Volljurist und Compliance-Experte
April 4, 2025
12 min
.svg)
Das neue Schweizer Datenschutzgesetz trat am 1. September 2023 in Kraft und verschärft die Datenschutzregeln, inklusive strafrechtlicher Verfolgung für Verstöße.
Es gibt Gemeinsamkeiten zwischen dem Schweizer Datenschutzgesetz und der DSGVO, aber auch Unterschiede wie die Veröffentlichung von Daten ohne Zustimmung und die Strafverfolgung von Einzelpersonen.
Unternehmen sollen laut nDSG Datenschutz von Anfang an in ihre Prozesse und Softwareentwicklung integrieren.
Bei Verstößen gegen das nDSG sind Bußgelder von bis zu 250.000 CHF möglich.
Mit dem neuen revidierten Datenschutzgesetz (DSG) kommt einiges auf Schweizer Unternehmen zu. Wir erklären in diesem Artikel, welche Pflichten sich ergeben und worin die wichtigsten Unterschiede zur DSGVO bestehen. Wie können Unternehmen und Manager Verstöße gegen das DSG vermeiden? Unser Rechtsexperte Simon Pentzien gibt Empfehlungen zur gelungenen Umsetzung.
Mit Inkrafttreten des neuen DSG am 1. September 2023 ändert sich die Datenschutzlandschaft in der Schweiz grundlegend. Im Gegensatz zur Europäischen Datenschutzgrundverordnung (DSGVO) konzentriert sich das Schweizer Gesetz nicht nur auf die Gesamtverantwortung von Unternehmen. Hiernach können z.B. auch Einzelpersonen strafrechtlich belangt werden.
Diese Änderung verunsichert viele Schweizer Unternehmen und wirft Fragen auf. Allen voran: Wie können Unternehmen das neue Schweizer Datenschutzgesetz umsetzen, um weiterhin sicher und erfolgreich Geschäfte zu führen und ihre Mitarbeiter zu schützen?
Um das DSG zu verstehen, lohnt es sich, einen Blick auf seine Geschichte zu werfen. Das Schweizer Datenschutzrecht ist historisch gewachsen:
• Bereits in den 1980er-Jahren wurden erste Datenschutzgesetze erlassen, um die Privatsphäre der Bürger zu schützen. Das erste Bundesgesetz zum Datenschutz folgte 1992. Während dieser Zeit konnte diese Entwicklung vor allem im nationalen Rahmen fortschreiten, da Datenschutz zunächst ein nationales Thema war. Die Schweiz hat dabei kontinuierlich an der Stärkung der Datensicherheit gearbeitet, um die persönlichen Daten ihrer Bürger zu schützen.
• Mit fortschreitender Globalisierung stand die Schweiz jedoch nicht isoliert in dieser Entwicklung. Zunehmend sah sich das Land einer wachsenden Zahl von grenzüberschreitenden Regelwerken im Bereich Datenschutz gegenüber. Angesichts der starken Integration von sozialen Netzwerken, Cloud-Diensten und dem Internet der Dinge, war eine Aktualisierung des Datenschutzgesetzes dringend erforderlich.
• Im Jahr 2008 erfolgte eine Teilrevision des Schweizer Datenschutzgesetzes, um das Gesetz an die technologischen Entwicklungen anzupassen. Hier zeigte sich bald, dass dies nicht ausreichend war.
• Seit 2017 hat der Schweizer Gesetzgeber daher schrittweise an der nunmehr im September 2023 geltenden Version des DSG gearbeitet.
Die Europäische Union (EU) stellte hohe Anforderungen an den Schutz von Personendaten und verfestigte mit der DSGVO ihre bisher geltenden Standards.
Nunmehr galt das europäische Datenschutzrecht unmittelbar in allen Mitgliedstaaten und ein Verstoß bringt im Einzelfall hohe Geldbussen mit sich.
Die Schweiz pflegt durch ihre geografische Lage enge Beziehungen mit ihren europäischen Nachbarländern. Dabei ist auch ist ein Datenverkehr mit diesen unvermeidlich. So ergaben sich für Schweizer Unternehmen, die auch Geschäfte in der EU machen, bereits zahlreiche Anforderungen an ihren Datenschutz nach der DSGVO.
