Datenschutzgesetz Schweiz totalrevidiert nDSG CH, revDSG CH, CHDSG neu oder DSG neu CH

Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!

Das neue Datenschutzgesetz der Schweiz (DSG neu Schweiz) tritt ab 01.09.2023 in Kraft

Am 01. September 2023 tritt das neue beziehungsweise revidierte Bundesgesetz über den Datenschutz der Schweiz (revDSG CH, CHDSG neu, DSG neu CH oder auch nDSG CH der Schweiz) in Kraft, welches nicht nur innerhalb der Schweiz für die Bevölkerung bei Datenbearbeitungen von Informationen betreffend Personendaten im Datenverkehr relevant ist, sondern auch für internationale, insbesondere europäische (aber auch Schweizer) Unternehmen, Behörden und Privatpersonen von Bedeutung ist.

Was ist nach dem neuen Bundesgesetz über den Datenschutz in der Schweiz besonders zu beachten?

Das Datenschutzgesetz rev DSG CH regelt insbesondere die Dokumentationspflichten als auch die Informationspflichten des Datenschutzrechts der Schweiz hinsichtlich des Datenschutzverantwortlichen bei der Datenübermittlung um ein angemessenes Datenschutzniveau für die Personen in der Schweiz zu gewährleisten. Nach dem neuen Schweizer DSG können die Anforderungen (neue Schweizer Revision) bzw. Neuerungen mit einem Datenschutz-Generator und ggf. einem Informationssicherheitsbeauftragen, Datenschutzberater bzw. Datenschutzbeauftragten oder Fachanwalt für IT-Recht umgesetzt werden.

Wie kam das DSG der Schweiz zustande?

2016 schickte der Bundesrat der Schweiz einen ersten Vorentwurf zur Totalrevision des DSG der Schweiz, welches bereits seit dem 01. Juli 1993 in Kraft ist, in die Vernehmlassung, einem Teil des Gesetzgebungsverfahrens in der Schweiz. Mit dem neuen DSG soll and die Änderungen in Technologie und Gesellschaft angepasst werden. Somit den Regelungen der EU sich anzunähern, insbesondere denen der DSGVO, mit dem Ziel die Schweiz auf ein ähnliches Datenschutzniveau der EU zu bringen, insbesondere mit Blick Unternehmen by design und privacy im Internet und darüber hinaus.

Wurde die Datenschutzverordnung DSV und die Datenschutzzertifizierung VDSZ neu geregelt?

Bis 2020 wurden verschiedene Entwürfe des Datenschutzgesetzes in die Vernehmlassung geschickt und verändert, bis das Parlament am 25. September 2020 den Beschluss zum neuen DSG fasste. Die Referendumsfrist zu diesem lief am 14.01.2021 ab. Am 31.08.2022 entschied der Bundesrat, dass das Datenschutzgesetz zusammen mit einer neuen Datenschutzverordnung (DSV) und einer neuen Verordnung über Datenschutzzertifizierungen (VDSZ) am 01. September 2023 in Kraft tritt. Somit haben Unternehmen und andere Betroffene bis zum 01.09. 2023 (in kraft Treten) Zeit, sich an das neue Datenschutzrecht insbesondere die beschlossene Totalrevision des neuen Bundesgesetz DSG, der neuen DSV als auch ggf. an die neue VDSZ anzupassen.

Wo und wann findet das revDSG CH Anwendung?

Das schweizer Datenschutzgesetz revDSG CH regelt, ähnlich wie die DSGVO, „den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden“ (Art. 1 nDSG Schweiz). Dafür werden unter anderem Grundsätze zur Verarbeitung der Daten (Art. 6 nDSG CH), Pflichten von Verantwortlichen und Auftragsverarbeitern (Art. 19-24 nDSG CH) und Rechte von betroffenen Personen (Art. 25-29 DSG neu CH) festgelegt.

Ein neues Datenschutzgesetz der Schweiz bezieht sich u.a. auch auf den Datenaustausch der Bundesorgane, auf die Vorschriften zur Datenbearbeitung durch Bundesorgane (Art. 33-42 neues Datenschutzgesetz Schweiz) und zum Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB (Art. 43-59 DSG neu Schweiz) sowie das Schweizer Bundesamt und die Schweizer Justiz sowie besonders schützenswerte Personendaten (nach Art. 5 DSG neu der Schweiz ) wird in diesem Artikel nicht weiter eingegangen.

Auch über die Grenzen der Schweiz hinaus ist das neue DSG der Schweiz anwendbar!

