Das neue Schweizer Datenschutzgesetz (DSG)

Im September 2023 trat das neue Bundesgesetz über den Datenschutz der Schweiz (DSG) in Kraft. Es wurde am 25. September 2020 verabschiedet und ersetzte das bisherige Gesetz von 1992, da die seitdem fortgeschrittene Digitalisierung des alltäglichen Lebens und die zunehmende Nutzung von Technologie die Überarbeitung und Aktualisierung notwenig machte.

Die neue Version des DSG legt ihren Schwerpunkt auf den Datenschutz auf individueller Ebene; auf den Schutz von Daten natürlicher Personen. Dieser strategische Wandel unterstreicht die Relevanz, den Datenschutz auf persönlicher Basis zu verstärken und individuelle Rechte sowie Privatsphäre umfassender zu gewährleisten.

Darüber hinaus sollte das DSG an das EU-Recht, die Datenschutzgrundverordnung (DSGVO) angeglichen werden, sodass der freie Datenverkehr mit der Europäischen Union erhalten werden kann und Schweizer Unternehmen nicht an Wettbewerbsfähigkeit einbüssen müssen. Das bedeutet u.a., dass nun auch im Schweizer Datenschutzgesetz die Notwendigkeit niedergeschrieben ist, eine aktuelle Datenschutzerklärung vorzuweisen und in bestimmten Fällen eine Einwilligung einzuholen. Im vorliegenden Artikel werden wir darauf ausführlicher eingehen.

Brauchen Sie Hilfe im Umgang mit dem schweizerischen Datenschutzgesetz? Dann vereinbaren Sie ein kostenloses Erstgespräch oder laden Sie sich kostenlos unsere Checkliste hier herunter. 

I. Was beinhaltet das DSG? Ein einführender Überblick

Das DSG gilt sowohl für physische als auch für elektronische Daten. Es schützt die Rechte der Schweizer Bürger auf Datenschutz und vor einer Datenschutzverletzung durch einen übermäßigen Zugriff auf ihre personenbezogenen Daten oder deren Verwendung. In der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) dafür zuständig, Unternehmen und Organisationen und deren Einhaltung des Bundesdatenschutzgesetz (DSG) zu überwachen.

Wenn Sie Nutzer aus der Schweiz haben, sind Sie verpflichtet, das neue Datenschutzgesetz der Schweiz einzuhalten. Die gute Nachricht ist jedoch, dass Sie, wenn Sie bereits die EU-DSGVO einhalten, mit ziemlicher Sicherheit auch das Schweizer DSG einhalten. Andersherum bedeutet das aber auch, dass wenn Ihre Website in der Schweiz gehostet wird, aber Besucher aus der EU hat, Sie ebenso die EU-Datenschutzgrundverordnung (DSGVO) einhalten müssen.

Das DSG soll den kontinuierlichen und sicheren Datenverkehr zwischen der Schweiz und der EU und dem EWR gewährleisten, obwohl die Schweiz weder Mitglied der EU noch des EWR ist. Es verbietet die Übermittlung personenbezogener Daten aus der Schweiz in Länder, mit denen keine Angemessenheitsvereinbarung besteht, d. h. in Länder, die kein angemessenes Datenschutzniveau gewährleisten (Art. 16). Solche Übermittlungen sind jedoch weiterhin möglich, wenn die betroffenen Personen ihre Einwilligung dazu gegeben haben (Art. 17).

Das DSG legt mehrere Grundsätze für die Datenbearbeitung fest (Art. 4):

1. Personendaten dürfen nur rechtmäßig verarbeitet werden

2. Die Verarbeitung muss nach Treu und Glauben erfolgen und verhältnismäßig sein

3. Die Verarbeitung darf nur zu dem bei der Erhebung angegebenen Zweck erfolgen, der sich aus den Umständen ergibt oder gesetzlich vorgesehen ist

4. Die Erhebung personenbezogener Daten, insbesondere der Zweck der Verarbeitung, muss für die betroffene Person erkennbar sein

5. Die Daten werden gelöscht oder anonymisiert, sobald sie für die Zwecke der Verarbeitung nicht mehr benötigt werden

6. Ist für die Verarbeitung personenbezogener Daten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie freiwillig und nach angemessener Unterrichtung erteilt wird

7. Im Falle der Verarbeitung von sensiblen Personendaten oder von Persönlichkeitsprofilen muss die Einwilligung ausdrücklich erteilt werden

Die betroffenen Personen müssen über alle Fälle der Erfassung und Verwendung ihrer personenbezogenen Daten informiert werden, unabhängig davon, ob diese direkt oder indirekt erfasst werden. Organisationen müssen außerdem ein Verzeichnis der Verarbeitungstätigkeiten führen. Zudem tragen sowohl die für die Verarbeitung Verantwortlichen als auch die Auftragsverarbeiter Verantwortung für den Datenschutz, insbesondere im Hinblick auf den Zugang zu den Daten durch Dritte, z. B. Verkäufer.

