ituso Network Partner
Schaufelberger René Consulting GmbH
Grindelstrasse 41
8604 CH-Volketswil
Tel: +41 (0) 79 771 79 98
E-Mail: rene.schaufelberger@ituso.ch
In der Schweiz gilt aktuell das Bundesgesetz über den Datenschutz (DSG), das gerade überarbeitet wird, sowie die Verordnung zum Bundesgesetz über den Datenschutz (VDSG). Viele Schweizer Unternehmen müssen sich außerdem an das Datenschutzgesetz der EU (DSGVO) halten. Ändert die Schweiz ihre Bestimmungen im aktuellen Gesetz nicht, drohen schweizer Unternehmen grosse Wettbewerbsnachteile, denn ein Austausch von Daten mit Unternehmen in der EU wäre zukünftig schwierig. René Schaufelberger ist zertifizierter Datenschutzbeauftragter und Auditor (EU-DSGVO/BDSG-DE) und für uns als Datenschutzberater auf dem Schweizer Markt und Liechtenstein tätig. Er bringt durch seine Erfahrung im schweizer Markt für uns Licht ins Dunkel und einige Antworten.
Herr Schaufelberger, erzählen Sie uns vom Datenschutz in der Schweiz. An welche Gesetze müssen sich schweizer Unternehmen halten?
Die Basis für schweizer Unternehmen ist das Schweizer Datenschutzgesetz (DSG). Daneben existiert, gestützt auf das Datenschutzgesetz vom Bundesrat erlassene Verordnung, die Verordnung zum Bundesgesetz über den Datenschutz (VDSG).
Und wie sieht die Datenschutzsituation aktuell in der Schweiz aus?
In der Schweiz leben wir mit dem veralteten DSG, welches am 1. Juli 1993 in Kraft getreten ist. Das Bundesgesetz über den Datenschutz (DSG) ist ein Rahmengesetz und erlaubt als solches einen großen Spielraum bei der Beurteilung von Daten- und Persönlichkeitsschutzschutzverletzungen. Es ist daher oft nicht möglich, umfassende allgemeine Aussagen zu machen.
Am 1. März 2019 ist zusätzlich das Schengen-Datenschutzgesetz (SDSG) in Kraft getreten, um den Übergang im bilateralen Abkommen zu gewährleisten.
Welchen Einfluss hat die EU-Datenschutzgrundverordnung auf den Datenschutz in der Schweiz und gilt die EU-DSGVO auch in der Schweiz?
Im Rahmen seiner Beratungen zur Revision des Datenschutzgesetzes beschloss das Parlament, die Vorlage zur Totalrevision des DSG in zwei Teile aufzuspalten und in einem ersten Schritt die Änderungen zu behandeln, die für die Übernahme des Schengen-Besitzstands erforderlich sind.
Gerade grenzbezogene Details wurden mit dem Schengen-Datenschutzgesetz geregelt. Der EDÖB (Eidgenössische Datenschutz und Öffentlichkeitsbeauftragte) erhält im Rahmen der Anwendung des Schengen-Besitzstands in Strafsachen Untersuchungs- und Verfügungskompetenzen. Schweizer Firmen, welche personenbezogenen Daten in Verbindung mit der EU nutzen, werden in die Pflicht genommen.
Deshalb ja, die DSGVO gilt im Grenzverkehr mit personenbezogenen Daten auch in der Schweiz.
Wie ist der Stand in der Schweiz bezüglich der neuen Gesetzgebung?
Mit der Botschaft des Bundesrates vom 15. September 2017 befindet sich das DSG in der Revision, ein vorhandener Revisionsentwurf wird aktuell im Parlament besprochen.
Das Datenschutzgesetz ist für den 18. Dezember im Ständerat traktandiert. Im nächsten Jahr müssen sich die Räte dann einigen. Die EU überprüft nämlich bis im Mai 2020, ob der Datenschutz in der Schweiz noch gleichwertig ist mit ihrem eigenen. Das wäre derzeit nicht der Fall.
Ändert die Schweiz ihre Bestimmungen nicht, drohen hiesigen Unternehmen grosse Wettbewerbsnachteile, wie Justizministerin Karin Keller-Sutter zu bedenken gab. Für die Firmen würde ein Austausch von Daten mit Betrieben in der EU schwierig.
