung von Personendaten. Die Aufnahme dieses Begriffs verdeutlicht die Notwendigkeit, einen effektiven Schutz vor unerwünschtem oder diskriminierendem Profiling, zum Beispiel in Bewerbungsprozessen, zu gewährleisten.
Unternehmen, die sich den Herausforderungen des neuen DSG stellen, werden auf zwei innovative Prinzipien stossen: "Privacy by Design" und "Privacy by Default". Diese Ansätze fordern dazu auf, Datenschutz bereits von Beginn an bei der Entwicklung von Prozessen oder Software durch Implementierung angemessener Schutzmaßnahmen zu berücksichtigen.
Sie verlangen von Entwicklern, höchste Datenschutzstandards von Anfang an in Produkte und Dienstleistungen zu integrieren. Dadurch wird gewährleistet, dass Datenschutz nicht nur nachträglich, sondern bereits während der Entwicklung als zentrale Säule implementiert wird.
Untern dem neuen Schweizer Datenschutzgesetz werden nunmehr alle Unternehmen angehalten, eine sog. Datenschutz-Folgenabschätzung anfertigen, wenn die Voraussetzungen dafür vorliegen.
Auch private Unternehmen werden nun dazu angehalten, im Voraus potenzielle Risiken für die Persönlichkeitsrechte von Betroffenen zu bewerten. Diese proaktive Herangehensweise ermöglicht vor allem potenzielle Gefahren frühzeitig zu identifizieren und geeignete Massnahmen zu ergreifen. So können Datenschutzverletzungen im besten Falle verhindert werden.
Mit dem DSG wird die Informationspflicht erweitert, sodass betroffene Personen nicht mehr nur bei besonders schützenswerten Daten, sondern immer vor der Erhebung ihrer Personendaten über die Umstände und Beteiligten der Bearbeitung informiert werden müssen. Diese Ausweitung trägt zu erhöhter Transparenz bei und ermöglicht Nutzern ausserdem, besser zu verstehen, wie ihre Daten verwendet werden.
Ein weiterer Schritt zur Stärkung des Datenschutzes ist die Einführung eines verpflichtenden Verzeichnisses der Berarbeitungstätigkeiten. Dieses Konzept ähnelt stark dem Verzeichnis von Bearbeitungstätigkeiten (VVT), welches die DSGVO bereits seit 2018 vorschreibt. Das Verzeichnis sorgt für eine klare Übersicht über alle Prozesse im Zusammenhang mit der Bearbeitung von Personendaten. Kleine und mittlere Unternehmen erhalten dabei spezifische Ausnahmen, um den administrativen Aufwand zu minimieren, während der Datenschutz dennoch gewährleistet wird.
Ein essentieller Bestandteil des revidierten DSG ist die rasche Meldung von Datensicherheitsverletzungen. Unternehmen werden verpflichtet, im Falle einer Verletzung der Datensicherheit unverzüglich zu reagieren und dies dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden. Diese schnelle Meldung ermöglicht es dem EDÖB, geeignete Massnahmen zu ergreifen und betroffene Personen zeitnah zu informieren.
Das DSG ist in vielen Bereichen mit der Datenschutzgrundverordnung (DSGVO) vergleichbar.
• Beide Gesetze betonen die Bedeutung eines angemessenen Datenschutzniveaus durch die Implementierung von technischen und organisatorischen Massnahmen, die den individuellen Risiken entsprechen. Dies soll sicherstellen, dass Personendaten effektiv geschützt werden.
• Von wesentlicher Bedeutung ist nach beiden Gesetzen die umfassende Information der betroffenen Personen und der Umgang mit ihren Rechten. Dies kommt nach dem DSG letztlich auch dadurch zum Ausdruck, dass ein Verstoß gegen diese Vorgaben sogar eine strafrechtliche Sanktion von Entscheidungsträgern auslösen kann.
• Ausserdem legen sowohl die DSGVO als auch das DSG grossen Wert auf den Grundsatz des "Privacy by Design". Das bedeutet, dass Datenschutzaspekte bereits bei der Gestaltung von Datenbearbeitungsprozessen berücksichtigt werden müssen, um von Anfang an datenschutzfreundliche Lösungen zu gewährleisten.