Ebenso werden die Prinzipien Privacy by Design und Privacy by Default neu eingeführt: Dies verpflichtet die Unternehmen, die Grundsätze der Datenverarbeitung bereits bei der Planung und Gestaltung von Apps zu berücksichtigen und nicht erst im Nachhinein zu versuchen, Daten zu sichern und zu schützen. Sie dürfen auch keine Standardeinstellungen, z. B. von Web-Technologien verwenden, um die Einwilligung der Betroffenen zu mehr Datenverarbeitung als unbedingt erforderlich einzuholen.

Darüber hinaus gilt nun das Konzept der Profilerstellung, d. h. der automatisierten Verarbeitung personenbezogener Daten (Art. 5 lit. f), was ein gutes Beispiel für ein neues, technologiegetriebenes Anliegen ist, mit dem sich das Gesetz befassen muss.

II. Kerndefinitionen und Begrifflichkeiten des DSG

Das DSG definiert einige Grundbegriffe, die für das Verständnis der eigenen Rolle als datenverarbeitendes Unternehmen wichtig sind:

Verarbeitung: Gemäß Art. 5 wird „Verarbeitung” definiert als: „jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten”.

Verantwortliche: „private Person oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet”. Der für die Verarbeitung „Verantwortliche” ist derjenige, der die Daten sammelt und verarbeitet, der die Sammlung und Verarbeitung der Daten leitet und der für den korrekten und datenschutzkonformen Umgang mit den Daten verantwortlich ist.

Verarbeitung durch Dritte: Die Verarbeitung personenbezogener Daten kann durch Dritte (nicht durch den Verantwortlichen) erfolgen, wenn dies entweder gesetzlich erlaubt ist oder vertraglich vereinbart wurde und wenn (Art. 9):

1. die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und

2. keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.

Darüber hinaus können Dritte die gleiche Rechtfertigung (Rechtsgrundlage) für die Datenverarbeitung geltend machen wie der Auftraggeber.

Personendaten: In Übereinstimmung mit vielen anderen Datenschutzgesetzen definiert das Schweizer DSG personenbezogene Daten oder Informationen („Personendaten”) als „alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen”. Dazu können offensichtlich identifizierende Informationen wie ein Name oder eine E-Mail-Adresse gehören, aber auch Informationen wie die IP-Adresse, zumal sie in Kombination mit anderen personenbezogenen Daten identifizierend wirken kann.

Sensible Personendaten: Art. 5 lit. c definiert diese Art von Daten wie folgt

1. Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten

2. Daten über die Gesundheit, Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,

3. Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,

4. Daten über Maßnahmen der sozialen Hilfe

5. Genetische Daten,

6. Biometrische Daten, die eine natürliche Person eindeutig identifizieren

Die letzten beiden aufgelisteten Arten sensibler personenbezogener Daten wurden in das revidierte DSG aufgenommen; die vorangegangenen vier Arten waren bereits im alten Gesetz enthalten.

Die Nutzer müssen um eine ausdrückliche Bestätigung gebeten werden, dass sie über den Zugang zu ihren sensiblen Personendaten und deren Verwendung informiert wurden und damit einverstanden sind, z. B. durch Anklicken einer Checkbox. Dazu weiter unten mehr.

Wann ist das Schweizer DSG nicht anwendbar? Das DSG ist nicht anwendbar auf:

1. Personendaten, die von einer natürlichen Person ausschließlich zum persönlichen Gebrauch verarbeitet und nicht an Außenstehende bekannt gegeben werden

2. Beratungen in der Bundesversammlung und in parlamentarischen Kommissionen

III. Welche Neuerungen bringt das DSG?

Das DSG führt folgende wesentliche Veränderungen für Unternehmen ein:

Nur noch die Daten natürlicher Personen sind künftig betroffen, die von juristischen Personen nicht mehr.

Genetische und biometrische Daten werden in die Definition der besonders schützenswerten Daten aufgenommen.

Erweiterte Befugnisse und verschärfte Strafen: Der Einzelne hat mehr Möglichkeiten, die Bearbeitung seiner Personendaten einzuschränken oder abzulehnen. Der EDÖB hat erweiterte Durchsetzungsbefugnisse bei Gesetzesverstößen, und die Behörden können strengere Strafen verhängen.

Die Grundsätze "Privacy by Design" und "Privacy by Default" werden eingeführt. Wie der Name bereits andeutet, bedeutet "Privacy by Design" (Datenschutz durch Technikgestaltung) für die Entwickler, den Schutz und den Respekt der Privatsphäre der Nutzerinnen und Nutzer in die Struktur der Produkte oder Dienstleistungen einzubauen, welche personenbezogene Daten sammeln werden. Der Grundsatz "Privacy by Default" (Datenschutz durch Voreinstellung) stellt sicher, dass schon beim Inverkehrbringen des Produktes oder der Dienstleistung die höchste Sicherheitsstufe vorhanden ist, indem standardmässig, also ohne Eingreifen der Nutzer, alle nötigen Massnahmen für den Datenschutz und die Einschränkung der Datennutzung aktiviert sind. Anders gesagt, müssen sämtliche Software, Hardware sowie die Dienstleistungen so konfiguriert sein, dass die Daten geschützt sind und die Privatsphäre der Nutzer gewahrt wird.