Gemäß Art. 3 revDSG CH gilt das Gesetz nicht nur in der Schweiz direkt, sondern bereits wenn sich „Sachverhalte […] in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden“. Somit kann beispielsweise ein Online-Händler, der in die Schweiz liefert, von den Rechten und Pflichten des revDSG CH betroffen sein. Genauso betroffen sind Auftragsverarbeiter, die beispielsweise Schweizer Kundendaten verarbeiten.

Schweizer nDSG gilt für private Personen und für juristische Personen!

Wichtig zu beachten ist ebenfalls, dass das Gesetz laut Art. 2 revDSG CH für private Personen gilt und nicht auf juristische Personen beschränkt ist. Dies hat zur Folge, dass einzelne Personen, beispielsweise Mitarbeiter, für Verstöße oder Pflichtverletzungen nach Art. 60ff revDSG Schweiz  sanktioniert werden können.

Mit welchen Strafen droht das revDSG CH?

Art. 60ff. revDSG CH normieren jeweils Bußgelder in Höhe von bis zu 250.000 CHF für die Verletzung von Pflichten aus dem revDSG CH (Art. 60 DSG neu CH und 61 DSG neu CH), von beruflichen Schweigepflichten (Art. 62 DSG neu CH), oder für das Missachten von Verfügungen (Art. 63 DSG neu der Schweiz). Anders als in der DSGVO setzt das revDSG CH für eine Sanktion im Sinne der Art. 60ff. allerdings vorsätzliches Handeln voraus, wodurch der Bestrafung eines versehentlichen Fehlers eines Mitarbeiters vorgebeugt wird.

Weiterhin wird in Art. 64 revDSG CH für Widerhandlungen in Geschäftsbetrieben auf das Schweizer Verwaltungsstrafrecht verwiesen.

Die Verfolgungsverjährung beträgt gemäß Art. 66 revDSG CH fünf Jahre.

Was ist für Verantwortliche und Auftragsbearbeiter bzw. Auftragsverarbeiter zu beachten?

Das neue Schweizer revDSG kennt, wie die DSGVO, Verantwortliche und Auftragsbearbeiter (= Auftragsverarbeiter im Sinne der DSGVO). Die Begriffe werden in Art. 5 Abs. 10 & 11 revDSG CH legaldefiniert. Diese haben jeweils bestimmte Pflichten. Beide müssen ein Verzeichnis der Bearbeitungstätigkeiten führen (Art. 12 DSG neu CH).

Der Verantwortliche hat außerdem eine Informationspflicht gegenüber betroffenen Personen (Art. 19-21 DSG neu CH), muss eine Datenschutz-Folgenabschätzung erstellen, „wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann“ (Art. 22-23 DSG neu CH), und hat Verletzungen der Datensicherheit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) „so rasch als möglich“ mitzuteilen (Art. 24 DSG neu CH).

Letzteres beispielsweise ist in der DSGVO schärfer geregelt. Gemäß Art. 33 Abs. 1 DSGVO ist eine Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden.

Das Verhältnis zwischen Verantwortlichem und Auftragsbearbeiter ist in Art. 9 revDSG CH geregelt. Der Verantwortliche muss sich unter anderem vergewissern, dass der Auftragsverarbeiter die Datensicherheit gewährleisten kann (Abs. 2) und die Daten nur so bearbeitet, wie es auch der Verantwortliche dürfte (Abs. 1 lit. a).

Auch hier geht die Datenschutz-Grundverordnung in Art. 28ff. DSGVO mehr ins Detail, weshalb ein Auftragsverarbeitungsverhältnis nach der DSGVO strengeren Vorlagen unterliegt als nach dem revDSG CH.

Achtung! Bearbeitungsverzeichnisse, Datenschutzerklärungen und Auftragsbearbeitungsverträge usw. ggf. zu aktualisieren!

Soweit ein Verantwortlicher oder Auftragsverarbeiter bereits DSGVO-konform arbeitet, kommen jedoch durch das revDSG CH vereinzelte Pflichten noch hinzu auf die insbesondere bei der Erstellung von Verarbeitungsverzeichnissen, Datenschutzerklärungen und Auftragsdatenbearbeitungsverträgen usw. zu achten ist. 

Welche Rechte haben betroffene Personen durch das DSG neu der Schweiz?

Betroffene Personen haben ein Auskunftsrecht (Art. 25 nDSG CH) gegenüber Verantwortlichen, um herauszufinden, ob und welche personenbezogenen Daten über sie bearbeitet werden. Dieses Auskunftsrecht kann nach Art. 26 DSG neu Schweiz oder Art. 27 nDSG CH  (bei Medien) revDSG CH verweigert, eingeschränkt oder aufgeschoben werden – beispielsweise, wenn dies aufgrund überwiegender Interessen Dritter erforderlich ist (Art. 26 nDSG CH Abs. 1 lit. b).

