Datenschutzgesetz Schweiz auch revDSG oder DSG Schweiz?

Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!

veröffentlicht am 28. März 2023 um 11:03

Das neue Datenschutzgesetz der Schweiz (nDSG Schweiz) ist seit 01.09.2023 in Kraft

Seit dem 01. September 2023 ist das neue beziehungsweise revidierte Bundesgesetz über den Datenschutz der Schweiz (revDSG CH, CHDSG neu, DSG neu CH oder auch nDSG CH der Schweiz) in Kraft, welches nicht nur innerhalb der Schweiz für die Bevölkerung bei Datenbearbeitungen von Informationen betreffend Personendaten im Datenverkehr relevant ist, sondern auch für internationale, insbesondere europäische (aber auch Schweizer) Unternehmen, Behörden und Privatpersonen von Bedeutung ist.

Was ist nach dem neuen Bundesgesetz über den Datenschutz in der Schweiz besonders zu beachten?

Das Datenschutzgesetz rev DSG CH regelt insbesondere die Dokumentationspflichten als auch die Informationspflichten des Datenschutzrechts der Schweiz hinsichtlich des Datenschutzverantwortlichen bei der Datenübermittlung um ein angemessenes Datenschutzniveau für die Personen in der Schweiz zu gewährleisten. Nach dem neuen Schweizer DSG können die Anforderungen (neue Schweizer Revision) bzw. Neuerungen mit einem Datenschutz-Generator und ggf. einem Informationssicherheitsbeauftragen, Datenschutzberater bzw. Datenschutzbeauftragten oder Fachanwalt für IT-Recht umgesetzt werden.

Wie kam das DSG der Schweiz zustande?

2016 schickte der Bundesrat der Schweiz einen ersten Vorentwurf zur Totalrevision des DSG der Schweiz, welches bereits seit dem 01. Juli 1993 in Kraft ist, in die Vernehmlassung, einem Teil des Gesetzgebungsverfahrens in der Schweiz. Mit dem neuen DSG soll and die Änderungen in Technologie und Gesellschaft angepasst werden. Somit den Regelungen der EU sich anzunähern, insbesondere denen der DSGVO, mit dem Ziel die Schweiz auf ein ähnliches Datenschutzniveau der EU zu bringen, insbesondere mit Blick Unternehmen by design und privacy im Internet und darüber hinaus.

Ist eine Datenschutzerklärung für Unternehmen nötig?

Ja Schweizer Unternehmen müssen eine Datenschutzerklärung seit dem 01.09.2023 öffentlich zugänglich machen, dies ergibt sich aus Art. 12, 16, 18 und 19 DSG Schweiz. Unternehmen die von Schweizern personenbezogene Daten verarbeiten müssen eine Datenschutzerklärung nach dem Schweizer Datenschutzgesetz vorhalten.

Wurde die Datenschutzverordnung DSV und die Datenschutzzertifizierung VDSZ neu geregelt?

Bis 2020 wurden verschiedene Entwürfe des Datenschutzgesetzes in die Vernehmlassung geschickt und verändert, bis das Parlament am 25. September 2020 den Beschluss zum neuen DSG fasste. Die Referendumsfrist zu diesem lief am 14.01.2021 ab. Am 31.08.2022 entschied der Bundesrat, dass das Datenschutzgesetz zusammen mit einer neuen Datenschutzverordnung (DSV) und einer neuen Verordnung über Datenschutzzertifizierungen (VDSZ) am 01. September 2023 in Kraft tritt. Somit haben Unternehmen und andere Betroffene bis zum 01.09. 2023 (in kraft Treten) Zeit, sich an das neue Datenschutzrecht insbesondere die beschlossene Totalrevision des neuen Bundesgesetz DSG, der neuen DSV als auch ggf. an die neue VDSZ anzupassen.

Datenschutzerklärungen im Unternehmen mit Vorlage für Nutzer erstellen.

Inhaltsverzeichnis des DSG Schweiz

Kapitel 1 Zweck und Geltungsbereich der Aufsichtsbehörde des Bundes
Kapitel 2 Allgemeine Bestimmungen
Kapitel 3 Pflichten des Verantwortlichen und des Auftragsbearbeiters
Kapitel 4 Rechte der betroffenen Person
Kapitel 5 Besondere Bestimmungen zur Datenbearbeitung durch private Personen
Kapitel 6 Besondere Bestimmungen zur Datenbearbeitung durch Bundesorgane
Kapitel 7 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Kapitel 8 Strafbestimmungen
Kapitel 9 Abschluss von Staatsverträgen
 
 
Kapitel 10 Schlussbestimmungen
DSG Schweiz Datenschutzrecht Neuerungen Thema

Wo und wann findet das revDSG CH Anwendung?