Die beiden Grundsätze verlangen von Entwicklern, höchste Datenschutzstandards von Anfang an in Produkte und Dienstleistungen zu integrieren. Dadurch wird gewährleistet, dass Datenschutz nicht nur nachträglich, sondern bereits während der Entwicklung als zentrale Säule implementiert wird.

Erhöhte Anforderungen an die Einwilligung: Das aktualisierte Gesetz schenkt der Sensibilisierung und Aufklärung der Betroffenen über die Erfassung und Verwendung ihrer personenbezogenen Daten größere Aufmerksamkeit. Organisationen müssen ihre Nutzer klar und deutlich über die erfassten Daten, den Zweck der Erfassung usw. sowie über die Rechte der Nutzer und die Möglichkeiten, diese auszuüben, informieren. Die Anforderungen an die Einwilligung werden zudem auf mehr Fälle ausgedehnt.

Folgenabschätzungen müssen durchgeführt werden, sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht.

Die Informationspflicht wird ausgeweitet: Bei jeder Beschaffung von Personendaten – und nicht mehr nur von sogenannten besonders schützenswerten Daten – muss die betroffene Person vorgängig informiert werden.

Ein Verzeichnis der Bearbeitungstätigkeiten wird obligatorisch. Die Verordnung zum Gesetz sieht jedoch eine Ausnahme für KMU vor, deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt.

Benachrichtigung über Datenschutzverletzungen: Organisationen sind dazu verpflichtet, ihre Nutzer und andere relevante Interessengruppen so schnell wie möglich über eine Datenverletzung oder eine damit verbundene Verletzung zu informieren. Auch der EDÖB muss unverzüglich benachrichtigt werden. Es gibt klare und spezifische Anforderungen an die Informationen, die über die Verletzung mitgeteilt werden müssen.

Der Begriff Profiling (die automatisierte Bearbeitung personenbezogener Daten) wurde in das Gesetz aufgenommen. Die Integration des Begriffs "Profiling" in das Schweizer Datenschutzgesetz unterstreicht die Bedeutung der automatisierten Bearbeitung von Personendaten. Die Aufnahme dieses Begriffs verdeutlicht die Notwendigkeit, einen effektiven Schutz vor unerwünschtem oder diskriminierendem Profiling, zum Beispiel in Bewerbungsprozessen, zu gewährleisten.

Auf der Website des EDÖB (Das neue Datenschutzgesetz) finden sich ausführlichere Informationen zu den durch das DSG eingeführten Veränderungen. 

IV. Die (neuen) Rechte der Schweizer Bürger

Früher galt das DSG sowohl für natürliche als auch für juristische Personen. Das revidierte DSG gilt nur noch für natürliche Personen und Bundesbehörden. Nach Schweizer Recht ist eine juristische Person eine menschliche oder nichtmenschliche Einheit (z. B. ein Unternehmen oder eine andere Organisation), die für bestimmte rechtliche Zwecke wie eine Person behandelt wird. Dazu gehören z. B. der Besitz von Eigentum, der Abschluss von Verträgen sowie das Einklagen oder das Verklagt werden.

Betroffene Personen können leichter Auskunftsanfragen stellen, um ihre gesetzlich verankerten Rechte wahrzunehmen. Das Verfahren, mit dem Einzelpersonen bei jeder Organisation Einzelheiten über ihre personenbezogenen Daten anfordern können, wurde gestrafft.

Recht auf Auskunft: Jede betroffene Person kann Auskunft darüber verlangen, ob Daten über sie verarbeitet werden oder wurden, und jede betroffene Person kann Zugang zu diesen Daten verlangen. Die Daten müssen schriftlich (in gedruckter oder fotokopierter Form) und unentgeltlich zur Verfügung gestellt werden. Auf das Recht auf Auskunft kann nicht im Voraus verzichtet werden.

Recht auf Berichtigung: Betroffene Personen haben auch das Recht, die Berichtigung ihrer personenbezogenen Daten zu verlangen, wenn diese unrichtig oder unvollständig sind. Unter bestimmten Umständen können diese Anträge jedoch eingeschränkt, abgelehnt oder aufgeschoben werden (Art. 32).

V. Welche Rechtsgrundlage gilt beim DSG bzw. wann ist eine Einwilligung erforderlich?

Die Einwilligung als Rechtsgrundlage

Die DSGVO beruht auf dem Grundsatz der „Rechtmäßigkeit der Verarbeitung”, der für die meisten Verarbeitungen personenbezogener Daten eine Rechtsgrundlage oder Rechtfertigung verlangt. Die Einwilligung ist eine dieser Rechtsgrundlagen.

Das DSG funktioniert insofern etwas anders, als dass Einzelpersonen (natürliche Personen), Organisationen (nicht kommerzielle Einrichtungen) und Unternehmen (kommerzielle Einrichtungen) personenbezogene Daten im Allgemeinen ohne eine spezifische Rechtsgrundlage verarbeiten dürfen, sofern die Verarbeitung nicht bestimmte Kriterien erfüllt.

