FAQ zum neuen Schweizer Datenschutzgesetz (DSG)
Ab dem 01. September tritt das neue Schweizer Bundesgesetz über den Datenschutz (kurz “Datenschutzgesetz”, Abkürzung “nDSG”, das “n” für “neu” fällt zum 01.09 weg) in Kraft. Das nDSG betrifft nicht nur Schweizer, sondern z.B. auch deutsche oder österreichische Unternehmen und Webseitenbetreiber.
Das nDSG weist eine große inhaltliche Nähe zur Datenschutz-Grundverordnung (DSGVO) auf, obwohl die DSGVO insgesamt strengere Regelungen enthält. Im folgenden Beitrag erfahren Sie alles, was Sie über das neue Schweizer Datenschutzgesetz wissen müssen und welche Unterschiede zur DSGVO bestehen. Ab dem 01. September tritt das frische Bundesdatenschutzgesetz der Schweiz (abgekürzt „DSG“, das „n“ für „neu“ entfällt ab dem 01.09) in Kraft. Das DSG betrifft nicht nur Schweizer, sondern auch deutsche oder österreichische Unternehmen und Betreiber von Websites.
Die wichtigsten Fragen und Antworten auf die wichtigsten Fragen haben wir hier zusammengefasst:
Lesen Sie hier:
Ab wann gilt das neue Schweizer Datenschutzgesetz?
Das frisch eingeführte DSG in der Schweiz wird ab dem 1. September 2023 in Kraft treten und sofort wirksam und erfordert keine Übergangsphase. Daher ist es unverzüglich notwendig, das Gesetz zu beachten.
Auf welche Art von Verfahren ist das nDSG anwendbar?
Der sachliche Geltungsbereich des neuen schweizerischen Datenschutzgesetzes ist in etwa genauso weitreichend wie der Geltungsbereich der Datenschutz-Grundverordnung. Er betrifft sowohl automatische Datenverarbeitung als auch manuelle Datenverarbeitung in Dateisystemen, das heißt, dass systematisch angeordnete Daten wie zum Beispiel Personalakten ebenfalls einbezogen werden.
Ferner müssen “Personendaten” bearbeitet werden, d.h. lt. Art. 5 lit. a. nDSG:
alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen;
Der Ausdruck bezieht sich im Grunde genommen auf den Ausdruck der „personenbezogenen Informationen“ gemäß der DSGVO (Artikel 4 Nr. 1). Es werden also nicht nur klare Informationen wie Namen oder Adressen erfasst, sondern auch Online-Kennzeichnungen wie beispielsweise ID-Nummern in einem Cookie, die einem bestimmten Nutzer ein Verhaltensprofil zuordnen können.
Darüber hinaus müssen die personenbezogenen Informationen „bearbeitet“ werden, was dem Begriff „Verarbeitung“ in der DSGVO (Artikel 4 Nr. 2 DSGVO) entspricht. „Bearbeitung“ wird gemäß Artikel 5 Buchstabe b der nDSG wie folgt definiert:
jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten;
Es ist wichtig zu beachten, dass das Schweizer Datenschutzgesetz (nDSG) nur Daten von natürlichen Personen schützt, nicht jedoch von juristischen Personen (wie z.B. Aktiengesellschaften oder GmbHs).
Wenn es um IP-Adressen und den Personenbezug geht, ist umstritten, ab wann eine natürliche Person nicht mehr eindeutig identifizierbar ist und die Daten somit anonymisiert werden. Dies wird zum Beispiel bei IP-Adressen deutlich, bei denen Faktoren wie der Aufwand zur Identifizierung berücksichtigt werden müssen (wie das Schweizer Bundesgericht festgestellt hat, dass eine dynamische IP-Adresse als personenbezogene Daten qualifiziert werden kann, BGH 136 II 508 S. 511; ähnlich hat auch der Europäische Gerichtshof geurteilt, EuGH 19.10.2016 – C-582/14). Im Ergebnis sollten Sie davon ausgehen, dass IP-Adressen in der Regel personenbezogene Daten sind, es sei denn, Sie können überzeugende Argumente vorlegen, warum Personen, die Ihre Webseite oder App über die IP-Adresse besuchen, nicht identifiziert werden können (was in der Praxis eher selten der Fall sein dürfte).
Wer muss das Schweizer Datenschutzgesetz beachten?
Das Schweizer Datenschutzgesetz gilt nicht nur für Personen, die in der Schweiz ansässig sind. Entscheidend ist gemäß § 3 Abs. 1 des Schweizer DSG allein die Auswirkung innerhalb des Landes.
Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
Das hat zur Folge, dass das schweizerische Datenschutzgesetz in den nachfolgenden Situationen berücksichtigt werden muss:
- Standort in der Schweiz: Unternehmen und Einzelpersonen mit einer Adresse in der Schweiz müssen das Schweizer Datenschutzgesetz einhalten.