Außerdem besteht ein Recht auf Datenherausgabe oder -übertragung gemäß Art. 28 revDSG CH. Dieses kann ebenfalls eingeschränkt werden. Art. 29 Abs. 1 revDSG CH verweist bezüglich der Gründe für eine Verweigerung, Einschränkung oder Aufschiebung auf Art. 26 Abs. 1 und 2 neues Datenschutzgesetz Schweiz.

Fazit zum nDSG der Schweiz

Die Schweiz nähert sich mit dem totalrevidierten Bundesdatenschutzgesetz an die Datenschutzvorschriften der DSGVO an. Verantwortliche, die personenbezogene Daten aus der Schweiz verarbeiten und vorher nicht der DSGVO unterlagen, müssen sich bis zum 01.09.2023 ggf. um eine angemessene Datenschutzdokumentation kümmern und ggf. einen Informationssicherheitsbeauftragen, Datenschutzberater bzw. Datenschutzbeauftragten oder Fachanwalt für IT-Recht zwecks Beratung hinzuziehen. Soweit das Schweizer Datenschutzgesetz revDSG CH unbestimmter als die DSGVO ist, kann sich wahrscheinlich an den Vorschriften der DSGVO orientiert werden allerdings sind die Besonderheiten des nDSG der Schweiz insbesondere bei Informationspflichten, Bearbeitungsverzeichnis und Auftragsbearbeitung zu beachten. Inwieweit das neue Datenschutzgesetz der Schweiz nach seinem Inkrafttreten am 01.09.2023 durch Rechtsprechung und den EDÖB anders zu interpretieren ist, bleibt abzuwarten.

 

Klicken Sie auf das Formularfeld und kopieren Sie sich den HTML-Code heraus.

Weitere für Sie wahrscheinlich interessante Artikel
Wie weit reicht der Anspruch auf zukünftiges Unterlassen nach einer Urheberrechtsverletzung?

Wenn jemand Urheberrechte verletzt hat, geht es nicht nur um Schadensersatz.... Weiterlesen

Unterlassungserklärung in einigen Fällen als Schuldanerkenntnis gewertet?

Das Landgericht Wiesbaden urteilte jüngst im Mai 2013, dass in einer Unterlassungserklärung  ein Schuldanerkenntnis liege, unabhängig davon, ob diese... Weiterlesen

Videoblog

3 Tipps vor Abgabe einer Unterlassungserklärung / mod. UE!

Bewertungen auf google.com
RA Scholze

Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Rechtsanwaltskanzlei
in Erfurt, Wiesbaden und Frankfurt am Main

Kostenloser Rückruf erwünscht?
Upload der Abmahnung oder weiterer Unterlagen

Wir empfehlen Ihnen Ihre Dateien ausreichend zu verschlüsseln und uns separat zum von Ihnen genutzten Schlüssel zu informieren.

Die Dateien müssen kleiner als 8 MB sein.
Zulässige Dateierweiterungen: jpg jpeg pdf doc docx.

* Diese Angaben werden benötigt.

Kanzleibriefe
Datenschutz-Generator kostenlos zur Erstellung Ihrer Datenschutzerklärung nach DSG Schweiz 2023 + DSGVO

Startschuss für den kostenfreien Datenschutzerklärungsgenerator unter datenbuddy.de war der 01.09.2023, somit pünktlich mit Inkrafttreten des Bundesgesetz über den Datenschutz der Schweiz. Bis kurz vor dem Inkrafttreten des DSG der Schweiz arbeiteten das Datenbuddy-Team und die Mitarbeiter der AID24 Rechtsanwaltskanzlei mit Hochdruck an der kostenfreien Lösung.... Weiterlesen

Datenschutzgesetz Schweiz totalrevidiert nDSG CH, revDSG CH, CHDSG neu oder DSG neu CH

Das neue Datenschutzgesetz der Schweiz (DSG neu Schweiz) tritt ab 01.09.2023 in Kraft... Weiterlesen

Datenschutzdokumentation mit Datenschutz-Generator-Software für Schweiz, Deutschland oder Österreich erstellen

Die Bedeutung einer Datenschutz-Dokumentation für Unternehmen in der Schweiz, Österreich und Deutschland nach der DSGVO, BDSG, DSG neu AT, DSG neu CH?... Weiterlesen