01.03.2024

Das neue Schweizer Datenschutzrecht – Same same, but different?

A. Auf den Punkt.

Am 1. September 2023 ist das revidierte Schweizer Bundesgesetz über den Datenschutz (revDSG) einschließlich der Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) und der neuen Verordnung über Datenschutzzertifizierungen (VDZ) ohne Umsetzungsfrist in Kraft getreten. Das revDSG regelt den Umgang mit Personendaten. Es ist auch für deutsche Unternehmen von Bedeutung, die Geschäftsbeziehungen mit der Schweiz pflegen. Diese Bedeutung rührt aus der Anwendung des aus der Datenschutz-Grundverordnung (DSGVO) bekannten Marktortprinzips.

B. Hintergrund der Regelungen

Das ursprüngliche Datenschutzgesetz der Schweiz stammt aus dem Jahr 1992, als das Internet und datengetriebene Geschäfte noch nicht den Alltag beherrschten. Inzwischen haben sich die Technologien stark weiterentwickelt und das revDSG reagiert auf diese Veränderungen. Zudem zielt das neue Gesetz darauf ab, die Konformität mit EU-Recht, insbesondere der DSGVO, sicherzustellen.

C. Wen betrifft das neue Gesetz?

Das revDSG gilt für Datenschutzangelegenheiten, „die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst wurden“, also unabhängig von ihrem Ursprungsort. Damit wird nun auch in der Schweiz das Marktortprinzip kodifiziert. Danach ist für die Datenverarbeitung nicht maßgeblich, dass die Datenverarbeitung in der Schweiz erfolgt. Entscheidend ist die Ausrichtung der Datenverarbeitung auf die Schweiz. So kann das revDSG auch Nichtschweizer-Unternehmen betreffen, die Daten von Personen in der Schweiz verarbeiten.

Geschützt sind Personendaten, also alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dies entspricht dem bereits aus der DSGVO bekannten Begriff der personenbezogenen Daten. (Nicht personenbezogene) Sachdaten sind bei beiden Begrifflichkeiten vom Schutz ausgenommen.

Auch ein Unternehmen, welches im Rahmen der Auftragsverarbeitung solche Daten verarbeitet, muss sich an die Bestimmungen des revDSG halten. Der Auftragsbearbeiter des revDSG entspricht dem Auftragsverarbeiter in der DSGVO. Geregelt werden im revDSG auch die Voraussetzungen, bei deren Vorliegen eine Auftragsbearbeitung überhaupt erst zulässig ist.

In Harmonisierung mit der DSGVO schützt das revDSG nur noch natürliche Personen, deren Personendaten bearbeitet werden. Daten von juristischen Personen werden vom revDSG nicht mehr erfasst. Unternehmen genießen aber nach wie vor Schutz aus u.a. dem Persönlichkeitsrecht, dem Geschäfts- und Fabrikationsgeheimnis sowie dem Wettbewerbs- und Kartellrecht.

D. Welche (neuen) Anforderungen werden gestellt?

Das revDSG baut auf einem anderen regelungstechnischen Ansatz auf als die DSGVO. Während die DSGVO die Verarbeitung von personenbezogenen Daten grundsätzlich verbietet und nur bei einer einschlägigen Rechtsgrundlage erlaubt, ist nach dem revDSG die Datenverarbeitung grundsätzlich erlaubt, soweit die gesetzlichen Anforderungen erfüllt werden.

I. Anforderungen an die Datenverarbeitung

Die wohl größte Neuerung für das Schweizer Datenschutzrecht stellt die allgemeine umfassende Informationspflicht bei der sog. Bearbeitung von Personendaten dar. Diese war zuvor nur bei besonders sensiblen Daten Pflicht. Die betroffene Person muss auch informiert werden, wenn die Daten über Dritte eingeholt werden oder automatisierte Einzelentscheidungen erfolgen. Das revDSG sieht jedoch auch Ausnahmen für die Informationspflicht vor, etwa für die gesetzlich vorgeschriebene Bearbeitung. Eine ausdrückliche Einwilligung ist nur Pflicht für die Bearbeitung von besonderes schützenswerten Personendaten, Profiling mit hohem Risiko durch Unternehmen und Profiling durch Bundesorgane. Zu den besonders schützenswerten Personendaten gehören neuerdings auch genetische und biometrische Daten.