- Kunden oder Nutzer in der Schweiz: Unabhängig davon, ob Unternehmen ihren Sitz in der Schweiz haben oder nicht, müssen sie das Schweizer Datenschutzgesetz achten, wenn ihre Kunden oder Nutzer sich in der Schweiz befinden (sogenanntes Marktortprinzip). Beispielsweise müssen deutsche Online-Shops mit schweizerischen Kunden oder österreichische Anbieter von Apps mit schweizerischen Nutzern das Schweizer Datenschutzgesetz beachten.
- Verhaltensüberwachung (Tracking und Profiling): Wenn schweizerische Staatsbürger eine deutsche Webseite besuchen, auf der beispielsweise Google Analytics oder Meta-Pixel aktiv sind, werden ihre Handlungen in einem Benutzerprofil gespeichert. Dieses Profil wird beispielsweise verwendet, um den Benutzern personalisierte Werbeanzeigen anzuzeigen. Diese Verhaltensüberwachung wird gemäß Artikel 5 Buchstabe f des Schweizer Datenschutzgesetzes als „Profiling“ betrachtet, das sich auf schweizerische Staatsbürger auswirkt (zum Beispiel durch das Anzeigen bestimmter Werbeanzeigen). Aus diesem Grund sollte auch der Websitebetreiber das Schweizer Datenschutzgesetz beachten.
- Arbeiten für Schweizer Auftraggeber: Wenn Auftragnehmer, die nicht aus der Schweiz stammen, personenbezogene Daten im Auftrag von Schweizer Auftraggebern verarbeiten (sogenannte „Auftragsbearbeitung“), sind sie ebenfalls verpflichtet, die geltenden Vorschriften des Schweizer Datenschutzgesetzes einzuhalten.
Wie die Datenschutz-Grundverordnung (DSGVO) gilt auch das neue Datenschutzgesetz (DSG) in der Schweiz, um den Schutz der Daten der eigenen Bürger als Basis für seine Anwendung zu gewährleisten. Somit hört das Gesetz nicht an nationalen Grenzen auf.
In der Praxis werden EU-Unternehmen kaum Auswirkungen durch die Anwendung des Schweizer Datenschutzgesetzes spüren, da es in Bezug auf die Pflichtenliste weitgehend der DSGVO entspricht.
Müssen Schweizer Unternehmen die DSGVO einhalten?
Seit dem Inkrafttreten der DSGVO im Mai 2018 müssen Schweizer Unternehmen und Betreiber von Websites in den folgenden Situationen die DSGVO berücksichtigen (gemäß § 3 Abs. 2 DSGVO):
- Kunden oder Nutzer in der EU: Wenn Schweizer Unternehmen oder Freiberufler Kunden oder Nutzer in der EU haben (zum Beispiel E-Shops, Berater, Hosts, Agenturen usw.), müssen sie ebenfalls die DSGVO einhalten.
- Überwachung des Verhaltens von EU-Nutzern: Dies umfasst beispielsweise das Verfolgen und Profilieren von EU-Besuchern auf Schweizer Websites mit Tools wie Google Analytics oder Meta-Pixel. In der Praxis bedeutet dies, dass Schweizer Website-Betreiber, die Tracking-Tools verwenden möchten, auch die DSGVO befolgen müssen.
- Tätigkeiten für EU-Auftraggeber: Wenn Schweizer Unternehmen personenbezogene Daten im Auftrag von EU-Unternehmen verarbeiten (als sogenannte “Auftragsverarbeitung”), müssen sie auch die damit verbundenen Verpflichtungen gemäß der DSGVO beachten.
Ähnlich wie das neue Datenschutzgesetz der Schweiz (nDSG) legt auch die DSGVO Wert auf den Schutz der persönlichen Daten ihrer Einwohner und findet daher auch Anwendung auf Schweizer Unternehmen, die Daten verarbeiten.
Müssen Privatpersonen das nDSG beachten?
Das nationale Datenschutzgesetz (nDSG) enthält eine Regelung ähnlich wie in der Datenschutz-Grundverordnung (DSGVO), welche besagt, dass natürliche Personen Ausnahmen für die Verarbeitung von Daten haben, solange diese nur im eigenen persönlichen Kreis erfolgt, zum Beispiel unter Freunden und Familie.
- Das nDSG der Schweiz formuliert es wie folgt: „Dieses Gesetz ist nicht anwendbar auf: Personendaten, die von einer natürlichen Person ausschließlich zum persönlichen Gebrauch bearbeitet werden“ (Art. 2 Abs. 2 lit. a. DSG).
- Die DSGVO sagt dazu: „Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ (Art. 2 Abs. 2 lit. c DSGVO).
Um festzulegen, wo der persönliche Bereich endet, empfiehlt es sich insbesondere, die Kontrolle über die Daten und die möglichen negativen Auswirkungen für die betroffenen Personen zu berücksichtigen.
Ein Beispiel dafür wäre…
- Im privaten Bereich: Wenn jemand zum Beispiel die Adressdaten eines Vereins unter seinen engen Freunden teilt, kann er diese Daten durch angemessene Maßnahmen noch löschen lassen, ohne dass das nationale Datenschutzgesetz (nDSG) und die Datenschutz-Grundverordnung (DSGVO) zur Anwendung kommen.