• Beide Gesetze fordern ferner "Privacy by Default". Das bedeutet, dass standardmässig datenschutzfreundliche Einstellungen verwendet werden müssen, um sicherzustellen, dass nur die notwendigen Daten verarbeitet werden und die Privatsphäre der betroffenen Personen gewahrt bleibt.
Dennoch gibt es auch Unterschiede zwischen den beiden Regelungen.
Zum Beispiel die Veröffentlichung von Daten ohne Zustimmung der betroffenen Person: Im revidierten DSG ist es möglich, von dieser Regel abzuweichen, wenn eine Vereinbarung mit dem Endbenutzer dies ermöglicht. In der DSGVO hingegen ist eine solche Abweichung von der Zustimmung der betroffenen Person in der Standardregelung nicht vorgesehen.
Es gibt eine wichtige Sache, in der das revDSG deutlich strenger ist: Es sieht vor, dass natürliche Personen strafrechtlich belangt werden können, während die DSGVO hauptsächlich Geldstrafen für Unternehmen vorsieht.
Die Verstösse, die gemäss dem DSG strafrechtlich geahndet werden können sind auf sieben abschließend genannte Fälle begrenzt:
1. Weitergabe von persönlichen Daten an Empfänger in Ländern ohne ausreichenden Datenschutz und ohne entsprechende Schutzmassnahmen.
2. Verwendung von Auftragsverarbeitern ohne angemessene Vereinbarungen.
3. Nichteinhaltung der vom Bundesrat festgelegten Mindestsicherheitsanforderungen.
4. Fehlende oder unvollständige Informationen in Datenschutzerklärungen.
5. Falsche oder unvollständige Antworten auf Anfragen des EDÖP.
6. Offenlegung geheimer persönlicher Daten an unbefugte Dritte.
7. Nichtbefolgung von Anordnungen des EDÖB oder von Gerichtsentscheidungen.
Bei Verstössen gegen das DSG sind Bussgelder von bis zu 250.000 CHF möglich. Eine entscheidende Abweichung zur Datenschutz-Grundverordnung (DSGVO) besteht darin, dass diese Sanktionen nicht (nur) gegen das betroffene Unternehmen selbst gerichtet sind.
Vielmehr werden die Bussgelder gemäss dem DSG gegen die natürliche Person verhängt, die für die Einhaltung der Datenschutzbestimmungen verantwortlich ist. Hierzu zählen auch die Datenschutzverantwortlichen, Geschäftsleiter oder Mitglieder des Verwaltungsrats.
Diese Geldstrafen werden ausdrücklich persönlich verhängt und können weder versichert, noch vom Arbeitgeber übernommen werden. Diese harte Herangehensweise soll die Effektivität der Sanktionen erhöhen und die persönliche Verantwortung für den Datenschutz unterstreichen.
Neben den empfindlichen Strafen gibt es eine zweite wichtige Neuerung im DSG. Sie betrifft die Haftung von Personen im Unternehmen, die nicht nur Verstösse gegen das Datenschutzgesetz begehen, sondern auch dazu beitragen.
Das heisst, dass nicht nur unmittelbare Täter belangt werden, sondern auch deren Vorgesetzte und das Management.
Unter den neuen Strafnormen können zwei Personengruppen strafrechtlich belangt werden:
• Personen, die den Verstoss selbst begangen haben oder die Anweisung dazu gegeben haben. Dies schliesst jene ein, die federführend in Entscheidungen involviert waren, welche die Datenschutzpflichten verletzen. Dies könnte zum Beispiel die falsche Beantwortung von Anfragen betroffener Personen, die unzureichende Auftragsvereinbarung mit Auftragsbearbeitern oder die unerlaubte Offenlegung von Daten ins Ausland umfassen.
• Personen, die rechtlich dazu verpflichtet sind, Verstösse zu verhindern oder die Folgen zu mildern. Hierbei sind Personen wie Verwaltungsratsmitglieder, Geschäftsführer und andere Organvertreter gemeint, die verantwortlich sind, dass das Unternehmen das Datenschutzgesetz einhält. Sie müssen über die Befugnisse verfügen, um entsprechende Anweisungen zu geben oder einzugreifen, um Verstösse zu verhindern oder zu beheben.