Das schweizer Datenschutzgesetz revDSG CH regelt, ähnlich wie die DSGVO, „den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden“ (Art. 1 DSG Schweiz). Dafür werden unter anderem Grundsätze zur Verarbeitung der Daten (Art. 6 nDSG CH), Pflichten von Verantwortlichen und Auftragsverarbeitern (Art. 19-24 DSG Schweiz) und Rechte von betroffenen Personen (Art. 25-29 DSG Schweiz) festgelegt.

Ein neues Datenschutzgesetz der Schweiz bezieht sich u.a. auch auf den Datenaustausch der Bundesorgane, auf die Vorschriften zur Datenbearbeitung durch Bundesorgane (Art. 33-42 neues Datenschutzgesetz Schweiz) und zum Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB (Art. 43-59 DSG Schweiz) sowie das Schweizer Bundesamt und die Schweizer Justiz sowie besonders schützenswerte Personendaten (nach Art. 5 DSG Schweiz ) wird in diesem Artikel nicht weiter eingegangen.

Auch über die Grenzen der Schweiz hinaus ist das neue DSG der Schweiz anwendbar!

Gemäß Art. 3 revDSG CH gilt das Gesetz nicht nur in der Schweiz direkt, sondern bereits wenn sich „Sachverhalte […] in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden“. Somit kann beispielsweise ein Online-Händler, der in die Schweiz liefert, von den Rechten und Pflichten des revDSG CH betroffen sein. Genauso betroffen sind Auftragsverarbeiter, die beispielsweise Schweizer Kundendaten verarbeiten.

Schweizer nDSG gilt für private Personen und für juristische Personen!

Wichtig zu beachten ist ebenfalls, dass das Gesetz laut Art. 2 revDSG CH für private Personen gilt und nicht auf juristische Personen beschränkt ist. Dies hat zur Folge, dass einzelne Personen, beispielsweise Mitarbeiter, für Verstöße oder Pflichtverletzungen nach Art. 60ff revDSG Schweiz sanktioniert werden können.

Mit welchen Strafen droht das revDSG CH?

Art. 60ff. revDSG CH normieren jeweils Bußgelder in Höhe von bis zu 250.000 CHF für die Verletzung von Pflichten aus dem revDSG CH (Art. 60 DSG neu CH und 61 DSG neu CH), von beruflichen Schweigepflichten (Art. 62 DSG neu CH), oder für das Missachten von Verfügungen (Art. 63 DSG neu der Schweiz). Anders als in der DSGVO setzt das revDSG CH für eine Sanktion im Sinne der Art. 60ff. allerdings vorsätzliches Handeln voraus, wodurch der Bestrafung eines versehentlichen Fehlers eines Mitarbeiters vorgebeugt wird.

Weiterhin wird in Art. 64 revDSG CH für Widerhandlungen in Geschäftsbetrieben auf das Schweizer Verwaltungsstrafrecht verwiesen.

Die Verfolgungsverjährung beträgt gemäß Art. 66 revDSG CH fünf Jahre.

Datenschutzerklärung erstellen, bietet Informationen für Privatpersonen der EU zum Zweck Fragen zu beantworten.

Was ist für Verantwortliche und Auftragsbearbeiter bzw. Auftragsverarbeiter zu beachten?

Das neue Schweizer revDSG kennt, wie die DSGVO, Verantwortliche und Auftragsbearbeiter (= Auftragsverarbeiter im Sinne der DSGVO). Die Begriffe werden in Art. 5 Abs. 10 & 11 revDSG CH legaldefiniert. Diese haben jeweils bestimmte Pflichten. Beide müssen ein Verzeichnis der Bearbeitungstätigkeiten führen (Art. 12 DSG neu CH).

Ein Auftragsbearbeiter kann vom Verantwortlichen vertraglich mit dem sogenannten Auftragsbearbeitungsvertrag verpflichtet werden, dabei ist der Auftragsverarbeiter grundsätzlich weisungsgebunden und darf nur innerhalb des vertraglich festgelegten Zwecks Daten verarbeiten.

