Das aktualisierte Datenschutzgesetz der Schweiz (DSG): Die Kernpunkte auf einen Blick
So wirken sich die rechtlichen Neuerungen im Schweizer Datenschutz auf Unternehmen aus.
Aufgrund rasanter, technologischer Entwicklungen in den vergangenen Jahren war das bisherige Datenschutzgesetz nicht mehr zeitgemäss. Am 25. September 2020 wurde deshalb das neue Schweizer Datenschutzgesetz (nDSG) vom Parlament verabschiedet und seit dem 1. September 2023 ist es in Kraft.
Revision des Datenschutzgesetzes in der Schweiz (nDSG)
Die Anforderungen der EU-DSGVO (EU-Datenschutz-Grundverordnungen) bilden die Basis für die Revision des Datenschutzgesetzes. Das Schweizer Gesetz ist jedoch keine 1:1-Umsetzung der DSGVO, sondern setzt die Datenschutzregel meist weniger formalistisch und spezifisch um. Ein Unterschied ist zudem, dass die Revision teilweise wesentlich strengere Sanktionen, sowie erweiterte Informationspflichten und die Pflicht zur Erstellung eines Bearbeitungsverzeichnisses vorsieht.
Das aktualisierte Schweizer Datenschutzgesetz soll den Schutz der Persönlichkeits- und Grundrechte von natürlichen Personen in der Schweiz garantieren, sowie ihre Daten schützen, wenn diese durch Private oder den Staat bearbeitet werden. Daten von juristischen Personen sind hingegen durch die neuen Regeln nicht mehr geschützt. Die Gesetzesänderung soll für mehr Transparenz sorgen und das Selbstbestimmungsrecht über persönliche Daten stärken. Ausserdem sollen Datenverarbeiter präventiv auf Risiken aufmerksam gemacht werden und so eigenverantwortlicher handeln können.
Für Unternehmen bedeutet die Revision neue Pflichten, insbesondere bei der Erhebung, dem Verlust oder Missbrauch von Personendaten.
Die nDSG-Neuerungen auf einen Blick
Anwendungsbereich: Auswirkungsprinzip, Vertretung und keine Daten juristischer Personen
Im nDSG bestimmt sich der räumliche Geltungsbereich neu explizit nach dem sog. Auswirkungsprinzip. Das heißt, das Gesetz wird auch für Unternehmen mit Sitz im Ausland anwendbar sein, wenn diese Personendaten bearbeiten und sich diese Datenbearbeitung in der Schweiz auswirkt. Für die zivil- und strafrechtliche Durchsetzung bleiben aber die bisherigen Grundsätze bestehen.
Neu können Unternehmen ohne Sitz in der Schweiz zudem dazu verpflichtet sein, eine Vertretung in der Schweiz zu bezeichnen, wenn diese Personendaten von Personen in der Schweiz bearbeiten. Diese Pflicht wird ausgelöst, wenn die Datenbearbeitung im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen (sog. Angebotsausrichtung) oder der Verhaltensbeobachtung dieser Personen steht. Zudem muss es sich um eine umfangreiche und regelmässige Bearbeitung handeln, die ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt.
Nicht mehr anwendbar ist das nDSG künftig auf Daten juristischer Personen. Damit wird diese Schweizer Besonderheit erfreulicherweise abgeschafft. Die Auswirkungen in der Praxis sollten aber nicht überschätzt werden, erfolgt doch bspw. auch B2B-Verkehr regelmässig auch eine Bearbeitung von Daten natürlicher Personen (z. B. der Ansprechpartner).
Neue besonders schützenswerte Personendaten
Die Definition der besonders schützenswerten Personendaten wurde gegenüber dem gelten DSG erweitert und umfasst künftig auch Daten über die Ethnie, genetische Daten sowie biometrische Daten, die eine natürliche Person eindeutig identifizieren. Die Kategorie der «Persönlichkeitsprofile», für welche bisher die gleich strengen erhöhten Anforderungen gelten, wie für besonders schützenswerte Personendaten, wird ferner im nDSG nicht enthalten sein (vgl. aber die Regelung zum Profiling unten).
Regelung des Profilings
Das revidierte Datenschutzgesetz enthält neu eine Legaldefinition des Profilings, die der EU-DSGVO entspricht und im bisherigen DSG nicht enthalten war. Als Profiling gilt demnach „jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“.