- Kein privater Bereich: Wenn dieselben Adressdaten wie im oben genannten Beispiel auf einer Website oder in sozialen Medien veröffentlicht werden, verliert man die Kontrolle darüber und die betroffenen Personen müssen mit negativen Konsequenzen rechnen, wie zum Beispiel unerwünschter Zustellung von Waren oder Nutzung für Phishing-Zwecke. Auch der Europäische Gerichtshof (EuGH) betrachtet die Veröffentlichung von personenbezogenen Daten durch Privatpersonen als Verstoß gegen den Datenschutz (EuGH, 14.02.2019 – C-345/17).
Was sind die Unterschiede zwischen dem nDSG und der DSGVO?
Obwohl die DSGVO und das nDSG in ihrer Konzeption unterschiedlich sind, haben sie auf praktischer Ebene ähnliche Auswirkungen. Falls Sie bisher schon die Vorgaben der DSGVO erfüllen mussten, werden sich für Sie nur geringfügige Anpassungen ergeben.
Die wesentlichen Unterschiede bestehen darin:
- Kein Verzeichnis von rechtlichen Grundlagen: Im Unterschied zur DSGVO (Art. 6 DSGVO) ist es im nDSG nicht notwendig, eine spezifische Rechtsgrundlage für die Verarbeitung anzugeben. Es genügt, dass die Verarbeitung die Prinzipien der Legalität, Treu und Glauben, Verhältnismäßigkeit und Zweckbindung respektiert (Art. 6 Abs. 1 bis 3 nDSG).
- Weniger detaillierte Vorschriften: Die DSGVO ist wesentlich ausführlicher, wenn es um die Definition von Begriffen und Vorschriften geht. Ein Beispiel hierfür ist das Fehlen eines Verzeichnisses von rechtlichen Grundlagen im nDSG oder die Anforderungen an die Durchführung einer Auftragsverarbeitung. Das bedeutet jedoch nicht, dass das nDSG einen geringeren Datenschutz bietet. Es gibt mehr Spielraum, um zu bestimmen, wie Verstöße gegen das Persönlichkeitsrecht vermieden werden können.
- Geringere Bußgelder: Bußgelder bis zu 250.000 Franken (Art. 60 bis 63 nDSG) – im Vergleich zur DSGVO (bis zu 4% bzw. 20 Millionen Euro – erscheinen zunächst als gering. Es handelt sich jedoch um Maximalbeträge, so dass fallbezogen eine Angleichung des nDSG und der DSGVO erfolgen könnte.
Das Nationalratsgesetz zum Datenschutz (nDSG) erweist sich insgesamt als vorteilhafter für Unternehmen im Vergleich zur Datenschutz-Grundverordnung (DSGVO). Die deutlichen Unterschiede in den Strafen sind ein offensichtlicher Hinweis darauf. Allerdings profitieren hiervon nur Unternehmen, die nicht gleichzeitig den Vorgaben der DSGVO unterliegen, sprich deren Geschäftsbereich auf die Schweiz und Nicht-EU-Länder begrenzt ist.
Was sind die Gemeinsamkeiten zwischen dem nDSG und der DSGVO?
Viele der neuen Bestimmungen im schweizerischen nDSG weisen Ähnlichkeiten mit den Vorgehensweisen der DSGVO auf, wobei sie meistens ausführlicher ausformuliert sind.
- Gültigkeitsbereich über Ländergrenzen hinweg: Sowohl die Datenschutz-Grundverordnung (DSGVO) als auch das neue Datenschutzgesetz (nDSG) gelten, unabhängig von dem Sitz der Verantwortlichen im Ausland, sobald ihre Bürger betroffen sind (Art. 3 nDSG, Art. 3 DSGVO).
- Ausnahmen für die Verarbeitung personenbezogener Daten: Natürliche Personen, die Personendaten nur innerhalb ihres persönlichen oder engen Umfelds bearbeiten, wie zum Beispiel innerhalb der Familie und unter Freunden (Art. 2 Abs. 2 lit. a. DSG, Art. 2 Abs. 2 lit. c. DSGVO).
- Verantwortlichkeit: Eine Person ist gemäß sowohl dem nDSG als auch der DSGVO für die Verarbeitung personenbezogener Daten verantwortlich, wenn sie alleine oder gemeinsam mit anderen über den Zweck und die Methoden der Verarbeitung entscheidet (Art. 5 lit. j. nDSG, Art. 4 Nr. 7 DSGVO).
- Verarbeitung von Aufträgen: In ähnlicher Weise wie die Datenschutz-Grundverordnung (DSGVO) legt auch das neue Datenschutzgesetz (nDSG) fest, dass bestimmte Anforderungen an einen beauftragten Dienstleister gestellt werden, der in einem klar definierten Rahmen tätig ist (Art. 5 lit. k., Art. 9 nDSG, Art. 4 Nr. 8, 28 DSGVO).
- Erlaubnis zur Verarbeitung: Sowohl das nDSG als auch die DSGVO erlauben die Verarbeitung personenbezogener Daten nur dann, wenn die Grundsätze der Rechtmäßigkeit, des Vertrauens, der Verhältnismäßigkeit und der Zweckbindung eingehalten werden (Art. 6 Abs. 1 bis 3 nDSG, Art. 5 Abs. 1 lit. a und b DSGVO).
