Wir empfehlen: Laden Sie unser KOSTENLOSES Whitepaper "Der Weg zur DSGVO-Compliance" herunter. Download

Datenschutzgesetz in der Schweiz: Was Sie wissen müssen

Die bedeutenden Änderungen der Schweizer Regierung im Bereich des Datenschutzes sind für Unternehmen, die sich auf die Einhaltung der EU-Datenschutzgrundverordnung (DSGVO) konzentriert haben, etwas unter dem Radar geblieben. Abgesehen von Schweizer Unternehmen müssen alle Unternehmen, die in der Schweiz tätig sind und personenbezogene Daten mit tatsächlichen oder potenziellen Auswirkungen in der Schweiz verarbeiten, das aktualisierte Datenschutzgesetz einhalten. In diesem Artikel erfahren Sie alles, was Sie über das Schweizer Datenschutzgesetz wissen müssen.

Das revidierte Bundesgesetz über den Datenschutz (DSG)

Das revidierte Bundesgesetz über den Datenschutz sieht im Wesentlichen strengere Regeln für die Bearbeitung von Personendaten vor. Wenn eine solche Bearbeitung bei einer kantonalen öffentlichen Stelle erfolgt, die zu einem der 26 Kantone der Schweiz gehört, gilt nicht das revidierte DSG, sondern das kantonale Datenschutzgesetz.

Das ursprüngliche Bundesgesetz über den Datenschutz (DSG) trat 1993 in Kraft, als die Landschaft in den Bereichen Technologie, Datensicherheit und Datenschutz noch ganz anders aussah. Heute erfordern die zunehmende Digitalisierung von Dienstleistungen und die vermehrte Datenverarbeitung einen angemessenen Datenschutz, der an die aktuellen technologischen und soziologischen Entwicklungen angepasst ist.

Da in den letzten Jahren immer wieder Datenschutzverletzungen im Zusammenhang mit sensiblen Personendaten in die Schlagzeilen geraten sind, war es nach Ansicht des Bundesrates an der Zeit, die Regeln für die Datenbearbeitung mit diesen Daten zu aktualisieren.

Das neue Gesetz, das am 1. September 2023 in Kraft tritt, bringt einige wichtige Änderungen mit sich:

  • Personen, die vorsätzlich gegen die Vorschriften verstoßen, müssen mit einer Strafe von 250’000 Franken rechnen.
  • Die aktualisierte Verordnung regelt nur noch die Bearbeitung von Daten natürlicher Personen (juristische Personen sind nicht mehr geschützt).
  • Eine überarbeitete Definition von sensiblen Personendaten umfasst nun auch biometrische Daten, die eine Person eindeutig identifizieren, sowie genetische Daten. Dies kommt zu der bestehenden Definition hinzu, die personenbezogene Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Gesundheit und rassische Herkunft umfasst.
  • Die Grundrechte der betroffenen Personen wurden erweitert und umfassen neben den bisherigen Rechten wie dem Recht auf Auskunft, dem Recht auf Kenntnis des Zwecks der Verarbeitung und dem Recht auf Löschung nun auch das Recht auf Daten Übertragbarkeit und das Recht auf Intervention, wenn die automatisierte Entscheidungsfindung Auswirkungen auf die betroffenen Personen hat.
  • Die für die Verarbeitung Verantwortlichen müssen nun die betroffenen Personen über die Identität der Datenempfänger und die Kategorien der Datenempfänger im Falle einer Datenübermittlung an Dritte informieren.
  • Für Datenverarbeitung Tätigkeiten mit hohem Risiko ist eine der neuen Garantien eine obligatorische Datenschutz-Folgenabschätzung für die für die Verarbeitung Verantwortlichen und die Datenverarbeiter.
  • Die für die Datenverarbeitung Verantwortlichen sind verpflichtet, dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) risikoreiche Datenverstöße zu melden.

DSG vs. DSGVO

Es ist wichtig zu wissen, dass die Schweizer Bundesbehörden sich zwar von der EU-Datenschutz-Grundverordnung inspirieren ließen und diese als Grundlage für die Änderung des Schweizer Ansatzes nutzten, dass es jedoch wichtige Unterschiede (und viele Ähnlichkeiten) zwischen den beiden Datenschutzgesetzen gibt.