Der Verantwortliche hat außerdem eine Informationspflicht gegenüber betroffenen Personen (Art. 19-21 DSG neu CH), muss eine Datenschutz-Folgenabschätzung erstellen, „wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann“ (Art. 22-23 DSG neu CH), und hat Verletzungen der Datensicherheit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) „so rasch als möglich“ mitzuteilen (Art. 24 DSG neu CH).

Letzteres beispielsweise ist in der DSGVO schärfer geregelt. Gemäß Art. 33 Abs. 1 DSGVO ist eine Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden.

Das Verhältnis zwischen Verantwortlichem und Auftragsbearbeiter ist in Art. 9 revDSG CH geregelt. Der Verantwortliche muss sich unter anderem vergewissern, dass und wie der Auftragsverarbeiter die Datensicherheit zu gewährleisten hat (Abs. 2) und die Daten nur so bearbeitet, wie es auch der Verantwortliche dürfte (Abs. 1 lit. a).

Auch hier geht die Datenschutz-Grundverordnung in Art. 28ff. DSGVO mehr ins Detail, weshalb ein Auftragsverarbeitungsverhältnis nach der DSGVO strengeren Vorlagen unterliegt als nach dem revDSG CH.

Achtung! Bearbeitungsverzeichnisse, Datenschutzerklärungen und Auftragsbearbeitungsverträge usw. ggf. zu aktualisieren!

Soweit ein Verantwortlicher oder Auftragsverarbeiter bereits DSGVO-konform arbeitet, kommen jedoch durch das revDSG CH vereinzelte Pflichten noch hinzu auf die insbesondere bei der Erstellung von Verarbeitungsverzeichnissen, Datenschutzerklärungen und Auftragsdatenbearbeitungsverträgen usw. zu achten ist.

Angebot an EU Person Informationen zu Datenschutzgesetz per Link zu Welt-Artikel geben.

Welche Rechte haben betroffene Personen durch das DSG neu der Schweiz?

Betroffene Personen haben ein Auskunftsrecht (Art. 25 nDSG CH) gegenüber Verantwortlichen, um herauszufinden, ob und welche personenbezogenen Daten über sie bearbeitet werden. Dieses Auskunftsrecht kann nach Art. 26 DSG neu Schweiz oder Art. 27 nDSG CH (bei Medien) revDSG CH verweigert, eingeschränkt oder aufgeschoben werden – beispielsweise, wenn dies aufgrund überwiegender Interessen Dritter erforderlich ist (Art. 26 nDSG CH Abs. 1 lit. b).

Außerdem besteht ein Recht auf Datenherausgabe oder -übertragung gemäß Art. 28 revDSG CH. Dieses kann ebenfalls eingeschränkt werden. Art. 29 Abs. 1 revDSG CH verweist bezüglich der Gründe für eine Verweigerung, Einschränkung oder Aufschiebung auf Art. 26 Abs. 1 und 2 neues Datenschutzgesetz Schweiz.

DSG Schweiz Auftragsbearbeiter Risiko für die Persönlichkeit

Fazit zum nDSG der Schweiz

Die Schweiz nähert sich mit dem totalrevidierten Bundesdatenschutzgesetz an die Datenschutzvorschriften der DSGVO an. Verantwortliche, die personenbezogene Daten aus der Schweiz verarbeiten und vorher nicht der DSGVO unterlagen, müssen sich bis zum 01.09.2023 ggf. um eine angemessene Datenschutzdokumentation kümmern und ggf. einen Informationssicherheitsbeauftragen, Datenschutzberater bzw. Datenschutzbeauftragten oder Fachanwalt für IT-Recht zwecks Beratung hinzuziehen. Soweit das Schweizer Datenschutzgesetz revDSG CH unbestimmter als die DSGVO ist, kann sich wahrscheinlich an den Vorschriften der DSGVO orientiert werden allerdings sind die Besonderheiten des nDSG der Schweiz insbesondere bei Informationspflichten, Bearbeitungsverzeichnis und Auftragsbearbeitung zu beachten. Inwieweit das neue Datenschutzgesetz der Schweiz nach seinem Inkrafttreten am 01.09.2023 durch Rechtsprechung und den EDÖB anders zu interpretieren ist, bleibt abzuwarten.