- Datenschutz-Folgenabschätzung: Gemäß den neuen Vorschriften erfordert eine Datenschutz-Folgenabschätzung und ein Konsultationsverfahren oder eine Überprüfung durch bestellte Datenschutzberater eine Datenverarbeitung nur dann, wenn diese ein erhebliches Risiko für die Persönlichkeitsrechte oder Grundrechte einer Person darstellt (Art. 22, 23 nDSG).
Datenschutz-Folgenabschätzung: Gemäß den neuen Vorschriften erfordert eine Datenschutz-Folgenabschätzung und ein Konsultationsverfahren oder eine Überprüfung durch bestellte Datenschutzberater eine Datenverarbeitung nur dann, wenn diese ein erhebliches Risiko für die Persönlichkeitsrechte oder Grundrechte einer Person darstellt (Art. 22, 23 nDSG).
- Geltungsbereich über die Landesgrenzen hinaus: Sowohl die DSGVO als auch das nDSG beziehen ihre Gültigkeit darauf, ob ihre Bürger betroffen sind, unabhängig davon, ob die Verantwortlichen im Ausland sitzen (Art. 3 nDSG, Art. 3 DSGVO).
- Ausnahme für persönliche Datenbearbeitung: Natürliche Personen, die Personendaten lediglich innerhalb ihres persönlichen oder eigenen Kreises bearbeiten, zum Beispiel innerhalb der Familie und unter Freunden (Art. 2 Abs. 2 lit. a. DSG, Art. 2 Abs. 2 lit. c. DSGVO).
- Verantwortlichkeit: Sowohl das nDSG als auch die DSGVO ist jemand für die Bearbeitung von Personendaten verantwortlich, wenn er allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet (Art. 5 lit. j. nDSG, Art. 4 Nr. 7 DSGVO).
- Auftragsbearbeitung: Wie die DSGVO kennt auch das nDSG das Konzept eines anweisungsgebundenen Auftragsbearbeiters, an den bestimmte, wenn auch weniger detailliert festgelegte Anforderungen gestellt werden (Art. 5 lit. k., Art. 9 nDSG, Art. 4 Nr. 8, 28 DSGVO).
- Erlaubnis der Bearbeitung: Beide Gesetze erlauben die Bearbeitung von Personendaten nur, wenn die Grundsätze der Rechtmäßigkeit, Treu und Glauben, Verhältnismäßigkeit und Zweckbindung eingehalten werden (Art. 6 Abs. 1 bis 3 nDSG, Art. 5 Abs. 1 lit. a und b. DSGVO).
- Datenschutz-Folgenabschätzung: Neue Vorschriften erfordern eine Datenschutz-Folgenabschätzung und ein Konsultationsverfahren, oder eine Überprüfung durch bestellte Datenschutzberater, falls eine Datenbearbeitung ein hohes Risiko für die Persönlichkeitsrechte oder Grundrechte einer Person darstellt (Art. 22, 23 nDSG).
- Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sind auch im Artikel 7 des nDSG verankert. Daher müssen Datenschutzrichtlinien bereits während der Planungs- und Konzeptionsphase berücksichtigt werden, zum Beispiel bei der Auswahl von Software-Tools.
- Sicherheit der Verarbeitung von Daten: Auch gemäß dem nDSG müssen angemessene technische und organisatorische Maßnahmen ergriffen werden, um die Sicherheit der Datenbearbeitung zu gewährleisten (Artikel 8 nDSG). Allerdings geht das nDSG weniger ins Detail als die DSGVO.
- Datenschutzberater/in: Die Rolle der „Datenschutzberaterin oder -berater“ in der Schweiz (Artikel 10 nDSG) entspricht im Wesentlichen den Aufgaben des „Datenschutzbeauftragten“ gemäß der DSGVO (Artikel 37 und 38 DSGVO). Der Unterschied besteht jedoch darin, dass die Bestellung einer Datenschutzberaterin oder -beraters immer freiwillig ist.
- Verzeichnis der Verarbeitungsvorgänge: Gemäß sowohl der Datenschutz-Grundverordnung (DSGVO) als auch dem neuen Datenschutzgesetz (nDSG) sind Unternehmen dazu verpflichtet, eine aktuelle Auflistung ihrer Verarbeitungsvorgänge zu führen.
- Informationspflichten und Datenschutzerklärung: Wie auch die DSGVO schreibt das nDSG vor, dass betroffene Personen über die Verarbeitung ihrer persönlichen Daten informiert werden müssen (Art. 19 nDSG, Art. 13 und 14 DSGVO). Im Vergleich zur DSGVO sind die Anforderungen an den Inhalt einer Datenschutzerklärung jedoch weniger umfangreich.
- Automatisierte Entscheidungsfindung: Verantwortliche müssen betroffene Personen grundsätzlich darüber informieren, wenn eine Entscheidung ausschließlich auf einer automatisierten Verarbeitung basiert und rechtliche Konsequenzen für die Betroffenen hat. Zusätzlich haben Betroffene das Recht, zu verlangen, dass eine natürliche Person die automatisierte Einzelentscheidung überprüft.
