Der Datenschutz ist ein Kernaspekt der digitalen Gesellschaft und hat in den letzten Jahren weltweit an Bedeutung gewonnen. In Europa erlangte die Datenschutz-Grundverordnung (DSGVO) erhebliche Aufmerksamkeit, und nun hat die Schweiz das am 01.09.2023 in Kraft getretene revidierte Bundesgesetz über den Datenschutz der Schweiz (Datenschutzgesetz, DSG) sowie die dazugehörige Verordnung über den Datenschutz (Datenschutzverordnung, DSV) verabschiedet, so dass auch dort eine Veränderung der datenschutzrechtlichen Regelungen nun bei den Unternehmen umzusetzen ist.
Die nachfolgenden Ausführungen stellen nur einen Ausschnitt des neuen DSG dar und sollen lediglich dazu dienen, einen Überblick zu erhalten.
Räumlicher Geltungsbereich und Extraterritorialität
Hinsichtlich des räumlichen Geltungsbereiches bestehen zwischen dem DSG und der DSGVO erhebliche Gemeinsamkeiten.
In beiden Rechtsrahmen wurde das sogenannte „Auswirkungsprinzip“ etabliert, nach welchem die jeweiligen Bestimmungen supranational (DSGVO) bzw. national (DSG) gelten und zudem auf Unternehmen und Organisationen Anwendung finden, die personenbezogene Daten von EU-Bürgern bzw. Schweizern verarbeiten, selbst wenn diese außerhalb der EU bzw. der Schweiz ansässig sind.
Demnach müssen sich sowohl Unternehmen aus der EU, welche personenbezogene Daten von Schweizer Bürgern verarbeiten als auch Schweizer Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, neben den eignen datenschutzrechtlichen Normen den Vorgaben des DSG bzw. der DSGVO unterwerfen und beispielsweise eine entsprechende Datenschutzerklärung bereithalten.
Persönlicher und sachlicher Geltungsbereich
Der persönliche und sachliche Anwendungsbereich des DSG erstreckt sich auf sämtliche Bearbeitungsvorgänge von Personendaten durch private Personen (Unternehmen) und Bundesorgane.
Der Terminus «Personendaten» entspricht im Grunde dem Begriff «personenbezogene Daten» gemäß der DSGVO. Dabei handelt es sich nicht nur um offensichtliche Informationen wie Namen oder Adressen, sondern auch um Daten wie IP-Adressen oder ID-Nummern, die dazu verwendet werden können, das Verhalten eines bestimmten Nutzers zu verfolgen und zu profilieren.
Darüber hinaus ist es erforderlich, dass diese Personendaten «bearbeitet» werden, was dem Konzept der «Verarbeitung» gemäß der DSGVO entspricht.
Grundsätze der Verarbeitung personenbezogener Daten
Im Gegensatz zur DSGVO ist im DSG die Datenverarbeitung grundsätzlich erlaubt und erfordert keine ausdrückliche Erlaubnis oder Einwilligung. Allerdings legt das Schweizer Datenschutzgesetz strenge Anforderungen an die Verarbeitung personenbezogener Daten fest. Insbesondere darf die Datenverarbeitung nicht widerrechtlich in die Persönlichkeit der betroffenen Person eingreifen (Artikel 30 DSG). Eine Persönlichkeitsverletzung tritt z.B. auf, wenn die Datenverarbeitung gegen grundlegende Datenschutzprinzipien wie Zweckbindung, Speicherbegrenzung, Datensicherheit oder die Verarbeitung nach Treu und Glauben verstößt. Eine solche Persönlichkeitsverletzung gilt als widerrechtlich, es sei denn, sie ist durch die Einwilligung der betroffenen Person, ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt (Artikel 31 DSG).
Informationspflicht
Die Informationspflicht gemäß Artikel 19 DSG zielt auf die Konkretisierung des Transparenzprinzips ab und betrifft im Kern die in der Praxis bedeutsame Datenschutzerklärung.
