Neues Datenschutzgesetz in der Schweiz

In der Schweiz tritt am 01.09.2023 ein neues Datenschutzgesetz (DSG) in Kraft. Das DSG findet auf solche Datenschutzsachverhalte Anwendung, die „sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden“. Das Gesetz betrifft folglich dann deutsche Unternehmen, wenn diese Daten natürlicher Personen in der Schweiz als sog. Verantwortliche verarbeiten, bspw. weil sie Personen in der Schweiz Waren oder Dienstleistungen anbieten, oder als Dienstleister als sog. Auftragsbearbeiter für Schweizer Unternehmen mit Personendaten in Berührung kommen.

Das DSG ist in vielen Punkten der Datenschutz-Grundverordnung (DSGVO) ähnlich, dennoch sind einige Punkte zu beachten: so haftet für Datenschutzverstöße in erster Linie nicht wie nach der DSGVO das verantwortliche Unternehmen, sondern die jeweils verantwortliche Person persönlich. Die Haftung kann dabei nicht nur den Geschäftsführer, sondern den jeweiligen Entscheidungsträger treffen. Hier können Bußgelder bis zu 250.000 CHF verhängt werden. 

Unternehmen, die Daten von Personen in der Schweiz verarbeiten, sollten folglich Ihre Datenschutz-Compliance sicherstellen und einen Datenschutzverstoß schon im Hinblick auf die persönliche Haftung unbedingt verhindern.

Was ist neu?
Strukturell ist der Ausgangspunkt für die Zulässigkeit von Datenverarbeitungen (im Schweizer Sprachgebrauch: Datenbearbeitungen) ein pragmatischer: In der Schweiz sind Datenbearbeitungen – anders als nach der DSGVO – grundsätzlich zulässig und nur ausnahmsweise verboten. Die Datenbearbeitung darf jedoch nicht die Persönlichkeit der betroffenen Person widerrechtlich verletzen (Art. 30 DSG). Insofern sind die Anforderungen an die Einhaltung des Schweizer Datenschutzgesetz im Ergebnis vergleichbar streng mit denen der DSGVO.

Die bereits erwähnte persönliche Haftung des jeweiligen Entscheidungsträgers im Falle eines Datenschutzverstoßes unterscheidet sich ebenfalls wesentlich von der Haftungsregelung der DSGVO. Nach dem DSG kann lediglich bei Verstößen, bei denen höchstens eine Buße von 50.000 CHF in Betracht kommt und der Aufwand zur Ermittlung der strafbaren Person innerhalb des Geschäftsbetriebs unverhältnismäßig wäre, auch das Unternehmen anstelle der natürlichen Person zur Zahlung des Bußgeldes verurteilt werden (Art. 64 DSG).

Im Übrigen gelten zwar ähnliche Anforderungen wie in der DSGVO. Dass die Umsetzung des DSG trotz Ihrer DSGVO-Compliance einer sorgfältigen Prüfung bedarf, sollen die nachfolgenden Beispiele verdeutlichen:

Informationspflichten (Datenschutzhinweise) 

• Diese sind aufgrund der Mehrsprachigkeit in der Schweiz je nach Zielgruppe Ihres Angebots mehrsprachig auszugestalten.
• Es sind zusätzlich sämtliche Empfängerstaaten und die Garantien anzugeben, wenn Daten ins Ausland übermittelt werden.

Abschluss eines Auftragsbearbeitungsvertrages (AVV) 

• Das Schweizer Datenschutzgesetz stellt weniger Anforderungen an den AVV als die DSGVO, dennoch müssen Sie sich dem DSG nicht unterwerfen, sondern können in der Regel auf Ihr bisheriges Muster gemäß DSGVO zurückgreifen.
• Eine Ausnahme besteht bei einer Beauftragung durch eine Bundesbehörde, hier gelten regelmäßig strengere Anforderungen.

Vertreter in der Schweiz
Einen Vertreter müssen Sie in der Schweiz benennen, wenn die nachfolgenden Voraussetzungen der Datenverarbeitung kumulativ erfüllt sind:

• Die Bearbeitung steht im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz.
• Es handelt sich um eine umfangreiche Bearbeitung.
• Es handelt sich um eine regelmäßige Bearbeitung.
• Die Bearbeitung bringt ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich.

Unternehmen, die Daten von Personen in der Schweiz verarbeiten, sollten Ihre Datenschutz-Compliance unbedingt sicherstellen, um einen Datenschutzverstoß schon im Hinblick auf die persönliche Haftung in jedem Fall zu verhindern.

Bei der Umsetzung der Anforderungen unterstützen wir Sie gerne!