- Rechte der betroffenen Personen: Das neue DSG erweitert die Informationsrechte der betroffenen Individuen (Art. 25 nDSG) und führt ein neues Recht auf Datenübertragbarkeit ein, ähnlich wie in der DSGVO (Art. 28 nDSG, Art. 20 DSGVO). Weitere Rechte, wie das Recht auf Berichtigung, Löschung oder Widerspruch, sind in der DSGVO nicht so ausführlich aufgeführt wie in der DSGVO (vgl. Art. 32 nDSG).
- Meldepflicht bei Verstoß gegen den Datenschutz: Datenschutzverstöße müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) „so schnell wie möglich“ gemeldet werden (Art. 24 nDSG). Dies gilt auch für die DSGVO, allerdings mit einer festgelegten Frist von 72 Stunden (Art. 33 DSGVO).
- Vertretung in der Schweiz und in der EU: Laut DSGVO und nDSG müssen ausländische Bearbeiter einen Vertreter im Inland, entweder in der Schweiz oder in der EU, benennen, vor allem, wenn sie regelmäßig Schweizer Kunden oder Nutzer in der EU bedienen (Art. 14 nDSG, Art. 27 DSGVO). Viele Unternehmen lassen diese Verpflichtung jedoch oft außer Acht, sofern sie keine Niederlassungen in der EU haben oder keine bedeutende Kundenbasis in der EU erreichen. Der Grund dafür könnte sein, dass EU-Aufsichtsbehörden bisher eher selten Maßnahmen ergriffen haben, trotz möglicher Bußgelder.
- Weitergabe von Personendaten ins Ausland: Wie in der Europäischen Union müssen Datenübermittlungen in Länder außerhalb der EU, insbesondere in die Vereinigten Staaten, eine besondere Begründung haben (Artikel 16 des Datenschutzgesetzes, Artikel 44-49 der Datenschutz-Grundverordnung). Ähnlich wie in der EU werden hier sogenannte Entscheidungen über die Angemessenheit getroffen, bei denen der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) das Niveau des Datenschutzes bestimmt oder stattdessen die Verwendung von Standardvertragsklauseln oder Einwilligungen möglich ist.
Wann ist eine Bearbeitung von Personendaten nach dem nDSG erlaubt?
Gemäß dem nDSG ist es gestattet, Personendaten zu bearbeiten, solange dabei die Prinzipien der Rechtmäßigkeit, des Vertrauens, der Verhältnismäßigkeit und der Zweckbindung beachtet werden (Art. 6 Abs. 1 und 2 nDSG).
Diese Prinzipien bilden die Grundlage des Datenschutzes und gelten auch in der EU (Art. 5 Abs. 1 lit. a und b DSGVO). Das bedeutet insbesondere, dass die Interessen der Bearbeiter mit denen der betroffenen Personen abgewogen werden müssen und letztere über die Bearbeitung und Zwecke der Daten informiert sein müssen, wobei diese Informationen nicht nachträglich verändert werden dürfen.
Der wesentliche Unterschied zwischen der DSGVO und dem nDSG liegt in der spezifischen Ausgestaltung dieser Prinzipien.
- Im Allgemeinen ist die Verarbeitung von personenbezogenen Daten gemäß der DSGVO untersagt und nur unter bestimmten Erlaubnisgründen gestattet, wie beispielsweise durch Zustimmung, Verarbeitung zur Erfüllung eines Vertrags oder aufgrund berechtigter Interessen gemäß Artikel 6 der DSGVO.
- Im Gegensatz dazu erlaubt das nDSG grundsätzlich die Bearbeitung von Personendaten, solange die Prinzipien der Gesetzmäßigkeit, Zweckbindung, Verhältnismäßigkeit sowie Glaubwürdigkeit und Fairness beachtet werden. Nur wenn die Bearbeitung zu einer Verletzung der Persönlichkeitsrechte führt, muss gemäß Artikel 31 des nDSG eine Begründung vorliegen.
Im Großen und Ganzen sollten die Beurteilungen zur Zulässigkeit von Verarbeitungsprozessen gemäß beiden Gesetzen ähnlich ausfallen. Es steht jedoch außer Frage, dass das Schweizer System flexibler und weniger streng geregelt ist, weshalb es unternehmensfreundlicher wirkt. Falls man allerdings die Bestimmungen der DSGVO beachten muss, sollte man sich an deren Anforderungen orientieren. Verarbeitungen, die gemäß der DSGVO erlaubt sind, werden auch nach dem nDSG zulässig sein.
Ist ein Verzeichnis von Bearbeitungstätigkeiten notwendig?
Gemäß den Bestimmungen des Datenschutzgesetzes (DSG) in der Schweiz müssen Unternehmen eine Aufzeichnung über ihre Datenverarbeitungstätigkeiten führen (Art. 12 nDSG).