Im Vorentwurf hatte der Bundesrat ursprünglich vorgeschlagen, dass das Profiling künftig stets nur mit einem Rechtfertigungsgrund, wie der Einwilligung der Betroffenen, zulässig sein soll. Gewisse Äusserungen im Parlament haben ein ähnliches Verständnis impliziert, obwohl dieser Vorschlag des Bundesrats nicht Eingang ins Gesetz fand. Somit müsste das Profiling auch künftig ohne Einwilligung zulässig sein. Dies gilt auch für das sog. «Profiling mit hohem Risiko», auch wenn die Debatten im Parlament zu einer gewissen Unsicherheit geführt haben und die Frage noch zu Diskussionen in der Literatur und Rechtsprechung führen dürfte. Nach unserer Einschätzung ist aber davon auszugehen, dass das Parlament auch in Bezug auf das Profiling (mit hohem Risiko) nicht von der etablierten Grundkonzeption des Schweizer Datenschutzrechts abweichen wollte.
Für private Verantwortliche wird eine Einwilligung oder andere Rechtfertigung für ein Profiling (mit hohem Risiko) somit nur bei einer persönlichkeitsverletzenden Datenbearbeitung erforderlich sein. Je nach Art und Umfang des Profilings kann dies allerdings relativ rasch der Fall und damit eine Einwilligung oder ein anderer Rechtfertigungsgrund erforderlich sein. Da beim Rechtfertigungsgrund des überwiegenden Interesses häufig grosse Unsicherheiten bestehen, dürfte auch künftig nicht selten das Einholen einer Einwilligung zu empfehlen sein. Muss von einem „Profiling mit hohem Risiko“ ausgegangen werden, dann genügt zudem nur eine ausdrückliche Einwilligung als (eventuell erforderliche) Rechtfertigung.
Das Profiling mit hohem Risiko war einer der Hauptstreitpunkte, an dem die DSG-Revision beinahe noch gescheitert wäre. Das Vorliegen eines Profilings mit hohem Risiko ist neben der Ausdrücklichkeit einer Einwilligung auch für den Rechtfertigungsgrund der Bonitätsprüfung relevant (siehe unten). Im revidierten DSG definiert Profiling mit hohem Risiko wie folgt:
„Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt“.
Erweiterte Informationspflicht
Die Informationspflicht wird gegenüber dem bisherigen Recht stark ausgebaut. Das nDSG enthält aber bedauerlicherweise keine abschliessende Liste aller Pflichtinformationen, die der betroffenen Person bei der Beschaffung mitgeteilt werden müssen. Es ist daher im Einzelfall zu prüfen, welche Angaben erforderlich sind, wobei eine Orientierung am Katalog der EU-DSGVO in Frage kommen könnte.
Mindestens mitzuteilen sind jedenfalls folgende Pflichtangaben:
- die Identität und die Kontaktdaten des Verantwortlichen
- die Bearbeitungszwecke
- bei einer Bekanntgabe von Daten die Empfänger oder die Kategorien von Empfänger
- bei einer Datenbekanntgabe ins Ausland zusätzlich der Staat oder das internationale Organ und ggf. die Garantie für einen geeigneten Datenschutz oder den Ausnahmetatbestand, falls keine solchen Garantien gegeben sind
- bei indirekten Datenerhebung (d.h. Daten nicht bei der betroffenen Person selbst erhoben werden) zusätzlich die Kategorien der bearbeiteten Personendaten
- die Durchführung automatisierter Einzelentscheidungen, d.h. eine Entscheidung, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die für die betroffene Person mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt.
Ausbau der Betroffenenrechte
Neben der Informationspflicht werden auch die Rechte der Betroffenen im nDSG weiter ausgebaut. Neu wird ähnlich wie in der DSGVO ein Recht der betroffenen Person auf Datenherausgabe und -übertragung statuiert. Betroffene Personen werden verlangen können, dass die von ihnen bekanntgegebenen Daten in einem gängigen elektronischen Format herausgegeben oder an andere Anbieter übermittelt werden. Dieses Recht gilt jedoch nicht voraussetzungslos. Namentlich aufgrund der gesetzlichen Anforderungen des „gängigen elektronischen Formats“ sowie der „Verhältnismässigkeit“ wird sich zeigen müssen, wie häufig dieses Recht von den betroffenen Personen im Streitfalle auch tatsächlich angerufen werden kann.