Bei der Ausgestaltung des neuen Schweizer Datenschutzgesetzes wurden auch die Vorgaben der DSGVO berücksichtigt, da diese bereits von weiten Teilen der Schweizer Wirtschaft angewandt wird. Daher darf auch zukünftig davon ausgegangen werden, dass die Schweiz für Datentransfers aus der EU in die Schweiz weiterhin als sog. „sicheres Drittland“ angesehen werden wird und umgekehrt.
Das neue Schweizer Datenschutzgesetz bedeutet einen wichtigen Meilenstein in der Entwicklung zu einem höheren Datenschutzniveau in der Schweiz.
In seiner Herbstsession 2020 hat das Schweizer Parlament das neue Schweizer Datenschutzgesetz verabschiedet. Hiermit soll die Bearbeitung persönlicher Daten verbessert und den Bürgerinnen und Bürgern der Schweiz neue Datenschutzrechte gewährt werden.
Die Gesetzesänderung bringt auch einige Verpflichtungen für Unternehmen mit sich. Dadurch wird der Schutz persönlicher Daten nochmals intensiviert, um den wachsenden Anforderungen und Herausforderungen im digitalen Zeitalter gerecht zu werden.
Das neue DSG passt sich nun also an moderne Technologien und die hoch digitalisierte Schweizer Gesellschaft an. Im Zuge dessen ergeben sich zahlreiche Pflichten für Organisationen und Unternehmen.
Die Aktualisierungen im Schweizer Datenschutzgesetz betonen die Wichtigkeit des Datenschutzes auf individueller Ebene. Ab September 2023 wird der Fokus des DSG auf den Schutz von Daten natürlicher Personen gelegt. Dieser strategische Wandel unterstreicht die Relevanz, den Datenschutz auf persönlicher Basis zu verstärken und individuelle Rechte sowie Privatsphäre umfassender zu gewährleisten.
Eine der auffälligsten Anpassungen ist in diesem Kontext auch die Erweiterung der Definition von besonders schützenswerten Daten. Dies beinhaltet nun auch genetische und biometrische Informationen. Diese Erweiterung zielt darauf ab, den Datenschutz angesichts technologischer Fortschritte besser abzudecken und hochsensible Daten effektiver zu schützen. Sie spiegelt das Ziel wider, hochsensible Personendaten bestmöglich zu schützen.
Außerdem neu ist der Begriff „Profiling“. Die Integration des Begriffs "Profiling" in das Schweizer Datenschutzgesetz unterstreicht die Bedeutung der automatisierten Bearbeitung von Personendaten. Die Aufnahme dieses Begriffs verdeutlicht die Notwendigkeit, einen effektiven Schutz vor unerwünschtem oder diskriminierendem Profiling, zum Beispiel in Bewerbungsprozessen, zu gewährleisten.
Unternehmen, die sich den Herausforderungen des neuen DSG stellen, werden auf zwei innovative Prinzipien stoßen: "Privacy by Design" und "Privacy by Default". Diese Ansätze fordern dazu auf, Datenschutz bereits von Beginn an bei der Entwicklung von Prozessen oder Software durch Implementierung angemessener Schutzmaßnahmen zu berücksichtigen.
Sie verlangen von Entwicklern, höchste Datenschutzstandards von Anfang an in Produkte und Dienstleistungen zu integrieren. Dadurch wird gewährleistet, dass Datenschutz nicht nur nachträglich, sondern bereits während der Entwicklung als zentrale Säule implementiert wird.
Unter dem neuen Schweizer Datenschutzgesetz werden nunmehr alle Unternehmen angehalten, eine sog. Datenschutz-Folgenabschätzung anfertigen, wenn die Voraussetzungen dafür vorliegen.
Auch private Unternehmen werden nun dazu angehalten, im Voraus potenzielle Risiken für die Persönlichkeitsrechte von Betroffenen zu bewerten. Diese proaktive Herangehensweise ermöglicht vor allem potenzielle Gefahren frühzeitig zu identifizieren und geeignete Maßnahmen zu ergreifen. So können Datenschutzverletzungen im besten Falle verhindert werden.
Mit dem DSG wird die Informationspflicht erweitert, sodass betroffene Personen nicht mehr nur bei besonders schützenswerten Daten, sondern immer vor der Erhebung ihrer Personendaten über die Umstände und Beteiligten der Bearbeitung informiert werden müssen. Diese Ausweitung trägt zu erhöhter Transparenz bei und ermöglicht Nutzern außerdem, besser zu verstehen, wie ihre Daten verwendet werden.