Es besteht keine Verpflichtung zur Veröffentlichung des Verzeichnisses. Es muss lediglich auf Anforderung der Datenschutzaufsicht zur Verfügung gestellt werden.
Das Verzeichnis umfasst eine ständig aktualisierte Übersicht über die Datenverarbeitungsaktivitäten eines Unternehmens. Es enthält Informationen zu den Zwecken der Verarbeitung, den betroffenen Datenkategorien, den Empfängern und anderen relevanten Details.
Gemäß Art. 12 des Schweizer DSG enthält das Verzeichnis mindestens die folgenden Informationen:
- die personenbezogenen Daten verantwortliche Partei (Identität);
- der Zweck der Verarbeitung;
- eine Beschreibung der betroffenen Personen und der Kategorien der verarbeiteten personenbezogenen Daten;
- die Empfängergruppen;
- sofern möglich, die Speicherdauer der personenbezogenen Daten oder die Kriterien für deren Festlegung;
- sofern möglich, eine allgemeine Beschreibung der Maßnahmen zur Gewährleistung der Datensicherheit gemäß Artikel 8;
- sofern die Daten ins Ausland übermittelt werden, Angabe des Landes und der Garantien gemäß Artikel 16 Absatz 2.
- Angaben zur Identität des Auftragsverarbeiters und des Verantwortlichen, zu den Kategorien von Verarbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden, sowie die oben genannten Angaben nach den Buchstaben f und g.
Wenn bereits ein Verzeichnis der Datenverarbeitungstätigkeiten gemäß Artikel 30 der DSGVO vorhanden ist, erfüllt es normalerweise auch die Anforderungen des nationalen Datenschutzgesetzes.
Es gibt eine Ausnahme von der Verpflichtung, ein Verzeichnis der Datenverarbeitungstätigkeiten zu führen: Der Bundesrat kann Unternehmen, die weniger als 250 Mitarbeiter beschäftigen und deren Datenverarbeitung ein geringes Risiko für die Privatsphäre der betroffenen Personen darstellt, gemäß Artikel 12 Absatz 5 des nationalen Datenschutzgesetzes Ausnahmen gewähren. Artikel 30 Absatz 5 der DSGVO sieht bereits eine Ausnahme von dieser Verpflichtung vor, gilt jedoch nur für gelegentliche Datenverarbeitungen bei Unternehmen mit weniger als 250 Mitarbeitern. In den heutigen Arbeitspraktiken wie z.B. E-Mail-Kommunikation und der Nutzung von Websites findet die Datenverarbeitung in der Regel regelmäßig statt. Daher müssen die meisten Unternehmen ein Verzeichnis der Datenverarbeitungs- oder Datenbearbeitungstätigkeiten führen.
Ist eine Datenschutzerklärung nach Schweizer Recht erforderlich?
Gemäß Artikel 19 des Schweizer Datenschutzgesetzes besteht die Verpflichtung, eine Datenschutzerklärung bereitzustellen. Bei Verstoß gegen diese Verpflichtung kann gemäß Artikel 60 des Schweizer Datenschutzgesetzes eine Geldstrafe von bis zu 250.000 Franken verhängt werden.
Es ist weder notwendig noch empfehlenswert, neben der Datenschutzerklärung gemäß der Datenschutz-Grundverordnung (DSGVO) eine separate Datenschutzerklärung gemäß dem neuen Schweizer Datenschutzgesetz zu führen. Obwohl die gesetzlichen Anforderungen zunächst unterschiedlich aussehen mögen, ähneln sich die erforderlichen Inhalte stark.
Die Pflichtangaben gemäß Artikel 13 und 14 der DSGVO umfassen:
- Identitäts- und Kontaktinformationen des Verantwortlichen.
- Kontaktdetails des Datenschutzbeauftragten.
- Zwecke der Datenverarbeitung und rechtliche Grundlage.
- „Legitime bzw. Berechtigte Interessen“ des Verantwortlichen oder eines anderen Beteiligten.
- Empfänger oder Kategorien von Personen, an die personenbezogene Daten übermittelt werden.
- Übertragung von Daten in ein Land außerhalb der EU.
- Aufbewahrungsdauer.
- Erwähnung der Rechte der betroffenen Person.
- Ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist oder für den Abschluss eines Vertrags erforderlich ist.
- Informationen zur automatisierten Entscheidungsfindung und zum Profiling.
- Bei Verweis auf externe Quellen (z. B. Datenkauf), Kategorien und Herkunft der Daten.
Im Gegensatz dazu ist die Liste der unbedingt notwendigen Inhalte gemäß Artikel 19 des neuen Datenschutzgesetzes (nDSG) kürzer:
- Die Identität und Kontaktdaten des Verantwortlichen
- Der Zweck der Datenverarbeitung
- Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
- Die Übermittlung von Daten ins Ausland
- Wenn auf externe Quellen (z.B. Datenkauf) Bezug genommen wird, die Kategorien der Daten.