Darüber hinaus hat die betroffene Position bei automatisierten Einzelentscheidungen (s. Informationspflicht, oben) ein Widerspruchsrecht, wonach sie ihre Position hierzu darlegen darf und verlangen kann, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird.
Regelungen für konzerninterne Weitergabe von Personendaten – Konzernprivileg?
Für viel Gesprächsstoff sorgte auch die künftige Regelung der konzerninternen Weitergabe von Personendaten und damit die Frage, ob ein sog. Konzernprivileg eingeführt werden soll. Letztlich hat ein solches Konzernprivileg allerdings nur in sehr eingeschränkter Form Eingang in das neue Gesetz gefunden. So gelten für den konzerninternen Datenaustausch unter dem nDSG zwar Ausnahmen von der Informationspflicht und dem Auskunftsrecht; trotzdem kann eine konzerninterne Weitergabe auch künftig persönlichkeitsverletzend und in diesem Fall nur bei Vorliegen eines Rechtfertigungsgrunds zulässig sein. Dabei gilt der besondere Rechtfertigungsgrund für die konzerninterne Bearbeitung nur, wenn die betreffenden Daten und die Art ihrer Bearbeitung „für den wirtschaftlichen Wettbewerb“ relevant und erforderlich sind. Auch konzerninterne Bearbeitungen müssen deshalb stets im Einzelfall sorgfältig auf Ihre Rechtmässigkeit geprüft werden.
Rechtfertigungsgrund der Bonitätsprüfung
Für die Durchführung einer Bonitätsprüfung werden in Art. 30 Abs. 2 lit. c nDSG besondere, strengere Voraussetzungen für die Annahme eines überwiegenden Interesses statuiert. Eine Bonitätsprüfung ist demnach gerechtfertigt, wenn:
- keine besonders schützenswerten Personendaten bearbeitet werden und es sich um kein Profiling mit hohem Risiko handelt
- die Daten Dritten nur bekanntgegeben werden, wenn diese die Daten für den Abschluss oder die Abwicklung eines Vertrags mit der betroffenen Person benötigen
- die Daten nicht älter als zehn Jahre sind
- die betroffene Person volljährig ist
Verzeichnis sämtlicher Datenbearbeitungen
Künftig wird – wie unter der DSGVO – auch nach Schweizer Recht ein Verzeichnis sämtlicher Datenbearbeitungen zu führen sein («Verzeichnis der Bearbeitungstätigkeiten«). Das Führen eines Datenbearbeitungsverzeichnisses wird für die meisten Unternehmen mutmasslich zum grössten Aufwand bei der Umsetzung führen, falls nicht bereits entsprechende Massnahmen für die DSGVO-Compliance getroffen wurden. Der grosse Aufwand folgt daraus, dass sämtliche Datenbearbeitungen des gesamten Unternehmens erfasst und genaue Angaben dazu gemacht sowie laufend aktualisiert werden müssen. Der Mindestinhalt dieses Bearbeitungsverzeichnisses ist gesetzlich sowohl für den Verantwortlichen als auch den Auftragsbearbeiter vorgegeben.
Das Bearbeitungsverzeichnis des Verantwortlichen muss folgende Mindestangaben enthalten:
- die Identität des Verantwortlichen
- den Bearbeitungszweck
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten
- die Kategorien der Empfängerinnen und Empfänger
- «wenn möglich» die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer
- «wenn möglich» eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit (geeignete technische und organisatorische Massnahmen, die es ermöglichen Verletzungen der Datensicherheit zu vermeiden)
- falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien, durch die ein geeigneter Datenschutz gewährleistet wird.
Weitere neue Pflichten des Verantwortlichen
Ebenfalls neu aufgenommen wurden verschiedene weitere Pflichten, die mit der Bearbeitung von Personendaten einhergehen:
- Data Breach Notification: Verletzungen der Datensicherheit (z. B. Datenverluste), die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen, sind unverzüglich dem EDÖB und gegebenenfalls der betroffenen Person zu melden.