Welche wesentlichen Unterschiede gibt es vom Schweizer DSG zur EU DSGVO?
Bußgelder für Datenschutzsünder sind beispielsweise nicht definiert, sowie die wahren Pflichten von Datenschutzbeauftragten bei Firmen und Firmenvertretern gegenüber Aufsichtsbehörden.
Sind personenbezogene Daten in der Schweiz wie in der EU definiert oder gibt es hier Unterschiede?
Das Recht der Schweiz verwendet statt des Begriffs der personenbezogenen Daten den Begriff Personendaten. Darunter versteht man „alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen“. Dazu gibt es im CH-DSG, wie auch in der EU-DSGVO besonders schützenswerte Personendaten, wie z.B. Gesundheit, Religion und strafrechtliche Punkte. Diese sind aber nahezu identisch.
Können personenbezogene Daten einfach so in die EU übermittelt werden?
Die DSGVO gilt auch für Unternehmen, die lediglich Daten von EU-Bürgern zur Online-Nutzung oder zur Nutzung von Online-Medien und -Werbung erheben und verarbeiten. So müssen beispielsweise Anbieter von kostenlosen Webseiten und Apps, die auch von EU-Bürgern genutzt werden, einen Datenschutz-Vertreter in der EU bestimmen (Unternehmen mit Tochtergesellschaften in der EU benötigen diesen in der Regel nicht, da sie diese Aufgabe lokal delegieren können).
Im SDSG-CH findet sich der Artikel 8 welche folgenden Aussagen beinhaltet:
Bekanntgabe von Personendaten ins Ausland
1. Für die Bekanntgabe von Personendaten an die zuständigen Behörden von Schengen-Staaten dürfen nicht strengere Datenschutzregeln gelten als für die Bekanntgabe von Personendaten an schweizerische Strafbehörden.
2. Die Bekanntgabe von Personendaten an einen Drittstaat oder an ein internationales Organ wird durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt.
Die Praxis zeigt momentan, dass einzig aus der EU eine Anfrage zur Löschung oder Bearbeitung kommen würde.
Und was ist bei der Übermittlung von Daten in die Schweiz zu beachten?
Am 1. März 2019 hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) über das Inkrafttreten des Schengen-Datenschutzgesetzes (SDSG) informiert. Nachdem das Schweizer Parlament die Aufspaltung der Revision des Datenschutzgesetzes in zwei Teile beschlossen hat, wurden nun die notwendigen Anpassungen an das europäische Recht, insbesondere die Umsetzung der RL (EU) 2016/680, vorgenommen.
Es ist vorgesehen das SDSG aufzuheben, sobald das neue Schweizer Datenschutzgesetz (DSG) in Kraft treten wird. Der Abschluss der Revision des DSG ist voraussichtlich für das Jahr 2020 geplant. Die Revision soll das Schweizer DSG kompatibel zur DSGVO machen, damit ein einheitliches Datenschutzniveau gewährleistet wird.
Wenn Schweizer Unternehmen nicht bereits von der DSGVO betroffen sind, müssen sie mit dem neuen DSG praktisch die gleichen Anforderungen erfüllen!
Wie ist die Vertreterregelung schweizer Unternehmen innerhalb der EU geregelt?
Die Vertreterregelung für die EU wird mit der Aussage der gelegentlichen Verarbeitung bei KMUs noch relativ locker gehandhabt. Die ersten relevanten und zu Massnahmen geregelten Anfragen durch Betroffene fehlen noch.
Gibt es Elemente wie Auftragsverarbeitung oder Joint Control auch in der Schweiz?
Die Auftragsverarbeitung ist schon im aktuellen DSG geregelt und ist mit der DSGVO vergleichbar. Doch die Willkür von Joint Control wird voraussichtlich erst mit der Einführung der neuen DSG so richtig aufgedeckt.
Wie sieht es mit der Verpflichtung der Mitarbeiter zur Vertraulichkeit aus?