Es ist jedoch wichtig zu beachten, dass eine geringere Anzahl von Pflichtangaben nicht bedeutet, dass keine weiteren Informationen erforderlich sind. Weder die Datenschutz-Grundverordnung (DSGVO) noch das nDSG enthalten eine abschließende Liste der erforderlichen Informationen. Artikel 19 Absatz 2 des nDSG besagt stattdessen, dass der Verantwortliche den betroffenen Personen mitteilt.
diejenigen Informationen mit, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann.
Zusammenfassend empfehlen wir, bei der Erstellung der Datenschutzerklärung die Richtlinien der Artikel 13 und 14 der Datenschutz-Grundverordnung (DSGVO) zu berücksichtigen. Dadurch werden auch die allgemeinen Anforderungen des schweizerischen Datenschutzgesetzes (nDSG) an eine Datenschutzerklärung erfüllt.
Dies gilt auch für die Vorgaben der DSGVO bezüglich der Art und Weise, wie Informationen zum Datenschutz bereitgestellt werden müssen („in einer klaren und einfachen Sprache, präzise, transparent und leicht zugänglich“, Artikel 12 Absatz 1 der DSGVO).
Verwendung von Begriffen in der Datenschutzerklärung: Im Hinblick auf die Begriffe, die in der Datenschutzerklärung verwendet werden, empfehlen wir, die Termini der DSGVO oder des DSG zu nutzen und diese zu Beginn zu erklären, um mögliche Verwirrung bei den betroffenen Personen zu vermeiden. Wenn die Datenschutzerklärung ausschließlich für die Schweiz gilt, sollten ausschließlich schweizerische Begriffe verwendet werden.
Gerne helfen unsere Datenschutzbeauftragte von max2-consulting bei der Erstellung der Datenschutzerklärung.
Wann benötigt man nach dem Schweizer DSG Auftragsbearbeitungsverträge?
Im nDSG gibt Artikel 9 Regelungen für Auftragsbearbeiter vor, die einem Auftragsverarbeiter gemäß DSGVO entsprechen (Art. 4 Nr. 8 DSGVO):
- Weisungsgebundenheit: Ein Auftragsbearbeiter ist eine Person oder Firma, die von jemandem beauftragt wird, Personendaten zu bearbeiten. Dies kann zum Beispiel ein Webhoster, ein externer Personalverwalter, Google bei Google Analytics, eine Werbeagentur, die Gewinnspiele veranstaltet, oder ein Newsletterversender sein (Art. 5 lit. k nDSG).
- Verantwortung des Auftragsbearbeiters: Ähnlich wie in der DSGVO muss derjenige, der den Auftragsbearbeiter beauftragt, sicherstellen, dass die Datensicherheit gewährleistet ist.
- Kein Auftragsbearbeitungsvertrag: Im Unterschied zur DSGVO (Art. 28 DSGVO) ist es im nDSG nicht zwingend erforderlich, spezielle vertragliche Vereinbarungen abzuschließen (sog. “Auftragsverarbeitungsvertrag” oder auf Englisch “Data Processing Agreement”, DPA). Wenn ein Unternehmen die DSGVO einhalten muss, ist es jedoch in jedem Fall verpflichtet, einen Auftragsverarbeitungsvertrag abzuschließen.
- Legitimation: Ein Beauftragter kann eingesetzt werden, wenn die Daten in der gleichen Weise verarbeitet werden, wie es der Verantwortliche selbst tun könnte, und keine rechtliche oder vertragliche Verpflichtung zur Vertraulichkeit die Übertragung verbietet.
- Unterbeauftragter: Wie es in der DSGVO vorgeschrieben ist, dürfen Beauftragte die Datenverarbeitung an weitere Beauftragte nur mit Zustimmung des ursprünglich Verantwortlichen übertragen, zum Beispiel wenn ein Unternehmen (Verantwortlicher) eine Marketingagentur (Beauftragter) mit Kundenmailings beauftragt und diese wiederum einen technischen Versanddienstleister (Unterbeauftragter) beauftragen möchte.
Ist nach dem nDSG ein Datenschutzberater erforderlich?
Der Schweizer Datenschutzberater, gemäß Artikel 10 des Bundesgesetzes über den Datenschutz (nDSG), hat ähnliche Aufgaben wie der Datenschutzbeauftragte nach Artikel 37 und 38 der Datenschutz-Grundverordnung (DSGVO). Der wesentliche Unterschied liegt in der Verpflichtung zur Bestellung eines solchen Beraters.
- nDSG: Es ist möglich für private Unternehmen, auf freiwilliger Basis einen Datenschutzberater zu ernennen, welcher unabhängig und unvoreingenommen sein sollte. Die Tätigkeiten des Datenschutzberaters umfassen allgemeine Beratung, Schulungen und Unterstützung bei der Gestaltung und Umsetzung von Datenschutzregeln und Bedingungen.
- DSGVO: Gemäß der DSGVO besteht grundsätzlich auch die Möglichkeit, einen Datenschutzbeauftragten freiwillig zu ernennen. Allerdings ist die Bestellung eines Datenschutzbeauftragten erforderlich, wenn die Verarbeitung personenbezogener Daten besonders hohe Risiken mit sich bringt (Art. 37 DSGVO). In Deutschland ist die Bestellung eines Datenschutzbeauftragten ab 20 Mitarbeitern sogar gesetzlich vorgeschrieben (§ 38 Abs. BDSG).