Ein weiterer Schritt zur Stärkung des Datenschutzes ist die Einführung eines verpflichtenden Verzeichnisses der Bearbeitungstätigkeiten. Dieses Konzept ähnelt stark dem Verzeichnis von Bearbeitungstätigkeiten (VVT), welches die DSGVO bereits seit 2018 vorschreibt. Das Verzeichnis sorgt für eine klare Übersicht über alle Prozesse im Zusammenhang mit der Bearbeitung von Personendaten. Kleine und mittlere Unternehmen erhalten dabei spezifische Ausnahmen, um den administrativen Aufwand zu minimieren, während der Datenschutz dennoch gewährleistet wird.
Ein essenzieller Bestandteil des revidierten DSG ist die rasche Meldung von Datensicherheitsverletzungen. Unternehmen werden verpflichtet, im Falle einer Verletzung der Datensicherheit unverzüglich zu reagieren und dies dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden. Diese schnelle Meldung ermöglicht es dem EDÖB, geeignete Maßnahmen zu ergreifen und betroffene Personen zeitnah zu informieren.
In der folgenden Vergleichstabelle fassen wir die Unterschiede und Gemeinsamkeiten vom DSG und der DSGVO in Kürze zusammen.
Das DSG ist in vielen Bereichen mit der Datenschutzgrundverordnung (DSGVO) vergleichbar.
• Beide Gesetze betonen die Bedeutung eines angemessenen Datenschutzniveaus durch die Implementierung von technischen und organisatorischen Maßnahmen, die den individuellen Risiken entsprechen. Dies soll sicherstellen, dass Personendaten effektiv geschützt werden.
• Von wesentlicher Bedeutung ist nach beiden Gesetzen die umfassende Information der betroffenen Personen und der Umgang mit ihren Rechten. Dies kommt nach dem DSG letztlich auch dadurch zum Ausdruck, dass ein Verstoß gegen diese Vorgaben sogar eine strafrechtliche Sanktion von Entscheidungsträgern auslösen kann.
• Außerdem legen sowohl die DSGVO als auch das DSG großen Wert auf den Grundsatz des "Privacy by Design". Das bedeutet, dass Datenschutzaspekte bereits bei der Gestaltung von Datenbearbeitungsprozessen berücksichtigt werden müssen, um von Anfang an datenschutzfreundliche Lösungen zu gewährleisten.
• Beide Gesetze fordern ferner "Privacy by Default". Das bedeutet, dass standardmäßig datenschutzfreundliche Einstellungen verwendet werden müssen, um sicherzustellen, dass nur die notwendigen Daten verarbeitet werden und die Privatsphäre der betroffenen Personen gewahrt bleibt.
Dennoch gibt es auch Unterschiede zwischen den beiden Regelungen.
Zum Beispiel die Veröffentlichung von Daten ohne Zustimmung der betroffenen Person: Im revidierten DSG ist es möglich, von dieser Regel abzuweichen, wenn eine Vereinbarung mit dem Endbenutzer dies ermöglicht. In der DSGVO hingegen ist eine solche Abweichung von der Zustimmung der betroffenen Person in der Standardregelung nicht vorgesehen.
Es gibt eine wichtige Sache, in der das revDSG deutlich strenger ist: Es sieht vor, dass natürliche Personen strafrechtlich belangt werden können, während die DSGVO hauptsächlich Geldstrafen für Unternehmen vorsieht.
Die Verstöße, die gemäß dem DSG strafrechtlich geahndet werden können, sind auf sieben abschließend genannte Fälle begrenzt:
1. Weitergabe von persönlichen Daten an Empfänger in Ländern ohne ausreichenden Datenschutz und ohne entsprechende Schutzmaßnahmen.