Eine Einwilligung ist erforderlich für:

• die Verarbeitung sensibler personenbezogener Daten

• die Verarbeitung zur Erstellung von Profilen mit hohem Risiko durch einen Datenschutzbeauftragten

• die Verarbeitung zur Profilerstellung durch eine Bundesbehörde (Regierung)

• Datenübermittlungen in Drittländer, in denen kein angemessener Datenschutz besteht

• die Verarbeitung für andere Zwecke als die ersichtlichen

• die Verarbeitung für einen längeren Zeitraum als angegeben (Art. 6)

Das DSG ist folglich ein Gesetz, das ein „Opt-In-Verfahren” nutzt, d. h. wenn eine Rechtsgrundlage erforderlich ist, müssen Organisationen die gültige Einwilligung der Nutzer vor oder zum Zeitpunkt der Datenerhebung einholen.

Wichtig zu beachten ist: Auch wenn für die Verarbeitung keine Einwilligung erforderlich ist, müssen die betroffenen Personen nach dem DSG informiert werden. Sie müssen vor oder zum Zeitpunkt der Datenerhebung benachrichtigt werden, unabhängig davon, ob eine Rechtsgrundlage erforderlich ist. Wenn eine Rechtsgrundlage erforderlich ist, muss der Verantwortliche mitteilen, um welche es sich handelt.

In all diesen Szenarien ermöglicht eine Consent Management-Lösung (CMP) die Einhaltung der Vorschriften, indem sie die erforderliche Benachrichtigung bereitstellt und eine gültige Einwilligung einholt. Am Ende dieses Artikels finden Sie weitere Informationen zu CMP-Lösungen und wie wir Ihnen konkret weiterhelfen können.

Klare Kommunikation

Unternehmen müssen die folgenden Informationen klar kommunizieren, z. B. in der Datenschutzerklärung auf der Website (Art. 8, Art. 18a), ob eine Rechtsgrundlage erforderlich ist oder nicht. Diese Kriterien sind jedoch auch für die Gültigkeit der Einwilligung erforderlich:

• Identität des Verantwortlichen, sei es das Unternehmen oder eine dritte Partei

• Kontaktdaten des Verantwortlichen

• Identität des Datenempfängers und aller anderen Parteien, die an der Datenverarbeitung beteiligt sind

• Empfängerland, wenn die Daten grenzüberschreitend übermittelt werden

• Zweck(e) der Datenerhebung und -verwendung

• Kategorien der erhobenen Daten, falls zutreffend

• Mittel der Datenerhebung, falls zutreffend

• Die Rechtsgrundlage für die Verarbeitung, falls erforderlich

• Rechte der Nutzer in Bezug auf ihre personenbezogenen Daten im Rahmen des DSG, einschließlich des Rechts, die Einwilligung zu verweigern oder zu widerrufen

Rechtsgrundlagen für Datenübermittlungen an Dritte

Privatpersonen können Dritte beauftragen, Daten in ihrem Namen zu verarbeiten, sofern keine Geheimhaltungspflichten verletzt werden. Jede Rechtsgrundlage, die der Verantwortliche geltend macht, kann von diesen Dritten genutzt werden (Art. 9).

Neben der Einwilligung gibt es weitere legitime Rechtsgrundlagen für Datenübermittlungen an Dritte:

• Datenerhebung im Zusammenhang mit dem Abschluss eines Vertrags

• Ein übergeordnetes privates oder öffentliches Interesse

• Zur Begründung, Ausübung oder Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde, oder

• Zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder eines Dritten und es ist in diesem Fall nicht möglich, die Einwilligung der betroffenen Person innerhalb einer angemessenen Frist einzuholen

VI. Die Gültigkeit von Einwilligungen

Wie bei der DSGVO muss auch in der Schweiz die Einwilligung der Nutzer freiwillig und unter vorheriger Bereitstellung von Informationen zur Verarbeitung ihrer Daten (also informiert) eingeholt werden. Dies gilt unter anderem für die Verwendung von Cookies und anderen Tracking-Technologien auf Websites, die Schweizer Bürger besuchen könnten, wenn die Datenerhebung und -verarbeitung die Voraussetzungen für eine Einwilligung nach dem DSG erfüllt.

Die Einwilligung zu Cookies ist nur dann gültig, wenn es sich um eine echte Entscheidung handelt, d. h. wenn die betroffene Person ohne Zwang, Druck oder andere äußere Einflüsse zustimmt. Dies bedeutet, dass jemandem, der ein zustimmungspflichtiges Cookie ablehnt, keine Dienste oder Vorteile, wie der Zugang zur Website, verwehrt werden dürfen.

Wie die DSGVO der EU verlangt auch das Datenschutzgesetz der Schweiz, dass die Einwilligung zu Cookies spezifisch sein muss, d. h. die Einwilligung muss für jede Art von Zweck, der mit Cookies verfolgt wird, eingeholt werden. Die Einwilligung kann also nicht für eine allgemeine Verwendung aller Cookies erteilt werden, ohne dass näher spezifiziert wird, welche Daten über diese Cookies gesammelt werden und für welche Zwecke. Vielmehr verlangt das Schweizer DSG eine detailliertere Auswahl als ein einfaches „alles oder nichts”, also eine Einwilligung für jede Kategorie von Cookies.