Sie verlangt, dass betroffene Personen bei jeder Erhebung personenbezogener Daten über die grundlegenden Aspekte der Datenverarbeitung informiert werden. Der Mindestumfang der mitzuteilenden Informationen ist im Vergleich zur DSGVO etwas geringer und umfasst die Identität und die Kontaktdaten des Verantwortlichen, den Verarbeitungszweck, ggf. die Empfänger oder die Kategorien von Empfängern der personenbezogenen Daten, ggf. die Kategorien der bearbeiteten personenbezogenen Daten, Informationen zu internationalen Datenübermittlungen sowie Angaben zu automatisierten Einzelentscheidungen.
Allerdings geht Artikel 19 des DSG über die DSGVO hinaus und verlangt bei einer Datenübermittlung in das Ausland zusätzlich die Angabe von Empfängerstaaten, wobei die Angabe von Ländergruppen oder Regionen ausreicht. Die Bereitstellung dieser Informationen muss in den meisten Fällen nicht aktiv erfolgen; es genügt, wenn sie leicht zugänglich im Internet verfügbar sind.
Datenschutz-Vertretung
Artikel 14 des DSG normiert die Verpflichtung für ausländische private Verantwortliche, die in der Schweiz keine Niederlassung haben, eine Datenschutz-Vertretung zu benennen. Diese Verpflichtung ist an bestimmte, kumulative Bedingungen gebunden und wird voraussichtlich nur auf eine begrenzte Anzahl von Verantwortlichen zutreffen. Die Rolle der Vertretung besteht darin, als zentrale Anlaufstelle für betroffene Personen und die Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) zu fungieren, um die Anwendung des DSG gegenüber spezifischen ausländischen Verantwortlichen zu erleichtern. Diese Verantwortlichen sind dazu verpflichtet, den Namen und die Adresse ihrer Vertretung öffentlich zu machen, beispielsweise im Rahmen ihrer Datenschutzerklärung auf ihrer Website.
Auftragsbearbeitung
Der Begriff «Auftragsbearbeiter» wird für ausgelagerte Datenverarbeitungen eingeführt, ähnlich dem Konzept des Auftragsverarbeiters in der DSGVO. Gemäß Artikel 9 des Datenschutzgesetzes (DSG) ist eine gesetzliche oder vertragliche Grundlage für die Übertragung einer Datenverarbeitung an einen Auftragsbearbeiter erforderlich. Im Gegensatz zur DSGVO werden keine zusätzlichen Anforderungen an die Vereinbarung zwischen Verantwortlichem und Auftragsbearbeiter gestellt, wie es in Artikel 28 Absatz 3 der DSGVO der Fall ist. Die Auslagerung ist erlaubt, solange die Daten gemäß den Vorgaben des Verantwortlichen verarbeitet werden und keine rechtlichen oder vertraglichen Hindernisse vorliegen. Die Verwendung von Unterauftragnehmern ist nur mit Genehmigung des ursprünglichen Verantwortlichen gestattet.
Verzeichnis der Bearbeitungstätigkeiten
Artikel 12 DSG legt Verantwortlichen und Auftragsbearbeitern das Führen von Verzeichnissen der jeweiligen Bearbeitungstätigkeiten auf, welche mit den aus der DSGVO bekannten Verzeichnisses von Verarbeitungstätigkeiten vergleichbar sind und mindestens
- die Identität des Verantwortlichen;
- den Bearbeitungszweck;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
- die Kategorien der Empfängerinnen und Empfänger;
- wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
- wenn möglich eine allgemeine Beschreibung der Maßnahmen zur Gewährleistung der Datensicherheit nach Artikel 8 DS;
- falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Artikel 16 Absatz 2.
enthalten muss.
Sollte ein Unternehmen weniger als 250 Beschäftigte haben und dessen Datenverarbeitungen nur ein geringes Risiko für die betroffenen Personen aufweisen, ist es von der Pflicht zur Führung eines solchen Verzeichnisses befreit.
Sanktionen und Strafen
Ein bedeutsamer Unterschied besteht in den Sanktionen und Geldbußen, die bei Verstößen gegen die Datenschutzbestimmungen verhängt werden können. Die DSGVO statuiert drakonische Geldstrafen, die bis zu 4 % des globalen Jahresumsatzes eines Unternehmens oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist, erreichen können. Das Schweizer Datenschutzgesetz kennt ebenfalls Geldbußen, doch sind diese im Vergleich zu den DSGVO-Sanktionen erheblich moderater und auf einen Höchstbetrag von 250.000 Schweizer Franken beschränkt.