- Datenschutz-Folgenabschätzungen: Wenn eine beabsichtigte Datenbearbeitung ein hohes Risiko einer Verletzung der Persönlichkeit oder der Grundrechte einer betroffenen Person mit sich bringt, ist der Verantwortliche dazu verpflichtet, die Risiken einer solchen Bearbeitung in einer Datenschutz-Folgeabschätzung zu analysieren. Das nDSG geht davon aus, dass insbesondere bei der Verwendung neuer Technologien und einer umfangreichen Bearbeitung besonders schützenswerter Personendaten oder bei der systematischen Überwachung umfangreicher öffentlicher Bereiche von einem hohen Risiko ausgegangen werden muss.
- Privacy-by-Design und Privacy-by-Default: Wie in der DSGVO sind auch im nDSG explizit die Grundsätze des „Datenschutzes durch Technik“ und „Datenschutz durch datenschutz-freundliche Voreinstellungen“ verankert. Bei der Verarbeitung von Personendaten müssen „ab der Planung“ angemessene technische und organisatorische Massnahmen getroffen werden, welche die Umsetzung von Datenschutzgrundsätzen (z. B. Datenminimierung) in diesen Systemen sicherstellen (Privacy-by-Design). Auch die Voreinstellungen, beispielsweise bei Apps oder Websites, sind so auszugestalten, „dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist“ (Privacy-by-Default).
Verschärfung der Sanktionen und Ausbau der Befugnisse des EDÖB
Das nDSG sieht strafrechtliche Sanktionen in Form einer Busse von bis zu CHF 250’000 vor. Darüber hinaus kann der EDÖB ein verwaltungsrechtliches Untersuchungsverfahren eröffnen und Verfügungen erlassen. Auch wenn der EDÖB selbst keine Sanktionen anordnen kann, drohen auch bei Missachtung einer Anordnung des EDÖB, also bspw. bei der Weiterbearbeitung von Daten trotz Verbot, Strafsanktionen in der gleichen Höhe. Zuständig für die Durchsetzung der strafrechtlichen Sanktionen werden die kantonalen Strafverfolgungsbehörden sein. Möglich sind schliesslich weiterhin auch zivilrechtliche Klagen auf Beseitigung, Unterlassung oder Schadenersatz.
Im Gesetzgebungsverfahren wurde zum Ausdruck gebracht, dass die strafrechtlichen Sanktionen hauptsächlich auf Leitungspersonen und nicht auf die ausführenden Mitarbeiter abzielen. Zugleich wurde aber nicht gänzlich ausgeschlossen, dass es auch Fälle geben kann, in welchen die Sanktion Mitarbeitern ohne Leitungsfunktion auferlegt werden könnte. Bei Widerhandlungen, bei denen höchstens eine Busse von CHF 50’000 in Betracht fällt und der Aufwand zur Ermittlung der strafbaren Person innerhalb des Geschäftsbetriebs unverhältnismässig wäre, kann schliesslich auch das Unternehmen anstelle der natürlichen Person zur Zahlung der Busse verurteilt werden.
Eine detaillierte Übersicht über die Neuerungen im Vergleich zur EU-DSGVO finden Sie im Beitrag der PwC Schweiz.
Wichtiges zur Informationspflicht
Laut Artikel 19 (“Informationspflicht bei der Beschaffung von Personendaten”) sind der Verantwortliche dazu verpflichtet, betroffene Personen angemessen über die Beschaffung von Personendaten zu informieren. Ausserdem müssen der betroffenen Person alle relevanten Informationen mitgeteilt werden, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist.
Werden die Daten nicht bei der betroffenen Person beschafft, muss der Verantwortliche ihr die Kategorien der bearbeiteten Personendaten bis zum Zeitpunkt der Bekanntgabe oder spätestens einen Monat nach Erhalt der Daten mitteilen.
Bei Bekanntgabe der Personendaten ins Ausland muss der Verantwortliche der betroffenen Person zudem den Staat oder das internationale Organ mitteilen.
Die Informationspflicht kann Auswirkungen auf den Whistleblowing-Prozess haben.
Welche Anpassungen sind notwendig, damit Ihr Whistleblowing-Prozess nDSG- & DSGVO-konform ist?
Schaffen Sie durch eine klare Kommunikation über die Verarbeitung der Daten von Whistleblowern und Beschuldigten Transparenz und Vertrauen bei Ihren Mitarbeitenden. So sorgen Sie dafür, dass Sie auch weiterhin wertvolle Hinweise erhalten. Des Weiteren ist es notwendig einen schnellen und effektiven Prozessablauf für die Meldung von Datenschutzverletzungen festzulegen. Ein digitales Hinweisgebersystem ermöglicht den Prozessablauf für Meldungen wie Datenschutzverletzungen anonym und schützt die Daten von Hinweisgebern bestmöglich.