Grundsätzlich hat die Bearbeitung von Personendaten nach dem neuen revDSG rechtmäßig, nach Treu und Glauben und verhältnismäßig zu erfolgen. Über die Bearbeitung ist ein Verzeichnis zu erstellen. Kleinere Unternehmen mit bis zu 250 Mitarbeitern, welche nur Daten mit geringem Potenzial für Persönlichkeitsrechtsverletzungen bearbeiten, sind hiervon befreit. Im Übrigen ist das sog. Bearbeitungsverzeichnis mit dem Verarbeitungsverzeichnis gemäß der DSGVO vergleichbar. Im Bereich der Technikgestaltung müssen Unternehmen datenschutzfreundliche Voreinstelllungen treffen und die Datenbearbeitungsgrundsätze ab der Planung berücksichtigen ("Privacy by Default“ und "Privacy by Design").

Wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person birgt, muss gemäß revDSG im Vorhinein eine Datenschutz-Folgenabschätzung erstellt werden. Wird die Datensicherheit verletzt, so muss der Verantwortliche dies dem eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) – ähnlich der DSGVO, aber ohne dessen starrer Frist von 72 Stunden – schnellstmöglich melden.

II. Auslandstransfers der Daten

Die Rechtmäßigkeit der Weitergabe von Personendaten ins Ausland ist ähnlich wie in der DSGVO geregelt. Der Schweizer Bundesrat hat festgelegt, welche Staaten ein aus Schweizer Sicht angemessenes Datenschutzniveau gewährleisten und diese Staatenliste wurde als Anlage 1 zur DSV veröffentlicht. Bei Staaten, für die kein solcher Angemessenheitsbeschluss vorliegt, kann ein angemessener Schutz durch geeignete Garantien sichergestellt werden. In Betracht kommen hierfür z. B. Datenschutzklauseln in einem spezifischen Vertrag, die dem EDÖB mitgeteilt wurden oder durch den EDÖB genehmigte Standarddatenschutzklauseln.

Strenger ist das revDSG im Hinblick auf die Informationspflichten bei einem Auslandstransfer. Dem Betroffenen muss immer der Staat oder das internationale Organ, dem die Daten bereitgestellt werden, sowie die rechtliche Grundlage für den Datentransfer mitgeteilt werden. Dies gilt selbst für den Fall, dass der Bundesrat das Datenschutzniveau für angemessen hält.

III. Betroffenenrechte

Wenig Unterschiede zur DSGVO bestehen bei den Betroffenenrechten. Das revDSG sieht ein Auskunfts- und Herausgabe- bzw. Übertragungsrecht vor. Neu ist, dass Personendaten nun auch in einem gängigen elektronischen Format zur Verfügung gestellt werden müssen (Datenportabilität). Einen eigenen Löschungsanspruch sieht das revDSG im Gegensatz zur DSGVO nicht vor, er kann sich aber aus dem allgemeinen Schweizer Zivilrecht ergeben. Nur in Ausnahmefällen und nur mit sachlicher Begründung kann der Verantwortliche die Auskunft verweigern, einschränken oder aufschieben, etwa aufgrund überwiegender privater oder öffentlicher Interessen.

IV. Pflicht zur Bestellung einer Vertretung für die Schweiz

Unter bestimmten Voraussetzungen müssen auch deutsche Unternehmen eine Vertretung für die Schweiz bestimmen, welche als Anlaufstelle für den EDÖB dient und weitere Pflichten erfüllen muss. Dies ist der Fall, wenn das Unternehmen regelmäßig und umfangreich personenbezogene Daten im Zusammenhang mit dem Angebot von Waren, Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz verarbeitet und diese Verarbeitung ein hohes Risiko für die Persönlichkeit der betroffenen Person mit sich führt. Eine generelle Pflicht für Unternehmen, ab einer bestimmten Unternehmensgröße einen Datenschutzbeauftragten zu ernennen, kennt das revDSG im Gegensatz zur DSGVO nicht, hier bleibt es bei einer einfachen Empfehlung. Die Ernennung eines Datenschutzbeauftragten führt jedoch zu einigen Erleichterungen bei der Rechtmäßigkeit der Bearbeitung von Personendaten.