2. Verwendung von Auftragsverarbeitern ohne angemessene Vereinbarungen.
3. Nichteinhaltung der vom Bundesrat festgelegten Mindestsicherheitsanforderungen.
4. Fehlende oder unvollständige Informationen in Datenschutzerklärungen.
5. Falsche oder unvollständige Antworten auf Anfragen des EDÖB.
6. Offenlegung geheimer persönlicher Daten an unbefugte Dritte.
7. Nichtbefolgung von Anordnungen des EDÖB oder von Gerichtsentscheidungen.
Bei Verstößen gegen das DSG sind Bußgelder von bis zu 250.000 CHF möglich. Eine entscheidende Abweichung zur Datenschutzgrundverordnung (DSGVO) besteht darin, dass diese Sanktionen nicht (nur) gegen das betroffene Unternehmen selbst gerichtet sind.
Vielmehr werden die Bußgelder gemäß dem DSG gegen die natürliche Person verhängt, die für die Einhaltung der Datenschutzbestimmungen verantwortlich ist. Hierzu zählen auch die Datenschutzverantwortlichen, Geschäftsleiter oder Mitglieder des Verwaltungsrats.
Diese Geldstrafen werden ausdrücklich persönlich verhängt und können weder versichert noch vom Arbeitgeber übernommen werden. Diese harte Herangehensweise soll die Effektivität der Sanktionen erhöhen und die persönliche Verantwortung für den Datenschutz unterstreichen.
Neben den empfindlichen Strafen gibt es eine zweite wichtige Neuerung im DSG. Sie betrifft die Haftung von Personen im Unternehmen, die nicht nur Verstöße gegen das Datenschutzgesetz begehen, sondern auch dazu beitragen.
Das heißt, dass nicht nur unmittelbare Täter belangt werden, sondern auch deren Vorgesetzte und das Management.
Unter den neuen Strafnormen können zwei Personengruppen strafrechtlich belangt werden:
• Personen, die den Verstoß selbst begangen haben oder die Anweisung dazu gegeben haben. Dies schließt jene ein, die federführend in Entscheidungen involviert waren, welche die Datenschutzpflichten verletzen. Dies könnte zum Beispiel die falsche Beantwortung von Anfragen betroffener Personen, die unzureichende Auftragsvereinbarung mit Auftragsbearbeitern oder die unerlaubte Offenlegung von Daten ins Ausland umfassen.
• Personen, die rechtlich dazu verpflichtet sind, Verstöße zu verhindern oder die Folgen zu mildern. Hierbei sind Personen wie Verwaltungsratsmitglieder, Geschäftsführer und andere Organvertreter gemeint, die verantwortlich sind, dass das Unternehmen das Datenschutzgesetz einhält. Sie müssen über die Befugnisse verfügen, um entsprechende Anweisungen zu geben oder einzugreifen, um Verstöße zu verhindern oder zu beheben.
Soweit Verantwortlichkeiten für Bearbeitungen an untergeordnete Personen übertragen werden, haftet die verantwortliche Person dafür, dass der Delegierte angemessen ausgewählt, instruiert und überwacht wird.
Hier werden qualifizierte Trainings und regelmäßige Überprüfungen eine wichtige Rolle spielen. Indem betroffene Unternehmen Mitarbeiter richtig schulen, können sie das Risiko für Verletzungen des DSG erheblich minimieren und ihre Mitarbeiter zu schützen.
Insbesondere Verwaltungsratsmitglieder behalten die nicht übertragbare und nicht entziehbare Oberaufsicht über die Geschäftsführung und die Einhaltung der Gesetze. Diese Verantwortung ist gesetzlich festgelegt und sollte im Rahmen der Corporate Governance berücksichtigt werden.
Um die rechtlichen Anforderungen des DSG zu erfüllen und potenzielle Strafen zu vermeiden, ist es für das Management von entscheidender Bedeutung, eine umfassende und angemessene Überwachung und Umsetzung der Datenschutzrichtlinien sicherzustellen. Dies gewährleistet nicht nur die rechtliche Konformität, sondern stärkt auch das Vertrauen von Kunden, Geschäftspartnern und der Öffentlichkeit in das Unternehmen.
Ein Weg, die Umsetzung der Richtlinien zu überwachen, ist das Digital Compliance Office. Das Digital Compliance Office kombiniert alle anfallenden Aufgaben (wie VVT, TOM oder Betroffenenanfragen) mit Expertenberatung von echten Fachleuten in einem intuitiven System, das auch Datenschutzlaien verstehen. Hierbei ist es genau auf die Anforderungen, die sich aus dem DSG ergeben, ausgerichtet.