Die Informationen zur Einwilligung müssen sichtbar, vollständig und auffällig sein. Sie sollen in einfachen Worten verfasst sein, die jeder Nutzer verstehen kann, und in allen Sprachen der Website verfügbar sein. Wenn sich die Website zum Beispiel an ein französisch- und deutschsprachiges Publikum richtet, sollten die Informationen auf dem Consent-Banner sowohl auf Französisch als auch auf Deutsch verfasst sein.

Diese Informationen sind in der Regel in der Cookie-Richtlinie einer Website zusammengefasst und sollten Folgendes enthalten:

• die Identität und Kontaktinformationen der/des für die Verarbeitung Verantwortlichen (Erst- oder Drittanbieter),

• die Zwecke der Cookies, die hinterlegt und/oder gelesen werden sollen,

• Empfänger oder Kategorien von Empfängern der Daten.

Zudem kann es erforderlich sein, die Kategorien der verarbeiteten Daten und die Länder anzugeben, in die die Daten übermittelt werden – für den Fall, dass das Land kein angemessenes Sicherheitsniveau aufweist oder als Land mit hohem Risiko gilt. Es kann auch erforderlich sein, Garantien anzugeben, auf denen die Datenübermittlung beruht.

VII. Wer ist vom Datenschutzgesetz DSG betroffen?

Unternehmen, die personenbezogene Daten von in der Schweiz ansässigen Personen verarbeiten, müssen das DSG seit September 2023 einhalten, auch wenn sie Drittanbieter für die Datensammlung und -verarbeitung einsetzen, z. B. für Analytics-Zwecke, Werbung etc.. Zudem gilt das Gesetz sowohl für den öffentlichen als auch für den privaten Sektor.

Unternehmen, die bereits die DSGVO einhalten, haben nicht viel zusätzliche Arbeit zu tun, aber es ist wichtig, dass sie sich mit den Anforderungen des DSG vertraut machen. Es gibt auch Ausnahmen von einigen DSG-Anforderungen für KMU mit bis zu 250 Mitarbeitern, über die sich Unternehmen im Klaren sein sollten und auf die wir sogleich eingehen.

Extraterritorialität

Das neue Datenschutzgesetz der Schweiz ist extraterritorial, d.h. es gilt sowohl für Organisationen mit Sitz in der Schweiz als auch für solche mit Sitz außerhalb der Schweiz, wenn sie Waren oder Dienstleistungen anbieten und personenbezogene Daten von in der Schweiz ansässigen Personen verarbeiten. Dabei spielt es keine Rolle, wo das Unternehmen seinen Sitz hat oder seine Website gehostet wird.

Unternehmen, die dem DSG unterliegen und ihren Sitz außerhalb der Schweiz haben, müssen einen Schweizer Vertreter benennen. Diese Person wird die Verbindung zu den Schweizer Behörden und den betroffenen Personen herstellen.

Einfluss der DSGVO und der ePrivacy-Richtlinie in der Schweiz

Wenn sie die Daten von Nutzern außerhalb der Schweiz, in der EU, verarbeiten, z.B. als Website-Betreiber Cookies für Webtracking-Zwecke verwenden, müssen Unternehmen bei der Verarbeitung und dem Schutz personenbezogener Daten auch die Anforderungen der umfassenderen europäischen Gesetze wie der DSGVO und der ePrivacy-Richtlinie (ePR) berücksichtigen. Die ePR ist vor allem bei der Nutzung elektronischer Kommunikation relevant. Die Verantwortlichkeiten der Unternehmen im Rahmen dieser Verordnungen sind denen des DSG recht ähnlich, auch wenn sie in einigen Punkten strenger sind (z. B. muss unter mehr Umständen eine Einwilligung eingeholt werden).

Drittverantwortliche sind ebenso zur Auskunft verpflichtet

Sowohl Erst- als auch Drittverantwortliche tragen Verantwortung, wenn sie die Kontrolle über den Datenbestand haben, z. B. das Unternehmen, auf dessen Website Daten gesammelt werden, und ein Drittanbieter, der die Daten verwendet. Ist ein Dritter beteiligt, so ist er zur Auskunft verpflichtet, wenn er die Identität des Verantwortlichen (Erstpartei) nicht preisgibt oder wenn der Verantwortliche nicht in der Schweiz ansässig ist.

VIII. Welche Auswirkungen und Verpflichtungen ergeben sich für Unternehmen?

1. Transparenz und Dokumentation

Wie bereits erwähnt, müssen Unternehmen die betroffenen Personen über jede Erhebung personenbezogener Daten informieren, auch wenn die Daten nicht direkt bei der betroffenen Person erhoben wurden. Der EDÖB hat einen Leitfaden veröffentlicht, wie Sie auf Ihrer Website Web-Tracking-Tools einsetzen können, um die Nutzeraktivitäten auf Ihrer Domain DSG-konform zu überwachen.