Momentan haben die meisten Firmen mit heiklen Daten eigene Regelungen auf Kundenwunschbasis. Der Mitarbeiter wird bei vielen Fällen in Verbindung mit einem Arbeitsvertrag in eine Verpflichtung genommen. Eine Verschärfung wird es sicher geben, schon aufgrund der organisatorischen Maßnahmen, so dass eine spezielle Verpflichtung sicher in den nächsten Jahren zur Pflicht werden wird.
Kann man den Bußgeldkatalog für die Schweiz mit dem der EU vergleichen?
Im Moment ist noch nichts entschieden. Jedoch wird von persönlichen Bußgeldern der Geschäftsleitung in der Höhe von CHF 250‘000.- diskutiert und nicht von Firmenbußgeldern in Prozent oder im Millionenbereich.
Ist ein Schweizer Unternehmen ggf. mit einer Tochtergesellschaft in der EU angesiedelt, so gelten dann natürlich die Bußgeldhöhen der EU-DSGVO.
Müssen sich schweizer Unternehmen auch an des Cookie Gesetz des EuGHs halten?
Als EU-Recht ist die Cookie-Richtlinie für Website-Betreiber in der Schweiz nicht direkt anwendbar. Da die meisten schweizerischen Websites aber Nutzerinnen und Nutzern aus der EU offenstehen, sowie Cookies verwenden, empfiehlt es sich auch für Website-Betreiber in der Schweiz, die Cookie-Richtlinie der EU umzusetzen.
In der EU-DSGVO ist dabei klar geregelt, wenn personenbezogene Daten von EU-Bürgern verarbeitet werden, dann muss sich auch an die dortige Gesetzgebung, also die Datenschutzgrundverordnung gehalten werden.
Fazit:
Das CH-DSG ist im Nationalrat abgesegnet und nun im Ständerat. Die Hoffnung bleibt, dass keine «swiss-finish» Version in Verbindung zur EU-DSGVO stattfindet und die DSGVO mehrheitlich übernommen wird. Die Punkte Bußgelder und die obligatorische Nennung eines Datenschutzbeauftragten gegenüber den Behörden und Kunden ist momentan noch offen.
Doch der Zeitplan wird immer enger und die EU, die Schweizer Firmen und die Betroffenen im Bereich Datenschutz fordern effektive Lösungen. Im nächsten Jahr müssen sich die Räte dann einigen. Die EU überprüft nämlich bis im Mai 2020, ob der Datenschutz in der Schweiz noch gleichwertig ist mit ihrem eigenen. Das wäre derzeit nicht der Fall.
So oder so werden große Aufgaben auf Schweizer Unternehmen zukommen, wenn diese zukünftig das CH-DSG im Unternehmen umsetzen müssen. Einen erfahrenen Experten zur Unterstützung hinzuzuziehen wird bei vielen einen Sinn ergeben.
Doch der Zeitplan wird enger und enger. Kontaktieren Sie uns, wenn Sie Unterstützung benötigen!
Über René Schaufelberger
„Ich habe Spass am Leben und bei der Arbeit; weil alle Herausforderungen auch etwas Chaotisches an sich haben.“
Als noch der Name PET in der Informatikbranche mit Commodore in Verbindung war und nicht für das Plastikflaschen-Recycling galt, lernte ich die Welt der Informatik in meiner Jugendzeit von Grund auf kennen und lieben. Seitdem war ich als Selbständiger in zahlreichen Betrieben der Branchen Umwelt und IT tätig.
Vor rund fünf Jahren beschäftigte mich der Datenschutz und die Datensicherheit in Firmen. Konkret wurde ich vermehrt mit Fragen bombardiert und spezialisierte mich in den letzten Jahren auf den Bereich.
Als ituso-Networkpartner und Generalvertretung von DSM-Online.eu für die Schweiz und Liechtenstein unterstütze ich Unternehmen sowohl mit einer fundierten Datenschutzberatung als auch mit einem Datenschutzmanagementsystem aus erster Hand. Mit Erfahrung und Wissen für „das große Ganze“ sorge ich dafür, dass Ihr Betrieb jederzeit für ein Audit bereit ist. Weitere Informationen zu meinen Schwerpunkten finden Sie in meinem Profil.
