Datenschutzgesetz Schweiz totalrevidiert nDSG CH, revDSG CH, CHDSG neu oder DSG neu CH

Das neue Datenschutzgesetz der Schweiz (DSG neu Schweiz) tritt ab 01.09.2023 in Kraft

Am 01. September 2023 tritt das neue beziehungsweise revidierte Bundesgesetz über den Datenschutz der Schweiz (revDSG CH, CHDSG neu, DSG neu CH oder auch nDSG CH der Schweiz) in Kraft, welches nicht nur innerhalb der Schweiz für die Bevölkerung bei Datenbearbeitungen von Informationen betreffend Personendaten im Datenverkehr relevant ist, sondern auch für internationale, insbesondere europäische (aber auch Schweizer) Unternehmen, Behörden und Privatpersonen von Bedeutung ist.

Was ist nach dem neuen Bundesgesetz über den Datenschutz in der Schweiz besonders zu beachten?

Das Datenschutzgesetz rev DSG CH regelt insbesondere die Dokumentationspflichten als auch die Informationspflichten des Datenschutzrechts der Schweiz hinsichtlich des Datenschutzverantwortlichen bei der Datenübermittlung um ein angemessenes Datenschutzniveau für die Personen in der Schweiz zu gewährleisten. Nach dem neuen Schweizer DSG können die Anforderungen (neue Schweizer Revision) bzw. Neuerungen mit einem Datenschutz-Generator und ggf. einem Informationssicherheitsbeauftragen, Datenschutzberater bzw. Datenschutzbeauftragten oder Fachanwalt für IT-Recht umgesetzt werden.

Wie kam das DSG der Schweiz zustande?

2016 schickte der Bundesrat der Schweiz einen ersten Vorentwurf zur Totalrevision des DSG der Schweiz, welches bereits seit dem 01. Juli 1993 in Kraft ist, in die Vernehmlassung, einem Teil des Gesetzgebungsverfahrens in der Schweiz. Mit dem neuen DSG soll and die Änderungen in Technologie und Gesellschaft angepasst werden. Somit den Regelungen der EU sich anzunähern, insbesondere denen der DSGVO, mit dem Ziel die Schweiz auf ein ähnliches Datenschutzniveau der EU zu bringen, insbesondere mit Blick Unternehmen by design und privacy im Internet und darüber hinaus.

Wurde die Datenschutzverordnung DSV und die Datenschutzzertifizierung VDSZ neu geregelt?

Bis 2020 wurden verschiedene Entwürfe des Datenschutzgesetzes in die Vernehmlassung geschickt und verändert, bis das Parlament am 25. September 2020 den Beschluss zum neuen DSG fasste. Die Referendumsfrist zu diesem lief am 14.01.2021 ab. Am 31.08.2022 entschied der Bundesrat, dass das Datenschutzgesetz zusammen mit einer neuen Datenschutzverordnung (DSV) und einer neuen Verordnung über Datenschutzzertifizierungen (VDSZ) am 01. September 2023 in Kraft tritt. Somit haben Unternehmen und andere Betroffene bis zum 01.09. 2023 (in kraft Treten) Zeit, sich an das neue Datenschutzrecht insbesondere die beschlossene Totalrevision des neuen Bundesgesetz DSG, der neuen DSV als auch ggf. an die neue VDSZ anzupassen.

Wo und wann findet das revDSG CH Anwendung?

Das schweizer Datenschutzgesetz revDSG CH regelt, ähnlich wie die DSGVO, „den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden“ (Art. 1 nDSG Schweiz). Dafür werden unter anderem Grundsätze zur Verarbeitung der Daten (Art. 6 nDSG CH), Pflichten von Verantwortlichen und Auftragsverarbeitern (Art. 19-24 nDSG CH) und Rechte von betroffenen Personen (Art. 25-29 DSG neu CH) festgelegt.

Ein neues Datenschutzgesetz der Schweiz bezieht sich u.a. auch auf den Datenaustausch der Bundesorgane, auf die Vorschriften zur Datenbearbeitung durch Bundesorgane (Art. 33-42 neues Datenschutzgesetz Schweiz) und zum Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB (Art. 43-59 DSG neu Schweiz) sowie das Schweizer Bundesamt und die Schweizer Justiz sowie besonders schützenswerte Personendaten (nach Art. 5 DSG neu der Schweiz ) wird in diesem Artikel nicht weiter eingegangen.

Auch über die Grenzen der Schweiz hinaus ist das neue DSG der Schweiz anwendbar!

Gemäß Art. 3 revDSG CH gilt das Gesetz nicht nur in der Schweiz direkt, sondern bereits wenn sich „Sachverhalte […] in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden“. Somit kann beispielsweise ein Online-Händler, der in die Schweiz liefert, von den Rechten und Pflichten des revDSG CH betroffen sein. Genauso betroffen sind Auftragsverarbeiter, die beispielsweise Schweizer Kundendaten verarbeiten.

Schweizer nDSG gilt für private Personen und für juristische Personen!

Wichtig zu beachten ist ebenfalls, dass das Gesetz laut Art. 2 revDSG CH für private Personen gilt und nicht auf juristische Personen beschränkt ist. Dies hat zur Folge, dass einzelne Personen, beispielsweise Mitarbeiter, für Verstöße oder Pflichtverletzungen nach Art. 60ff revDSG Schweiz  sanktioniert werden können.

Mit welchen Strafen droht das revDSG CH?