Die Endnutzer Ihrer Website müssen auf transparente Weise darüber informiert werden, dass ihre personenbezogenen Daten erhoben werden, über den Zweck der Datenverarbeitung, die Analyse der Daten und die Möglichkeiten des Nutzers, dem Tracking zu widersprechen.

Bei sensiblen personenbezogenen Daten müssen die Endnutzer ausdrücklich bestätigen, dass sie informiert wurden und mit dem Webtracking einverstanden sind, z. B. durch einen Mausklick. Auch die Bearbeitung der IP-Adresse eines Nutzers unterliegt dem DSG, da es sich bei IP-Adressen um personenbezogene Daten handelt.

Außerdem müssen sie ein Verzeichnis der Verarbeitungsaktivitäten führen. Für KMU (Unternehmen mit bis zu 250 Mitarbeitern), deren Datenverarbeitungsaktivitäten ein geringes oder begrenztes Risiko für die betroffenen Personen darstellen, kann es jedoch Ausnahmen von dieser Anforderung geben.

2. Gewährleistung der Richtigkeit und Vollständigkeit

Jede Organisation, die personenbezogene Daten verarbeitet, ist für die Richtigkeit der Daten verantwortlich (Art. 6) und muss alle angemessenen Maßnahmen ergreifen, um sicherzustellen, dass unrichtige oder unvollständige Daten im Rahmen des Erhebungszwecks entweder berichtigt oder vernichtet werden.

3. Gewährleistung eines angemessenen Sicherheitsniveaus

Der Verantwortliche muss die Daten durch angemessene technische und organisatorische Maßnahmen vor unberechtigtem Zugriff oder unberechtigter Verarbeitung schützen (Art. 7). Detaillierte Bestimmungen über Mindeststandards für die Datensicherheit werden vom Bundesrat erlassen.

4. Vermeidung von Nachteilen für die betroffenen Personen

Es ist ein Grundprinzip des DSG, dass die Erhebung von Personendaten durch Privatpersonen die Privatsphäre und die Persönlichkeit der betroffenen Personen nicht beeinträchtigen darf. Nun können Daten öffentlich zugänglich gemacht werden, wenn ihre Verarbeitung nicht ausdrücklich untersagt ist, doch darf dies nicht schädlich sein, und wie erwähnt, müssen Informationen über die Erhebung und Verwendung der Daten und deren Zweck mitgeteilt werden.

5. Datenschutz-Folgenabschätzungen

Besteht ein hohes Risiko für die Privatsphäre oder die Rechte der betroffenen Personen, muss der Verantwortliche regelmäßig dokumentierte Folgenabschätzungen für seine Datenverarbeitungsaktivitäten durchführen.

6. Benachrichtigung bei Datenschutzverletzungen

Im Falle einer Datenschutzverletzung, einschließlich des versehentlichen oder unrechtmäßigen Verlusts, der Löschung, der Zerstörung, der Veränderung von oder des unbefugten Zugriffs auf Personendaten, muss der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) unverzüglich benachrichtigt werden. (Gemäß der DSGVO muss eine unverzügliche Meldung innerhalb von 72 Stunden erfolgen.)

Im Allgemeinen müssen die Verantwortlichen auch die betroffene Person informieren, wenn der EDÖB dies verlangt oder wenn es für die Sicherheit und den Schutz der betroffenen Person erforderlich ist.

7. Ernennung eines Vertreters und Datenschutzbeauftragten

Unternehmen mit Sitz außerhalb der Schweiz müssen in folgenden Fällen einen Vertreter in der Schweiz ernennen, wenn sie regelmäßig größere Datenmengen in der Schweiz/von Schweizer Bürgern verarbeiten:

• Im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen

• Zum Zweck, das Nutzerverhalten zu überwachen (Monitoring)

• Wenn die Verarbeitung ein hohes Risiko für die betroffenen Personen beinhalten könnte

Für Schweizer Unternehmen, die personenbezogene Daten von in der EU ansässigen Personen verarbeiten, kann immer ein Datenschutzbeauftragter bestellt werden (unabhängig vom Risikoniveau für die betroffenen Personen). Unternehmen, die das DSG einhalten müssen und noch keinen Datenschutzbeauftragten haben (aber auch nicht durch die DSGVO oder andere Gesetze dazu verpflichtet sind), können dies freiwillig tun. Eine solche Position bietet eine zentrale Anlaufstelle für Kunden, Mitarbeiter und Datenschutzbehörden.

IX. Welche Konsequenzen drohen Unternehmen bei Nichteinhaltung des DSG?

Der EDÖB ist für das Monitoring der DSG-Konformität zuständig und verfügt über weitreichende Ermittlungsbefugnisse (Art. 4). Die Stelle ist auch für die Beratung, die Aufklärung und die Gewährleistung des Schutzes von Personendaten in der Schweiz zuständig. Der EDÖB wird vom Bundesrat (dem Exekutivorgan der Schweizer Bundesregierung) für eine Amtszeit von vier Jahren ernannt und von der Bundesversammlung zugelassen.