Die Einführung eines neuen Schweizer Datenschutzgesetzes bietet zahlreiche Vorteile für Unternehmen, sowohl für Großunternehmen als auch für KMUs.
Insbesondere im Vergleich mit anderen Drittländern (zum Beispiel den USA) ergeben sich positive Aspekte.
Die wichtigsten Vorteile des nDSG für Unternehmen haben wir in dieser Infografik zusammengefasst.
Spezifisch bedeuten diese fünf Vorteile für Unternehmen:
• Einheitlicher Datenraum und reibungsloser Datenverkehr: Das neue Gesetz schafft einen einheitlicheren Datenschutzrahmen und erleichtert den ungehinderten Datenverkehr zwischen der Schweiz und der EU. Dies trägt dazu bei, Barrieren abzubauen und Geschäftsabläufe effizienter zu gestalten und kann sogar neue Märkte öffnen, vor allem für digitale Geschäftsmodelle.
• Stärkung der Geschäftsbeziehungen: Schweizer Unternehmen profitieren von einem verbesserten Datenschutzniveau, das mit EU-Standards kompatibel ist. Dies stärkt das Vertrauen und die Zusammenarbeit mit EU-Partnern, da Geschäftsabläufe nicht an zusätzliche Bedingungen geknüpft werden müssen.
• Wettbewerbsfähigkeit erhalten: Durch die Angleichung an EU-Datenschutzstandards bleiben Schweizer Unternehmen wettbewerbsfähig. Die Gefahr, dass EU-Unternehmen Schweizer Geschäftspartner umgehen könnten, wird reduziert, da vergleichbare Datenschutzbedingungen herrschen.
• Weniger Verwaltungsaufwand: Individuelle Vertragslösungen zwischen Schweizer Unternehmen und EU-Geschäftspartnern entfallen weitgehend, da das neue Gesetz ein harmonisiertes Datenschutzumfeld schafft. Dies spart Unternehmen im Alltag jede Menge Ressourcen.
• Förderung des internationalen Handels: Das neue Datenschutzgesetz beseitigt unnötige Handelshemmnisse und erleichtert den internationalen Handel. Schweizer Unternehmen können sich auf das Kerngeschäft konzentrieren, ohne sich um komplexe Datenschutzvereinbarungen sorgen zu müssen.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Everything you need to know about the product and billing.
Erfahren Sie mehr über die ISO 27001, eine internationale Norm, die Unternehmen dazu verpflichtet, erstklassige Standards im Informationssicherheitsmanagement zu etablieren. Diese Zertifizierung ist nicht nur ein Maßstab für die Kontrolle von Informationen, sondern auch ein entscheidender Vertrauensbeweis für Kunden und Partner. Entdecken Sie, wie die ISO 27001 Transparenz fördert, Vertrauen stärkt und Unternehmen dabei unterstützt, sich effektiv vor Cyberbedrohungen zu schützen.
.webp)
Die Umsetzung von Access Management nach ISO 27001 Annex A.9 kann eine echte Herausforderung sein. Regulierung und Überwachung von Zugriffen sind unerlässlich, um Daten und Informationen zu schützen. In diesem Artikel erfahren Sie, wie die Partnerschaft zwischen SECJUR und Cakewalk Unternehmen dabei unterstützt, die Anforderungen dieses ISO-Annex effizient zu erfüllen. Entdecken Sie die Bedeutung von Annex A.9, seine Ziele und die verschiedenen Zugangskontrollmethoden. Erfahren Sie, wie Cakewalks intelligente Lösungen und SECJURs Expertise die nahtlose Integration der Zugriffsverwaltung in ein Informationssicherheitsmanagementsystem ermöglichen.
Ein Informationssicherheitsbeauftragter (ISB) ist zuständig für die allgemeine Informationssicherheit in einem Unternehmen oder einer Institution. Dabei ist zu beachten, dass es beim Informationssicherheitsbeauftragten keine fest geschriebene gesetzliche Definition gibt, wie es etwa bei einem Datenschutzbeauftragten der Fall ist. Vielmehr werden je nach Branche verschiedene Definitionen genutzt, beispielsweise im Finanzdienstleistungssektor. Woher weiß ein Unternehmen nun, ob es einen Informationssicherheitsbeauftragten braucht? Wir haben es in diesem Überblick zusammengefasst.
.svg)
.svg)
.svg){kind=small}