Art. 60ff. revDSG CH normieren jeweils Bußgelder in Höhe von bis zu 250.000 CHF für die Verletzung von Pflichten aus dem revDSG CH (Art. 60 DSG neu CH und 61 DSG neu CH), von beruflichen Schweigepflichten (Art. 62 DSG neu CH), oder für das Missachten von Verfügungen (Art. 63 DSG neu der Schweiz). Anders als in der DSGVO setzt das revDSG CH für eine Sanktion im Sinne der Art. 60ff. allerdings vorsätzliches Handeln voraus, wodurch der Bestrafung eines versehentlichen Fehlers eines Mitarbeiters vorgebeugt wird.

Weiterhin wird in Art. 64 revDSG CH für Widerhandlungen in Geschäftsbetrieben auf das Schweizer Verwaltungsstrafrecht verwiesen.

Die Verfolgungsverjährung beträgt gemäß Art. 66 revDSG CH fünf Jahre.

Was ist für Verantwortliche und Auftragsbearbeiter bzw. Auftragsverarbeiter zu beachten?

Das neue Schweizer revDSG kennt, wie die DSGVO, Verantwortliche und Auftragsbearbeiter (= Auftragsverarbeiter im Sinne der DSGVO). Die Begriffe werden in Art. 5 Abs. 10 & 11 revDSG CH legaldefiniert. Diese haben jeweils bestimmte Pflichten. Beide müssen ein Verzeichnis der Bearbeitungstätigkeiten führen (Art. 12 DSG neu CH).

Der Verantwortliche hat außerdem eine Informationspflicht gegenüber betroffenen Personen (Art. 19-21 DSG neu CH), muss eine Datenschutz-Folgenabschätzung erstellen, „wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann“ (Art. 22-23 DSG neu CH), und hat Verletzungen der Datensicherheit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) „so rasch als möglich“ mitzuteilen (Art. 24 DSG neu CH).

Letzteres beispielsweise ist in der DSGVO schärfer geregelt. Gemäß Art. 33 Abs. 1 DSGVO ist eine Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden.

Das Verhältnis zwischen Verantwortlichem und Auftragsbearbeiter ist in Art. 9 revDSG CH geregelt. Der Verantwortliche muss sich unter anderem vergewissern, dass der Auftragsverarbeiter die Datensicherheit gewährleisten kann (Abs. 2) und die Daten nur so bearbeitet, wie es auch der Verantwortliche dürfte (Abs. 1 lit. a).

Auch hier geht die Datenschutz-Grundverordnung in Art. 28ff. DSGVO mehr ins Detail, weshalb ein Auftragsverarbeitungsverhältnis nach der DSGVO strengeren Vorlagen unterliegt als nach dem revDSG CH.

Achtung! Bearbeitungsverzeichnisse, Datenschutzerklärungen und Auftragsbearbeitungsverträge usw. ggf. zu aktualisieren!

Soweit ein Verantwortlicher oder Auftragsverarbeiter bereits DSGVO-konform arbeitet, kommen jedoch durch das revDSG CH vereinzelte Pflichten noch hinzu auf die insbesondere bei der Erstellung von Verarbeitungsverzeichnissen, Datenschutzerklärungen und Auftragsdatenbearbeitungsverträgen usw. zu achten ist. 

Welche Rechte haben betroffene Personen durch das DSG neu der Schweiz?

Betroffene Personen haben ein Auskunftsrecht (Art. 25 nDSG CH) gegenüber Verantwortlichen, um herauszufinden, ob und welche personenbezogenen Daten über sie bearbeitet werden. Dieses Auskunftsrecht kann nach Art. 26 DSG neu Schweiz oder Art. 27 nDSG CH  (bei Medien) revDSG CH verweigert, eingeschränkt oder aufgeschoben werden – beispielsweise, wenn dies aufgrund überwiegender Interessen Dritter erforderlich ist (Art. 26 nDSG CH Abs. 1 lit. b).

Außerdem besteht ein Recht auf Datenherausgabe oder -übertragung gemäß Art. 28 revDSG CH. Dieses kann ebenfalls eingeschränkt werden. Art. 29 Abs. 1 revDSG CH verweist bezüglich der Gründe für eine Verweigerung, Einschränkung oder Aufschiebung auf Art. 26 Abs. 1 und 2 neues Datenschutzgesetz Schweiz.

Fazit zum nDSG der Schweiz

Die Schweiz nähert sich mit dem totalrevidierten Bundesdatenschutzgesetz an die Datenschutzvorschriften der DSGVO an. Verantwortliche, die personenbezogene Daten aus der Schweiz verarbeiten und vorher nicht der DSGVO unterlagen, müssen sich bis zum 01.09.2023 ggf. um eine angemessene Datenschutzdokumentation kümmern und ggf. einen Informationssicherheitsbeauftragen, Datenschutzberater bzw. Datenschutzbeauftragten oder Fachanwalt für IT-Recht zwecks Beratung hinzuziehen. Soweit das Schweizer Datenschutzgesetz revDSG CH unbestimmter als die DSGVO ist, kann sich wahrscheinlich an den Vorschriften der DSGVO orientiert werden allerdings sind die Besonderheiten des nDSG der Schweiz insbesondere bei Informationspflichten, Bearbeitungsverzeichnis und Auftragsbearbeitung zu beachten. Inwieweit das neue Datenschutzgesetz der Schweiz nach seinem Inkrafttreten am 01.09.2023 durch Rechtsprechung und den EDÖB anders zu interpretieren ist, bleibt abzuwarten.