Der EDÖB kann von sich aus oder auf Meldung hin eine Untersuchung gegen ein Unternehmen einleiten. Wird eine Datenschutzverletzung festgestellt, kann der EDÖB weitreichende Maßnahmen anordnen, darunter die Anpassung oder Einstellung der Datenverarbeitung oder die Löschung von Daten.

Die Nichteinhaltung des DSG und dessen Pflichten, einschließlich der Verletzung von Auskunfts- oder Sorgfaltspflichten, kann für den Verantwortlichen eine Geldstrafe von bis zu 250.000 Schweizer Franken zur Folge haben. Zu beachten ist, dass gemäß dem DSG eine Geldstrafe an Privatpersonen verhängt werden kann, während die DSGVO keine Geldstrafen für natürliche Personen vorsieht, sondern den Schwerpunkt der Geldstrafen auf Unternehmen legt.

Bei Verstößen im Rahmen der Geschäftstätigkeit kann das Unternehmen mit einer Geldstrafe von bis zu 50.000 Schweizer Franken belegt werden, wenn ein unverhältnismäßiger Aufwand nötig wäre, um die fehlbare Person innerhalb der Organisation zu identifizieren.

Die Nichteinhaltung des DSG kann nicht nur Bußgelder nach sich ziehen, sondern auch den Ruf eines Unternehmens schädigen und dazu führen, dass Nutzer ihr Vertrauen verlieren. DSG-Konformität und eine klare, transparente Kommunikation mit den Kunden schafft Vertrauen und zeugt von Respekt und Engagement für den Schutz personenbezogener Daten und des Rechts auf Privatsphäre.

DSG vs. DSGVO in der Strafverfolgung

Eine entscheidende Abweichung zur Datenschutzgrundverordnung (DSGVO) besteht darin, dass die hier genannten Sanktionen nicht (nur) gegen das betroffene Unternehmen selbst gerichtet sind.

Vielmehr werden die Bußgelder gemäß dem DSG gegen die natürliche Person verhängt, die für die Einhaltung der Datenschutzbestimmungen verantwortlich ist. Hierzu zählen auch die Datenschutzverantwortlichen, Geschäftsleiter oder Mitglieder des Verwaltungsrats.

Diese Geldstrafen werden ausdrücklich persönlich verhängt und können weder versichert noch vom Arbeitgeber übernommen werden. Diese harte Herangehensweise soll die Effektivität der Sanktionen erhöhen und die persönliche Verantwortung für den Datenschutz unterstreichen.

Die Verstöße, die gemäß dem DSG strafrechtlich geahndet werden können, sind auf sieben abschließend genannte Fälle begrenzt:

1. Weitergabe von persönlichen Daten an Empfänger in Ländern ohne ausreichenden Datenschutz und ohne entsprechende Schutzmaßnahmen.

2. Verwendung von Auftragsverarbeitern ohne angemessene Vereinbarungen.

3. Nichteinhaltung der vom Bundesrat festgelegten Mindestsicherheitsanforderungen.

4. Fehlende oder unvollständige Informationen in Datenschutzerklärungen.

5. Falsche oder unvollständige Antworten auf Anfragen des EDÖB.

6. Offenlegung geheimer persönlicher Daten an unbefugte Dritte.

7. Nichtbefolgung von Anordnungen des EDÖB oder von Gerichtsentscheidungen.

‍

Neben den empfindlichen Strafen gibt es eine zweite wichtige Neuerung im DSG. Sie betrifft die Haftung von Personen im Unternehmen, die nicht nur Verstöße gegen das Datenschutzgesetz begehen, sondern auch dazu beitragen. Das heißt, dass nicht nur unmittelbare Täter belangt werden, sondern auch deren Vorgesetzte und das Management.

Unter den neuen Strafnormen können zwei Personengruppen strafrechtlich belangt werden:

• Personen, die den Verstoß selbst begangen haben oder die Anweisung dazu gegeben haben. Dies schließt jene ein, die federführend in Entscheidungen involviert waren, welche die Datenschutzpflichten verletzen. Dies könnte zum Beispiel die falsche Beantwortung von Anfragen betroffener Personen, die unzureichende Auftragsvereinbarung mit Auftragsbearbeitern oder die unerlaubte Offenlegung von Daten ins Ausland umfassen.

• Personen, die rechtlich dazu verpflichtet sind, Verstöße zu verhindern oder die Folgen zu mildern. Hierbei sind Personen wie Verwaltungsratsmitglieder, Geschäftsführer und andere Organvertreter gemeint, die verantwortlich sind, dass das Unternehmen das Datenschutzgesetz einhält. Sie müssen über die Befugnisse verfügen, um entsprechende Anweisungen zu geben oder einzugreifen, um Verstöße zu verhindern oder zu beheben.‍

Soweit Verantwortlichkeiten für Bearbeitungen an untergeordnete Personen übertragen werden, haftet die verantwortliche Person dafür, dass der Delegierte angemessen ausgewählt, instruiert und überwacht wird.

Insbesondere Verwaltungsratsmitglieder behalten die nicht übertragbare und nicht entziehbare Oberaufsicht über die Geschäftsführung und die Einhaltung der Gesetze. Diese Verantwortung ist gesetzlich festgelegt und sollte im Rahmen der Corporate Governance berücksichtigt werden.

