Die Schweiz und der Datenschutz: Warum das neue DSG für schweizer Unternehmen so wichtig ist

Interview mit dem schweizer Datenschutzexperten René Schaufelberger, Geschäftsführer der ituso Schweiz GmbH

In der Schweiz gilt aktuell das Bundesgesetz über den Datenschutz (DSG), das überarbeitet wurde, sowie die Verordnung zum Bundesgesetz über den Datenschutz (VDSG). Viele Schweizer Unternehmen müssen sich außerdem an das Datenschutzgesetz der EU (DSGVO) halten. Per 1. September 2023 tritt nach langen Verhandlungen das nDSG, ohne eine Übergangszeit, definitiv in Kraft.

René Schaufelberger ist Geschäftsführer der  ituso Schweiz GmbH und als zertifizierter Datenschutzbeauftragter und Auditor auf dem Schweizer Markt und in Liechtenstein tätig. Er bringt durch seine Erfahrung im schweizer Markt für uns Licht ins Dunkel und einige Antworten.

Bewerbungsbild

René Schaufelberger

Herr Schaufelberger, erzählen Sie uns vom Datenschutz in der Schweiz. An welche Gesetze müssen sich schweizer Unternehmen halten?

Die Basis für Schweizer Unternehmen ist das Schweizer Datenschutzgesetz (DSG). Daneben existiert, gestützt auf das Datenschutzgesetz vom Bundesrat erlassene Verordnung, die Verordnung zum Bundesgesetz über den Datenschutz (VDSG).

Und wie sieht die Datenschutzsituation aktuell in der Schweiz aus?

In der Schweiz leben wir noch immer mit dem veralteten DSG, welches am 1. Juli 1993 in Kraft getreten ist. Das Bundesgesetz über den Datenschutz (DSG) ist ein Rahmengesetz und erlaubt als solches einen großen Spielraum bei der Beurteilung von Daten- und Persönlichkeitsschutzschutzverletzungen. Am 1. März 2019 ist zusätzlich das Schengen-Datenschutzgesetz (SDSG) in Kraft getreten, um den Übergang im bilateralen Abkommen zu gewährleisten.

Per 1. September 2023 tritt nun nach jahrelangen Verhandlungen das nDSG ohne Übergangslösung in Kraft.

Welchen Einfluss hat die EU-Datenschutzgrundverordnung auf den Datenschutz in der Schweiz und gilt die EU-DSGVO auch in der Schweiz?

Im Rahmen seiner Beratungen zur Revision des Datenschutzgesetzes beschloss das Parlament, die Vorlage zur Totalrevision des DSG in zwei Teile aufzuspalten und in einem ersten Schritt die Änderungen zu behandeln, die für die Übernahme des Schengen-Besitzstands erforderlich sind.

Gerade grenzbezogene Details wurden mit dem Schengen-Datenschutzgesetz geregelt. Der EDÖB (Eidgenössische Datenschutz und Öffentlichkeitsbeauftragte) erhält im Rahmen der Anwendung des Schengen-Besitzstands in Strafsachen Untersuchungs- und Verfügungskompetenzen. Schweizer Firmen, welche personenbezogenen Daten in Verbindung mit der EU nutzen, werden in die Pflicht genommen.

Deshalb ja, die DSGVO gilt im Grenzverkehr mit personenbezogenen Daten auch in der Schweiz.

Sie benötigen einen Datenschutzbeauftragten oder einen Datenschutzberatung
für die Schweiz? Kontaktieren Sie uns!

Wie ist der Stand in der Schweiz bezüglich der neuen Gesetzgebung?

Das nDSG tritt definitiv am 1. September 2023 ohne Übergangslösung in Kraft. Zeitgleich wird das neue VDSG in Kraft treten.

Welche wesentlichen Unterschiede gibt es vom Schweizer DSG zur EU DSGVO?

Bußgelder für Datenschutzsünder sind persönlich und mit bis zu CHF 250‘000 definiert, Ein Datenschutzbeauftragten bei Firmen und Firmenvertretern gegenüber Aufsichtsbehörden ist nicht Pflicht, aber ein Datenschutzberater kann dennoch bestellt werden und beim EDÖB gemeldet werden. (Alle Änderungen und Anforderungen an Unternehmen zum neuen DSG finden Sie auf hier >>>)

Sind personenbezogene Daten in der Schweiz wie in der EU definiert oder gibt es hier Unterschiede?