Rechtsgrundlage

Ein wesentlicher Unterschied besteht darin, dass Datenverarbeitungsvorgänge nach der DSGVO eine definierte Rechtsgrundlage erfordern, die für das DSG nicht gilt. Zur Rechtfertigung der Verarbeitung personenbezogener Daten muss eine von sechs Rechtsgrundlagen (einschließlich Zustimmung, öffentliches Interesse oder berechtigtes Interesse) gelten. Das Schweizer Recht verlangt diese Rechtfertigung nicht, obwohl die ausdrückliche Zustimmung der betroffenen Person für risikoreiches Profiling (z. B. Persönlichkeitsprofile) oder bei der Verarbeitung besonders sensibler personenbezogener Daten erforderlich ist.

Datenschutzbeauftragter (DSB)

Ein weiterer Unterschied besteht darin, dass die Europäische Kommission für Organisationen die Bestellung eines Datenschutzbeauftragten (DSB) vorschreibt, wenn es sich um Behörden/Einrichtungen handelt oder wenn die Kerntätigkeiten der Organisation die Verarbeitung sensibler Daten in großem Umfang oder die groß angelegte, regelmäßige und systematische Überwachung von Personen beinhalten.

Die Ernennung eines DSB ist für Privatunternehmen im Rahmen des DSG nicht obligatorisch (wird aber empfohlen). Für Bundesorgane ist die Bestellung eines DSB obligatorisch.

Benachrichtigung bei Datenschutzverletzungen

Für Unternehmen, die personenbezogene Daten verarbeiten und eine Datenschutzverletzung feststellen, gelten unterschiedliche Meldepflichten. Nach dem DSG ist eine unverzügliche Meldung nur dann erforderlich, wenn sie „zum Schutz der betroffenen Person notwendig“ ist. Darüber hinaus gibt es bei solchen Datenschutzverletzungen keine strenge Frist für die Meldung im Rahmen des DSG, während nach der DSGVO eine Frist von 72 Stunden ab dem Zeitpunkt gilt, an dem ein Unternehmen von einer Datenschutzverletzung erfährt.

Datenexport

Internationale Datenübermittlungen werden ziemlich ähnlich behandelt. Der Datenfluss in Drittländer mit angemessenem Datenschutz ist nach beiden Verordnungen erlaubt. Eine Liste von Drittländern und der Frage, ob deren Datenschutz vom Schweizer Bundesrat als angemessen erachtet wird, finden Sie hier (alle EWR-Länder erfüllen die Anforderung). Wird der Datenschutz in einem Drittland als unzureichend erachtet, müssen Schutzmaßnahmen wie Standardvertragsklauseln (SCC) verwendet werden.

Strafrechtliche Maßnahmen

Interessante Unterschiede ergeben sich auch bei den Strafen, die bei Verstößen gegen die in diesen Gesetzen vorgeschriebenen Sicherheitsmaßnahmen und Datenverarbeitung Anforderungen verhängt werden. Während beide Gesetze der zuständigen Datenschutzbehörde die Möglichkeit geben, Verarbeitungen einzustellen oder einzuschränken und Nachforschungen anzustellen, zielen die Geldstrafen auf unterschiedliche Parteien ab.

Das Schweizer Gesetz bestraft Personen, die für die Nichteinhaltung eines angemessenen Datenschutzniveaus oder die Nichteinhaltung anderer in den Vorschriften festgelegter Informationspflichten verantwortlich sind. Im Gegensatz dazu werden nach der DSGVO Unternehmen und nicht Einzelpersonen für Verstöße bestraft.