Soweit Verantwortlichkeiten für Bearbeitungen an untergeordnete Personen übertragen werden, haftet die verantwortliche Person dafür, dass der Delegierte angemessen ausgewählt, instruiert und überwacht wird.
Hier werden qualifizierte Trainings und regelmässige Überprüfungen eine wichtige Rolle spielen. Indem betroffene Unternehmen Mitarbeiter richtig schulen, können sie das Risiko für Verletzungen des DSG erheblich minimieren und ihre Mitarbeiter zu schützen.
Insbesondere Verwaltungsratsmitglieder behalten die nicht übertragbare und nicht entziehbare Oberaufsicht über die Geschäftsführung und die Einhaltung der Gesetze. Diese Verantwortung ist gesetzlich festgelegt und sollte im Rahmen der Corporate Governance berücksichtigt werden.
Um die rechtlichen Anforderungen des DSG zu erfüllen und potenzielle Strafen zu vermeiden, ist es für das Management von entscheidender Bedeutung, eine umfassende und angemessene Überwachung und Umsetzung der Datenschutzrichtlinien sicherzustellen. Dies gewährleistet nicht nur die rechtliche Konformität, sondern stärkt auch das Vertrauen von Kunden, Geschäftspartnern und der Öffentlichkeit in das Unternehmen.
Ein Weg, die Umsetzung der Richtlinien zu überwachen, ist das Digital Compliance Office. Das Digital Compliance Office kombiniert alle anfallenden Aufgaben (wie VVT, TOM oder Betroffenenanfragen) mit Expertenberatung von echten Fachleuten in einem intuitiven System, das auch Datenschutzlaien verstehen. Hierbei ist es genau auf die Anforderungen, die sich aus dem DSG ergeben, ausgerichtet.
Die Einführung eines neuen Schweizer Datenschutzgesetzes bietet zahlreiche Vorteile für Unternehmen, sowohl für Grossunternehmen als auch für KMUs.
Insbesondere im Vergleich mit anderen Drittländern (zum Beispiel den USA) ergeben sich positive Aspekte.
• Einheitlicher Datenraum und reibungsloser Datenverkehr: Das neue Gesetz schafft einen einheitlicheren Datenschutzrahmen und erleichtert den ungehinderten Datenverkehr zwischen der Schweiz und der EU. Dies trägt dazu bei, Barrieren abzubauen und Geschäftsabläufe effizienter zu gestalten und kann sogar neue Märkte öffnen, vor allem für digitale Geschäftsmodelle.
• Stärkung der Geschäftsbeziehungen: Schweizer Unternehmen profitieren von einem verbesserten Datenschutzniveau, das mit EU-Standards kompatibel ist. Dies stärkt das Vertrauen und die Zusammenarbeit mit EU-Partnern, da Geschäftsabläufe nicht an zusätzliche Bedingungen geknüpft werden müssen.
• Wettbewerbsfähigkeit erhalten: Durch die Angleichung an EU-Datenschutzstandards bleiben Schweizer Unternehmen wettbewerbsfähig. Die Gefahr, dass EU-Unternehmen Schweizer Geschäftspartner umgehen könnten, wird reduziert, da vergleichbare Datenschutzbedingungen herrschen.
• Weniger Verwaltungsaufwand: Individuelle Vertragslösungen zwischen Schweizer Unternehmen und EU-Geschäftspartnern entfallen weitgehend, da das neue Gesetz ein harmonisiertes Datenschutzumfeld schafft. Dies spart Unternehmen im Alltag jede Menge Ressourcen.
• Förderung des internationalen Handels: Das neue Datenschutzgesetz beseitigt unnötige Handelshemmnisse und erleichtert den internationalen Handel. Schweizer Unternehmen können sich auf das Kerngeschäft konzentrieren, ohne sich um komplexe Datenschutzvereinbarungen sorgen zu müssen.
Mit dem bevorstehenden Inkrafttreten des revidierten Datenschutzgesetzes (DSG) müssen Unternehmen ihre Datenschutzpraktiken optimieren. Bei der Umsetzung können wir Ihnen helfen, indem wir Sie mit dem Digital Compliance Office (DCO) unterstützen.
Das DCO bietet Ihnen die notwendigen Werkzeuge, um die Anforderungen des revidierten Datenschutzgesetzes fast mühelos zu erfüllen - und zwar bis zu 67 % schneller und bis zu 55 % günstiger.