V. Die neuen Aufgaben des EDÖB

Das revDSG hat die Stellung des EDÖB im Schweizer Datenschutzrecht angepasst: Dieser kann nun selbstständig verwaltungsrechtliche Verfahren durchführen, welche darauf abzielen, eine konkrete Datenbearbeitung anzupassen, einzustellen oder zu unterbrechen oder gewisse Daten zu löschen. Ihm kommt eine Untersuchungskompetenz und -pflicht bei Verstößen gegen das revDSG zu. Strafrechtlich relevante Verstöße kann er allerdings nur anzeigen, ein Strafantragsrecht steht ihm nicht zu. Zu seinen Aufgaben gehört auch die Information der Öffentlichkeit und die Beratung von Unternehmen sowie der staatlichen Organe. Für seine Inanspruchnahme kann er grundsätzlich Gebühren erheben.

VI. Sanktionen bei Verstößen

Echte Neuerungen gibt es im Bereich der Sanktionen bei Verstößen: Unter Strafe stehen nur vorsätzliche Verstöße. Die Bußgelder in Höhe von bis zu 250 000 Schweizer Franken richten sich grundsätzlich an die natürliche Person, die den Verstoß begangen hat. Nur in Ausnahmefällen kann auch das Unternehmen belangt werden. Für die Ahndung von Verstößen sind die kantonalen Strafverfolgungsbehörden zuständig, der EDÖB kann hierbei nur Strafanzeige erstatten und die Rechte eines Privatklägers ausüben.

E. Unser Kommentar

Das revDSG ist eine notwendige Aktualisierung des Schweizer Datenschutzrechts angesichts technologischer Fortschritte und dem Erfordernis zur Angleichung an globale, insbesondere europäische Datenschutzvorgaben nach der DSGVO. Das revDSG fördert damit die Wettbewerbsfähigkeit von Schweizer Unternehmen und schützt den freien Datenverkehr mit der EU. So hat die EU-Kommission jüngst den Angemessenheitsbeschluss am 15. Januar 2024 im Rahmen der Überprüfung der Angemessenheitsbeschlüsse bestätigt und dabei ausdrücklich auf das höhere Datenschutzniveau durch das aktualisierte Bundesdatenschutzgesetz verwiesen. Von dieser Bestätigung profitieren auch europäische Unternehmen, da die Bestätigung die bestehende Wirtschaftsbeziehung zwischen Unternehmen der EU und der Schweiz sicherstellt, indem die Schweiz weiterhin ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten aus der EU gewährleistet.

Der Umsetzungsaufwand des revDSG hängt vom aktuellen Datenschutzstand im Unternehmen ab. Die gute Nachricht für deutsche Unternehmen: aufgrund der starken Anlehnung an die DSGVO werden Unternehmen, die ihre Datenschutzorganisation bereits an die DSGVO angepasst haben, nur kleine Anpassungen vorzunehmen haben. Der „große Knall“, wie bei Einführung der DSGVO, ist daher bislang ausgeblieben. Gleichwohl ist neben der DSGVO auch das revDSG nun von Unternehmen in der EU zu berücksichtigen, sofern das Unternehmen seine Datenverarbeitung (auch) auf die Schweiz ausrichtet.

Deutsche Unternehmen, welche Geschäftsbeziehungen auch in die Schweiz pflegen, sollten daher prüfen, inwieweit sie den veränderten Anforderungen des revDSG gerecht werden. Insbesondere folgende Punkte sollten überarbeitet werden, auch wenn das Unternehmen den Anforderungen der DSGVO schon genügt:

  • Prüfung, ob eine Vertretung für die Schweiz bestellt werden muss;
  • Einarbeitung bzw. Neuerstellung einer auf die revDSG ausgelegten Datenschutzerklärung, welche auch auf die Bearbeitung nach dem revDSG hinweist und über die Bearbeitung von Personendaten informiert. Insbesondere bei Auslandstransfers von Personendaten müssen die strengeren Anforderungen an die Informationspflicht beachtet werden;
  • Auslandtransfers von Personendaten sollten auf Ihre Konformität mit der Liste der Länder mit angemessenem Datenschutzniveau des Schweizer Bundesrats abgeglichen werden und bei fehlender Übereinstimmung ist der Datenschutz durch alternative Garantien zu gewährleisten;
  • Schulung der Mitarbeiter bzgl. des revDSG, insbesondere im Hinblick auf die persönliche strafrechtliche Verantwortbarkeit

Bei Fragen zum Anpassungsbedarf an das revDSG stehen wir Ihnen gerne zur Verfügung.