X. Wie erreiche ich DSG Compliance? Eine Zusammenfassung

Durch die Einhaltung des DSG können Sie sicherstellen, dass ihre Datenverarbeitung sicher und verantwortungsbewusst erfolgt und dass die Verwendung personenbezogener Daten rechtmäßig ist.

Folgende Punkte sollten Sie regelmäßig überprüfen und aktualisieren:

Führen Sie umfassende Datenverzeichnisse: Unternehmen müssen wissen, welche Daten sie sammeln und speichern, einschließlich spezifischer Kategorisierungen wie der von sensiblen personenbezogenen Daten.

Überprüfen Sie die Anforderungen an die Einhaltung des DSG: Überprüfen Sie periodisch Ihre Unternehmenstätigkeiten und Ihre Datenverarbeitung sowie die Pflichten des DSG und ergreifen Sie die notwendigen Maßnahmen, um die kontinuierliche Einhaltung des Schweizer Datenschutzgesetzes zu gewährleisten.

Legen Sie Ihre Verarbeitungstätigkeiten transparent offen: Legen Sie die Datenverarbeitungsaktivitäten durch formalisierte Richtlinien und Datenschutzhinweise klar offen und stellen Sie sicher, dass Ihre Nutzer über die Datenverarbeitungsaktivitäten und ihre Rechte informiert sind.

Richten Sie ein Verfahren für die Bearbeitung von DSR-Anfragen ein: Einrichtung und Aktualisierung von Verfahren zur benutzerfreundlichen und zeitnahen Bearbeitung von DSR-Anfragen, die den rechtlichen Anforderungen entsprechen, dem Unternehmen Zeit und Ressourcen einsparen und das Vertrauen der Nutzer fördern.

Rationalisieren Sie Ihre Architektur für DSR-Anfragen: Einrichtung und Pflege einer gut strukturierten Architektur für DSR-Anfragen, um eine zeitnahe und effektive Verwaltung und Beantwortung von DSR-Anfragen und die Ausübung der Rechte betroffener Personen zu gewährleisten.

Führen Sie ein robustes System zur Meldung von Datenschutzverletzungen ein: Einführung von Richtlinien und Prozessen, die eine solide Reaktion auf Datenschutzverletzungen gewährleisten, einschließlich der gesetzlich vorgeschriebenen unverzüglichen Benachrichtigung und einer guten Beziehung zu den Nutzern.

Sorgen Sie für Datenschutzkonformität bei grenzüberschreitendem Datenverkehr: Katalogisieren Sie die Prozesse und machen Sie sich mit den grenzüberschreitenden Anforderungen vertraut, wenn der Betrieb internationale Datenströme umfasst.

Etablieren Sie effizientes Reporting über alle aufgezeichneten Verarbeitungstätigkeiten: Legen Sie Verfahren fest, die sicherstellen, dass Ihre Berichte über alle aufgezeichneten Verarbeitungstätigkeiten effizient gescannt, getrackt und erstellt werden.

Verstärken Sie Ihre organisatorischen Sicherheitsmaßnahmen: Schützen Sie Ihre Verarbeitungstätigkeiten durch die Einführung autonomer und robuster Sicherheitsmaßnahmen in der gesamten Organisation.

Führen Sie Datenschutz-Folgenabschätzungen durch: Führen Sie Datenschutz-Folgenabschätzungen durch, wie sie im Rahmen des DSG gesetzlich vorgeschrieben sind, um potenzielle Risiken im Zusammenhang mit Datenverarbeitungsaktivitäten zu ermitteln und zu mindern.

Führen Sie qualifizierte Trainings durch: Indem Sie Mitarbeiter und Führungspersonal richtig schulen, können sie das Risiko für Verletzungen des DSG und die einhergehenden Strafen erheblich minimieren.

XI. DSG-Konformität durch eine Consent Management Platform (CMP)

Die Einhaltung des DSG trägt dazu bei, dass eine Menge Arbeit bereits erledigt ist, falls Sie in Zukunft weitere Gesetze einhalten müssen, was angesichts der weltweiten Ausweitung der Datenschutzvorschriften immer wahrscheinlicher wird.

Die Implementierung von Compliance-Prozessen und -Mechanismen trägt dazu bei, eine verantwortungsvolle und sichere Erfassung, Speicherung und Verwendung personenbezogener Daten zu gewährleisten, und ermöglicht es den Verbrauchern, den Zugang zu diesen Daten und deren Verwendung zu kontrollieren.

Wir helfen Ihnen gerne bei der Implementierung und dadurch direkt dabei, wettbewerbsfähig zu bleiben, da Sie nachweisen können, dass sie die Anforderungen an den Datenschutz erfüllen, was den grenzüberschreitenden Datentransfer und andere Funktionen der Geschäftstätigkeit, insbesondere in der EU, ermöglicht.

QUELLEN (extern)

Gesetzestext: https://www.fedlex.admin.ch/eli/cc/2022/491/de

https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/grundlagen/ndsg.html