Komplexe Compliance-Anforderungen lösen

Unternehmen, die im privaten Sektor tätig sind (Dienstleister, gewinnorientierte Unternehmen), müssen die Änderungen zur Kenntnis nehmen, die das revidierte Schweizer Datenschutzgesetz für die Erhebung und Verarbeitung von personenbezogenen Daten vorsieht. Diese Änderungen sind Teil einer zunehmend verschärften Datenschutzlandschaft, die strengere Maßnahmen vorsieht, um sicherzustellen, dass Organisationen die von ihnen erhobenen und verarbeiteten Daten von Einzelpersonen schützen. Wenn sowohl die DSGVO als auch das DSG für Ihr Unternehmen gelten, sind geringfügige Anpassungen der Compliance wichtig, um Privatpersonen im Einklang mit den unterschiedlichen Vorschriften zu schützen.

Vernachlässigen Sie nicht den Wert technologischer Lösungen, die Ihnen helfen, Ihre komplexen Compliance-Anforderungen zu erfüllen. Endpoint Protector ist eine führende Data Loss Prevention (DLP)-Lösung, die Ihr Unternehmen bei der Einhaltung gesetzlicher Vorschriften durch restriktive Richtlinien, Blockierung unerwünschter Datenübertragungen, richtlinienbasierte Blockierung grenzüberschreitender Datenübertragungen, Inhaltsfilterung, USB-Port-Kontrollfunktionen und mehr unterstützt.

FAQ's

Was ist das Schweizer Datenschutzgesetz?

Das Schweizerische Datenschutzgesetz, formell bekannt als Bundesgesetz über den Datenschutz (DSG), ist eine Datenschutzverordnung, die darauf abzielt, die Privatsphäre und die Grundrechte von Personen zu schützen, wenn ihre Daten verarbeitet werden. Das Schweizer Parlament hat eine Reihe von weitreichenden Änderungen am DSG beschlossen, die im September 2023 in Kraft treten werden. 

Welche Art von Daten sind durch das Schweizerische Datenschutzgesetz geschützt?

Das Schweizerische Datenschutzgesetz schützt personenbezogene Daten von natürlichen Personen in der Schweiz. Dazu gehören alle Informationen, die eine Person direkt identifizieren, oder Informationen, die eine indirekte Identifizierung durch Bezugnahme auf zusätzliche Informationen ermöglichen. 

Wer muss sich an das Schweizer Datenschutzgesetz halten?

Schweizer Unternehmen und Bundesorgane müssen das Schweizer Datenschutzgesetz einhalten. Darüber hinaus gelten die Vorschriften für Organisationen, die an der Verarbeitung personenbezogener Daten beteiligt sind, die tatsächliche oder potenzielle Auswirkungen in der Schweiz haben (d.h. eine solche Verarbeitung könnte tatsächlich oder potenziell die Datenschutzrechte von Personen in der Schweiz beeinträchtigen, unabhängig davon, ob die Verarbeitung innerhalb der Schweizer Grenzen erfolgt oder nicht). Hat ein Unternehmen keinen Wohnsitz oder Sitz in der Schweiz, erfüllt aber die oben genannten Kriterien, muss es einen Vertreter in der Schweizerischen Eidgenossenschaft benennen. 

Was sind die Gemeinsamkeiten und Unterschiede zwischen der DSGVO und dem Schweizer Datenschutzgesetz?

Das revidierte Schweizer Datenschutzgesetz basiert weitgehend auf dem Inhalt der DSGVO, so dass es viele Ähnlichkeiten gibt, einschließlich einer erweiterten Definition personenbezogener Daten, der Verpflichtung für die für die Datenverarbeitung Verantwortlichen und die Auftragsverarbeiter, Aufzeichnungen über alle Datenverarbeitungsaktivitäten zu führen, und einer Verpflichtung zur Meldung von Datenverstößen mit hohem Risiko. Zu den Unterschieden in den Details gehören die Durchsetzung von Geldbußen, das Standardprinzip für die Verarbeitung personenbezogener Daten und die Frist für die Meldung von Verstößen. 

In diesem Artikel:

    DEMO ANFRAGEN
    check mark

    Vielen Dank für Ihre Anfrage zu Endpoint Protector.
    Einer unserer Mitarbeiter wird Sie in Kürze kontaktieren.

    * Wir geben Ihre Daten nicht an Dritte weiter. Machen Sie sich mit unserer Datenschutz-Richtlinie vertraut.