Das Recht der Schweiz verwendet statt des Begriffs der personenbezogenen Daten den Begriff Personendaten. Darunter versteht man „alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen“. Dazu gibt es im nDSG, wie auch in der EU-DSGVO besonders schützenswerte Personendaten, wie z. B. Gesundheit, Religion und strafrechtliche Punkte. Diese sind aber nahezu identisch.

Können personenbezogene Daten einfach so in die EU übermittelt werden?

Die DSGVO gilt auch für Unternehmen, die lediglich Daten von EU-Bürgern zur Online-Nutzung oder zur Nutzung von Online-Medien und -Werbung erheben und verarbeiten. So müssen beispielsweise Anbieter von kostenlosen Webseiten und Apps, die auch von EU-Bürgern genutzt werden, einen Datenschutz-Vertreter in der EU bestimmen (Unternehmen mit Tochtergesellschaften in der EU benötigen diesen in der Regel nicht, da sie diese Aufgabe lokal delegieren können).

Im nDSG findet sich der Artikel 8 welche folgenden Aussagen beinhaltet:

Bekanntgabe von Personendaten ins Ausland

  1. Für die Bekanntgabe von Personendaten an die zuständigen Behörden von Schengen-Staaten dürfen nicht strengere Datenschutzregeln gelten als für die Bekanntgabe von Personendaten an schweizerische Strafbehörden.
  2. Die Bekanntgabe von Personendaten an einen Drittstaat oder an ein internationales Organ wird durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt.

Die Praxis zeigt momentan, dass einzig aus der EU eine Anfrage zur Löschung oder Bearbeitung kommen würde.

Und was ist bei der Übermittlung von Daten in die Schweiz zu beachten?

Am 1. März 2019 hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) über das Inkrafttreten des Schengen-Datenschutzgesetzes (SDSG) informiert. Nachdem das Schweizer Parlament die Aufspaltung der Revision des Datenschutzgesetzes in zwei Teile beschlossen hat, wurden nun die notwendigen Anpassungen an das europäische Recht, insbesondere die Umsetzung der RL (EU) 2016/680, vorgenommen.

Es ist vorgesehen das SDSG aufzuheben, sobald das neue Schweizer Datenschutzgesetz (DSG) in Kraft treten wird.

Wenn Schweizer Unternehmen nicht bereits von der DSGVO betroffen sind, müssen sie mit dem neuen DSG praktisch die gleichen Anforderungen erfüllen!

Wie ist die Vertreterregelung Schweizer Unternehmen innerhalb der EU geregelt?

Die Vertreterregelung für die EU wird mit der Aussage der gelegentlichen Verarbeitung bei KMUs noch relativ locker gehandhabt. Die ersten relevanten und zu Massnahmen geregelten Anfragen durch Betroffene fehlen noch.

Gibt es Elemente wie Auftragsverarbeitung oder Joint Control auch in der Schweiz?

Die Auftragsverarbeitung ist schon im aktuellen DSG geregelt und ist mit der DSGVO vergleichbar. Doch die Willkür von Joint Control wird voraussichtlich erst mit der Einführung der neuen DSG so richtig aufgedeckt.

Wie sieht es mit der Verpflichtung der Mitarbeiter zur Vertraulichkeit aus?

Momentan haben die meisten Firmen mit heiklen Daten eigene Regelungen auf Kundenwunschbasis. Der Mitarbeiter wird bei vielen Fällen in Verbindung mit einem Arbeitsvertrag in eine Verpflichtung genommen. Eine Verschärfung wird es sicher geben, schon aufgrund der organisatorischen Maßnahmen, so dass eine spezielle Verpflichtung sicher in den nächsten Jahren zur Pflicht werden wird.

Zusätzlich wurde das „kleine“ Berufsgeheimnis mittels Verletzung der beruflichen Schweigepflicht in Kapitel 8 dem Artikel 62 nDSG eingeführt. Folgendes wurde dabei bestimmt:

(1) Wer geheime Personendaten vorsätzlich offenbart, von denen sie oder er bei der Ausübung ihres oder seines Berufes, der die Kenntnis solcher Daten erfordert, Kenntnis erlangt hat, wird auf Antrag mit Busse bis zu 250 000 Franken bestraft.
(2) Gleich wird bestraft, wer vorsätzlich geheime Personendaten offenbart, von denen sie oder er bei der Tätigkeit für eine geheimhaltungspflichtige Person oder während der Ausbildung bei dieser Kenntnis erlangt hat.
(3) Das Offenbaren geheimer Personendaten ist auch nach Beendigung der Berufsausübung oder der Ausbildung strafbar.