Unsere Plattform revolutioniert den Umgang mit datenschutzrelevanten Aufgaben. Sie vereint alle erforderlichen Schritte – von Verzeichnis von Bearbeitungstätigkeiten über technische und organisatorische Massnahmen (TOM) bis hin zu Anfragen betroffener Personen – und ergänzt sie durch die Fachkompetenz erfahrener Experten. Das Ergebnis ist ein benutzerfreundliches System, das selbst Datenschutzlaien leicht verstehen können.
Das DCO vereint sämtliche notwendigen Datenschutz-Aufgaben mit dem Fachwissen unserer Experten in einem intuitiven System. So gewinnen Sie wertvolle Zeit für Ihr Kerngeschäft zurück, während wir Sie auf dem Weg zur Datenschutzkonformität begleiten.
Unsere intelligente Automatisierung spart Ihnen hunderte Stunden Aufwand. Von der Bearbeitung des Verzeichnisses von Bearbeitungstätigkeiten bis hin zur Erstellung von technischen und organisatorischen Massnahmen (TOM) sowie der Bearbeitung von Betroffenenanfragen - unser System unterstützt sie bei der effizienten und präzisen Bearbeitung.
Unsere Plattform ermöglicht die automatisierte Prüfung von Verträgen. Laden Sie Verträge hoch, und unser System übernimmt die Überprüfung, sodass Sie sich entspannt zurücklehnen können.
Unsere Datenschutz-Lösung ermöglicht eine zentrale Verwaltung aller relevanten Vorgänge und Dokumente an einem Ort. So behalten Sie stets den Überblick und können bei Bedarf sofort reagieren. Die Benutzeroberfläche unserer Plattform ist intuitiv gestaltet, sodass Sie auch ohne Fachkenntnisse schnell damit vertraut sind.
Mit über 60 API-Anbindungen erfasst unser Digital Compliance Office (DCO) automatisch Informationen aus Ihrem bestehenden Tech-Stack. Dadurch wird die Datenverwaltung noch effizienter und nahtloser.
„Durch das Digital Compliance Office gewinnen Sie die Freiheit, sich ganz auf Ihr Wachstum und Ihre unternehmerischen Ziele zu konzentrieren.“ ___ Simon Pentzien, Chief Product Officer
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Simon die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Fieldfisher und Taylor Wessing tätig. Als Mitgründer und Chief Product Officer von SECJUR, lässt Simon seine Erfahrung vor allem in die Produktentwicklung einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Everything you need to know about the product and billing.
Seit dem Inkrafttreten der DSGVO im Mai 2018 ist es für den Benutzer im Web zum Alltag geworden: Beim Öffnen einer neuen Website wird man aufgefordert, seine Einwilligung zum Sammeln von Daten zu geben, sogenannte Cookies. Laut den ersten Informationen einer Studie der Ruhr-Uni Bochum sind diese Einwilligungen in den meisten Fällen nicht rechtskonform. Wie soll man Cookie-Banner also gestalten? Unsere Experten verraten es.
Werden personenbezogene Daten eines Arbeitnehmers als betroffener Person (vgl. Art. 4 Nr. 1 DSGVO) von dem Arbeitgeber als Verantwortlichem (Art. 4 Nr. 7 DSGVO) verarbeitet, befinden wir uns in einem sehr spezifischen rechtlichen Verhältnis. In dieser Konstellation gilt der sogenannte Arbeitnehmerdatenschutz.
Die NIS-2-Richtlinie ist eine bedeutende EU-Regulierung im Bereich der Cybersicherheit, die derzeit viel Aufmerksamkeit erhält. In Deutschland wird diese Richtlinie durch das NIS-2-Umsetzungsgesetz umgesetzt, für das ein aktueller Entwurf vorliegt. Dies hat direkte Auswirkungen auf Unternehmen, da sie bald aktiv werden müssen, um den neuen Anforderungen der Richtlinie gerecht zu werden. Es besteht also Handlungsbedarf. Doch was bedeutet die Richtlinie konkret für die Unternehmen, die von ihr betroffen sind? Die SECJUR-Experten klären auf.
.svg)
.svg)
.svg){kind=small}