Wir empfehlen die folgenden Massnahmen umzusetzen:
- Implementieren Sie ein digitales Hinweisgebersystem: Nur so können Sie die Anonymität eines Hinweisgebers zu 100 % gewährleisten und verfügen dennoch über die Möglichkeit eines weiterhin anonymen Dialogs (Zwei-Wege-Kommunikation)
- Wenn Sie bereits ein digitales Hinweisgebersystem eingeführt haben: Ergänzen Sie den Meldeprozess um einen Disclaimer. In diesem muss deutlich auf die Pflicht zur Weitergabe der Identität des Hinweisgebers an den Beschuldigten aufmerksam gemacht werden, falls sich der Hinweisgeber für eine nicht-anonyme Meldung entscheidet. Für diesen Fall ist die Einwilligung zur Verarbeitung der personenbezogenen Daten explizit einzuholen. Zudem sollte der Hinweisgeber darauf hingewiesen werden, dass diese Einwilligung innerhalb von 30 Tagen wirksam widerrufen werden kann. Um die 30-Tage-Frist zur Information des Beschuldigten nicht zu verpassen, ist es ausserdem empfehlenswert, automatische Erinnerungen an die bearbeitenden Personen einzurichten.
Weitere To Do’s für Schweizer Unternehmen
Jedes Unternehmen sollte sich mit einer Bestandsaufnahme der Bearbeitung von Personendaten und einer Risikobewertung im Unternehmen auf das neue Gesetz vorbereiten. Schweizer Unternehmen, die grosse Mengen oder besonders schützenswerte Personendaten bearbeiten, müssen die Prozesse im Unternehmen intern so organisieren, dass klar ist, wer Zugriff auf welche Daten hat und diesen Zugriff auf das Nötigste beschränken. Bestehende Datenschutzerklärungen und bestehende Verträge mit Auftragsbearbeitern sollten zudem geprüft, angepasst und ein Verzeichnis der Bearbeitungstätigkeiten erstellt werden.
Weitere Tipps zur Umsetzung:
- Erstellen Sie eine Datenschutzrichtlinie: Eine klare und verständliche Datenschutzrichtlinie hilft, Transparenz zu schaffen und Vertrauen bei Kunden und Geschäftspartnern zu fördern.
- Durchführen eines Datenschutzaudits: Ein regelmäßiges Audit hilft, Schwachstellen in der Datenverarbeitung zu identifizieren und zu beheben.
- Einsatz von Datenschutzmanagement-Tools: Diese Tools unterstützen bei der Verwaltung und Dokumentation der Datenverarbeitungstätigkeiten.
- Rechtsberatung in Anspruch nehmen: Konsultieren Sie einen Fachanwalt für Datenschutzrecht, um sicherzustellen, dass alle gesetzlichen Anforderungen erfüllt werden.
Die neueste Revision des Schweizer Datenschutzgesetzes verschärft die Regeln und sorgt für mehr Klarheit im Umgang mit Personendaten für betroffenen Unternehmen. Mit der Angleichung an die EU-DSGVO und der Anerkennung des rasanten, technologischen Fortschritts, ist die Schweiz für die nächsten Jahre betreffend Datenschutz und Datensicherheit gut aufgestellt. Der Aufwand an Dokumentationspflichten bei Datenschutzvorfällen und die proaktive Risikobewertung sollte nicht unterschätzt werden. Der Einsatz eines Datenschutzmanagement-Tools bietet Unternehmen zahlreiche Vorteile bei der korrekten Handhabung und Einhaltung von Datenschutzgesetzen (DSG-Schweiz, EU-DSGVO oder dem EU-AI-Act). Mit einer intuitiven Lösung wie dem EQS Privacy COCKPIT können Sie alle Datenschutzbestimmungen erfüllen, Kosten und manuelle Prozesse reduzieren, Ihre Datenschutz-Compliance an einem zentralen Ort verwalten und von einer nutzerfreundlichen Plattform profitieren, die sich flexibel an Ihre Bedürfnisse anpasst.
Erfahren Sie, wie Richtlinien im Unternehmen über den gesamten Lebenszyklus effizient gemanagt werden