Kann man den Bußgeldkatalog für die Schweiz mit dem der EU vergleichen?

Ein klares Nein. Es werden persönliche Bußgeldern an die verantwortliche Person, meistens die Geschäftsleitung, in der Höhe von CHF 250‘000.- und es wird nicht von Firmenbußgeldern in Prozent oder im Millionenbereich gesprochen. Das Bußgeld kann nicht versichert werden und parallel wird ein Strafverfahren von der Behörde eingeleitet.

Ist ein Schweizer Unternehmen ggf. mit einer Tochtergesellschaft in der EU angesiedelt, so gelten dann natürlich die Bußgeldhöhen der EU-DSGVO.

Müssen sich Schweizer Unternehmen auch an des Cookie Gesetz des EuGHs halten?

Als EU-Recht ist die Cookie-Richtlinie für Website-Betreiber in der Schweiz nicht direkt anwendbar. Da die meisten schweizerischen Websites aber Nutzerinnen und Nutzern aus der EU offenstehen, sowie Cookies verwenden, empfiehlt es sich auch für Website-Betreiber in der Schweiz, die Cookie-Richtlinie der EU umzusetzen.

In der EU-DSGVO ist dabei klar geregelt, wenn personenbezogene Daten von EU-Bürgern verarbeitet werden, dann muss sich auch an die dortige Gesetzgebung, also die Datenschutzgrundverordnung gehalten werden.

Fazit:

Das nDSG tritt definitiv am 1. September 2023 ohne eine Übergangslösung in Kraft. Die Punkte Bußgelder und die obligatorische Nennung eines Datenschutzbeauftragten gegenüber den Behörden und Kunden sind anders als in der DSGVO geregelt.

Es werden große Aufgaben auf Schweizer Unternehmen zukommen, wenn diese zukünftig das nDSG im Unternehmen umsetzen müssen. Einen erfahrenen Experten zur Unterstützung hinzuzuziehen, wird bei vielen einen Sinn ergeben.

Doch der Zeitplan wird enger und enger. Kontaktieren Sie uns, wenn Sie Unterstützung benötigen oder Fragen haben!

Zur ituso Schweiz GmbH >>>

Über René Schaufelberger

„Ich habe Spass am Leben und bei der Arbeit; weil alle Herausforderungen auch etwas Chaotisches an sich haben.“

Als noch der Name PET in der Informatikbranche mit Commodore in Verbindung war und nicht für das Plastikflaschen-Recycling galt, lernte ich die Welt der Informatik in meiner Jugendzeit von Grund auf kennen und lieben. Seitdem war ich als Selbständiger in zahlreichen Betrieben der Branchen Umwelt und IT tätig.

Vor einigen Jahren beschäftigte mich dann der Datenschutz und die Datensicherheit in Firmen. Konkret wurde ich vermehrt mit Fragen bombardiert und spezialisierte mich auf diesen Bereich.

Als Geschäftsführer der ituso Schweiz GmbH und Generalvertretung von DSM-Online.eu für die Schweiz und Liechtenstein unterstütze ich Unternehmen sowohl mit einer fundierten Datenschutzberatung als auch mit einem Datenschutzmanagementsystem aus erster Hand. Mit Erfahrung und Wissen für „das große Ganze“ sorge ich dafür, dass Ihr Betrieb jederzeit für ein Audit bereit ist. Weitere Informationen zu meinen Schwerpunkten finden Sie in meinem Profil.

Haben Sie Fragen zum Datenschutz in der Schweiz? Wir helfen gerne!

Kontaktformular

Name(erforderlich)
Hinweis auf Datenspeicherung(erforderlich)
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

ituso Network Partner

ituso Schweiz GmbH
Sonnenbergstrasse 23
CH-8610 Uster
Tel: +41 (0) 79 771 79 98
E-Mail: rene.schaufelberger@ituso.ch
Web: www.ituso.ch