Die Schweiz und der Datenschutz: Warum das neue DSG für schweizer Unternehmen so wichtig ist

Herr Schaufelberger, erzählen Sie uns vom Datenschutz in der Schweiz. An welche Gesetze müssen sich schweizer Unternehmen halten?

Die Basis für schweizer Unternehmen ist das Schweizer Datenschutzgesetz (DSG). Daneben existiert, gestützt auf das Datenschutzgesetz vom Bundesrat erlassene Verordnung, die Verordnung zum Bundesgesetz über den Datenschutz (VDSG).

Und wie sieht die Datenschutzsituation aktuell in der Schweiz aus?

In der Schweiz leben wir mit dem veralteten DSG, welches am 1. Juli 1993 in Kraft getreten ist. Das Bundesgesetz über den Datenschutz (DSG) ist ein Rahmengesetz und erlaubt als solches einen großen Spielraum bei der Beurteilung von Daten- und Persönlichkeitsschutzschutzverletzungen. Es ist daher oft nicht möglich, umfassende allgemeine Aussagen zu machen.

Am 1. März 2019 ist zusätzlich das Schengen-Datenschutzgesetz (SDSG) in Kraft getreten, um den Übergang im bilateralen Abkommen zu gewährleisten.

Welchen Einfluss hat die EU-Datenschutzgrundverordnung auf den Datenschutz in der Schweiz und gilt die EU-DSGVO auch in der Schweiz?

Im Rahmen seiner Beratungen zur Revision des Datenschutzgesetzes beschloss das Parlament, die Vorlage zur Totalrevision des DSG in zwei Teile aufzuspalten und in einem ersten Schritt die Änderungen zu behandeln, die für die Übernahme des Schengen-Besitzstands erforderlich sind.

Gerade grenzbezogene Details wurden mit dem Schengen-Datenschutzgesetz geregelt. Der EDÖB (Eidgenössische Datenschutz und Öffentlichkeitsbeauftragte) erhält im Rahmen der Anwendung des Schengen-Besitzstands in Strafsachen Untersuchungs- und Verfügungskompetenzen. Schweizer Firmen, welche personenbezogenen Daten in Verbindung mit der EU nutzen, werden in die Pflicht genommen.

Deshalb ja, die DSGVO gilt im Grenzverkehr mit personenbezogenen Daten auch in der Schweiz.

Wie ist der Stand in der Schweiz bezüglich der neuen Gesetzgebung?

Mit der Botschaft des Bundesrates vom 15. September 2017 befindet sich das DSG in der Revision, ein vorhandener Revisionsentwurf wird aktuell im Parlament besprochen.

Das Datenschutzgesetz ist in der aktuellen Session im Parlament traktandiert. Im nächsten Jahr müssen sich die Räte dann einigen. Die EU überprüft nämlich bis im Mai 2020, ob der Datenschutz in der Schweiz noch gleichwertig ist mit ihrem eigenen. Das wäre derzeit nicht der Fall.

Ändert die Schweiz ihre Bestimmungen nicht, drohen hiesigen Unternehmen grosse Wettbewerbsnachteile, wie Justizministerin Karin Keller-Sutter zu bedenken gab. Für die Firmen würde ein Austausch von Daten mit Betrieben in der EU schwierig.

Welche wesentlichen Unterschiede gibt es vom Schweizer DSG zur EU DSGVO?

Bußgelder für Datenschutzsünder sind beispielsweise nicht definiert, sowie die wahren Pflichten von Datenschutzbeauftragten bei Firmen und Firmenvertretern gegenüber Aufsichtsbehörden.

Sind personenbezogene Daten in der Schweiz wie in der EU definiert oder gibt es hier Unterschiede?

Das Recht der Schweiz verwendet statt des Begriffs der personenbezogenen Daten den Begriff Personendaten. Darunter versteht man „alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen“. Dazu gibt es im CH-DSG, wie auch in der EU-DSGVO besonders schützenswerte Personendaten, wie z.B. Gesundheit, Religion und strafrechtliche Punkte. Diese sind aber nahezu identisch.

Können personenbezogene Daten einfach so in die EU übermittelt werden?

Die DSGVO gilt auch für Unternehmen, die lediglich Daten von EU-Bürgern zur Online-Nutzung oder zur Nutzung von Online-Medien und -Werbung erheben und verarbeiten. So müssen beispielsweise Anbieter von kostenlosen Webseiten und Apps, die auch von EU-Bürgern genutzt werden, einen Datenschutz-Vertreter in der EU bestimmen (Unternehmen mit Tochtergesellschaften in der EU benötigen diesen in der Regel nicht, da sie diese Aufgabe lokal delegieren können).

Im SDSG-CH findet sich der Artikel 8 welche folgenden Aussagen beinhaltet:

Bekanntgabe von Personendaten ins Ausland

1. Für die Bekanntgabe von Personendaten an die zuständigen Behörden von Schengen-Staaten dürfen nicht strengere Datenschutzregeln gelten als für die Bekanntgabe von Personendaten an schweizerische Strafbehörden.

2. Die Bekanntgabe von Personendaten an einen Drittstaat oder an ein internationales Organ wird durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt.

Die Praxis zeigt momentan, dass einzig aus der EU eine Anfrage zur Löschung oder Bearbeitung kommen würde.

Und was ist bei der Übermittlung von Daten in die Schweiz zu beachten?

Am 1. März 2019 hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) über das Inkrafttreten des Schengen-Datenschutzgesetzes (SDSG) informiert. Nachdem das Schweizer Parlament die Aufspaltung der Revision des Datenschutzgesetzes in zwei Teile beschlossen hat, wurden nun die notwendigen Anpassungen an das europäische Recht, insbesondere die Umsetzung der RL (EU) 2016/680, vorgenommen.

Es ist vorgesehen das SDSG aufzuheben, sobald das neue Schweizer Datenschutzgesetz (DSG) in Kraft treten wird. Der Abschluss der Revision des DSG ist voraussichtlich für das Jahr 2020 geplant. Die Revision soll das Schweizer DSG kompatibel zur DSGVO machen, damit ein einheitliches Datenschutzniveau gewährleistet wird.

Wenn Schweizer Unternehmen nicht bereits von der DSGVO betroffen sind, müssen sie mit dem neuen DSG praktisch die gleichen Anforderungen erfüllen!

Wie ist die Vertreterregelung schweizer Unternehmen innerhalb der EU geregelt?

Die Vertreterregelung für die EU wird mit der Aussage der gelegentlichen Verarbeitung bei KMUs noch relativ locker gehandhabt. Die ersten relevanten und zu Massnahmen geregelten Anfragen durch Betroffene fehlen noch.

Gibt es Elemente wie Auftragsverarbeitung oder Joint Control auch in der Schweiz?

Die Auftragsverarbeitung ist schon im aktuellen DSG geregelt und ist mit der DSGVO vergleichbar. Doch die Willkür von Joint Control wird voraussichtlich erst mit der Einführung der neuen DSG so richtig aufgedeckt.

Wie sieht es mit der Verpflichtung der Mitarbeiter zur Vertraulichkeit aus?

Momentan haben die meisten Firmen mit heiklen Daten eigene Regelungen auf Kundenwunschbasis. Der Mitarbeiter wird bei vielen Fällen in Verbindung mit einem Arbeitsvertrag in eine Verpflichtung genommen. Eine Verschärfung wird es sicher geben, schon aufgrund der organisatorischen Maßnahmen, so dass eine spezielle Verpflichtung sicher in den nächsten Jahren zur Pflicht werden wird.

Kann man den Bußgeldkatalog für die Schweiz mit dem der EU vergleichen?

Im Moment ist noch nichts entschieden. Jedoch wird von persönlichen Bußgeldern der Geschäftsleitung in der Höhe von CHF 250‘000.- diskutiert und nicht von Firmenbußgeldern in Prozent oder im Millionenbereich.

Ist ein Schweizer Unternehmen ggf. mit einer Tochtergesellschaft in der EU angesiedelt, so gelten dann natürlich die Bußgeldhöhen der EU-DSGVO.

Müssen sich schweizer Unternehmen auch an des Cookie Gesetz des EuGHs halten?

Als EU-Recht ist die Cookie-Richtlinie für Website-Betreiber in der Schweiz nicht direkt anwendbar. Da die meisten schweizerischen Websites aber Nutzerinnen und Nutzern aus der EU offenstehen, sowie Cookies verwenden, empfiehlt es sich auch für Website-Betreiber in der Schweiz, die Cookie-Richtlinie der EU umzusetzen.

In der EU-DSGVO ist dabei klar geregelt, wenn personenbezogene Daten von EU-Bürgern verarbeitet werden, dann muss sich auch an die dortige Gesetzgebung, also die Datenschutzgrundverordnung gehalten werden.