Ist nach dem Schweizer DSG eine Einwilligung für Cookies erforderlich?
Wenn es um Cookies geht, müssen immer zwei Arten von Vorschriften berücksichtigt werden. Erstens müssen Gesetze zum Schutz vor unbefugtem Zugriff auf fremde Geräte überprüft werden:
- Einverständnis erforderlich in der EU: In der Europäischen Union müssen Nutzer ihr Einverständnis geben, wenn nicht unbedingt notwendige Cookies auf ihren Geräten gespeichert oder ausgelesen werden sollen (gemäß Artikel 5 Absatz 3 der ePrivacy-Richtlinie, national umgesetzt in Deutschland durch § 25 TTDSG und in Österreich durch § 96 Absatz 3 TKG).
- Informationspflicht in der Schweiz: Das Pendant zur ePrivacy-Richtlinie der EU ist Artikel 45c des Fernmeldegesetzes (FMG): „Die Verarbeitung von Daten auf fremden Geräten mittels Fernmeldeübertragung ist nur erlaubt, wenn … b. die Benutzer über die Verarbeitung und ihren Zweck informiert und darauf hingewiesen werden, dass sie der Verarbeitung widersprechen können.“ Das bedeutet, dass in der Schweiz ein Hinweis auf Cookies und die Möglichkeit ihrer Löschung (auch über die Browsereinstellungen) ausreicht, während die EU eine ausdrückliche Einwilligung für nicht notwendige Cookies verlangt.
Abgesehen von den Regelungen zur Sicherheit vor unbefugtem Zugriff auf fremde Geräte, sind auch die Anforderungen in Bezug auf den Schutz der Privatsphäre zu berücksichtigen.
- Die Regelungen zur Einwilligungspflicht von Cookies in der EU sind weder klar definiert noch abschließend festgelegt. Die Aufsichtsbehörden sind der Meinung, dass eine Einwilligung gemäß der Datenschutzgrundverordnung (DSGVO) erforderlich ist, wenn eine Einwilligungspflicht auch gemäß der ePrivacy-Richtlinie besteht. Allerdings gibt es auch andere Meinungen zu dieser Ansicht. Es ist jedoch anzunehmen, dass Gerichte eine Einwilligungspflicht sehen werden, insbesondere wenn Tools verwendet werden, um Nutzerprofile über verschiedene Geräte hinweg zu erstellen und die Daten zu Werbezwecken zu nutzen (z. B. Google Analytics und Meta-Pixel).
- Keine eindeutige Zustimmung erforderlich in der Schweiz: Wenn das Profiling durch Cookies nach schweizerischem Recht als Verstoß gegen das Persönlichkeitsrecht angesehen würde, ergäbe sich auch nach Schweizer Recht die Notwendigkeit einer Zustimmung. In einem solchen Fall müsste auch eine Zustimmung gemäß Art. 30 Abs. 1 und 31 Abs. 1 nDDSG, also ein „Cookie-Opt-In“, eingeholt werden. Allerdings besteht hier keine klare rechtliche Situation, daher ist eine Gerichtsentscheidung weniger leicht vorherzusagen als in der Europäischen Union.
Insgesamt lässt sich festhalten, dass Cookies gemäß dem reinen Schweizer Recht nicht zwingend einer Opt-In-Pflicht unterliegen. Jedoch gilt die DSGVO auch für Schweizer Webseitenbetreiber, wenn diese das Verhalten von EU-Bürgern beobachten.
Daher empfiehlt es sich für Schweizer Websitebetreiber letztendlich ebenfalls, ein Opt-In für Cookies anzubieten.
Was gilt nach dem nDSG für sensible Personendaten?
Im Artikel 5 Buchstabe c definiert das neue Datenschutzgesetz spezielle Kategorien von Personendaten, die besonders geschützt werden sollten. Diese Kategorien entsprechen im Wesentlichen den besonderen Arten von personenbezogenen Daten, die in Artikel 9 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) festgelegt sind. Sie beziehen sich auch auf den nationalen Schutz von Sozialdaten.
Es handelt sich um Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Daten über die Gesundheit, Intimsphäre oder Zugehörigkeit zu einer bestimmten Rasse oder Ethnie, Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen, Daten über Maßnahmen der sozialen Hilfe, genetische Daten sowie biometrische Daten, die eine Person eindeutig identifizieren können.
Die Berechtigung zur Bearbeitung besonders schützenswerter Personendaten ist nach dem nDSG eher weniger streng geregelt als in der DSGVO:
- DSGVO: Die Verarbeitung von speziellen Kategorien personenbezogener Informationen ist grundsätzlich untersagt und darf nur stattfinden, wenn einer der explizit genannten Rechtfertigungsgründe gegeben ist (zum Beispiel Einwilligung, Behandlungsvertrag etc., Artikel 9 Absatz 2 DSGVO).
- nDSG: Sofern die Prinzipien der Legalität, Vertrauenswürdigkeit, Verhältnismäßigkeit und Zweckbindung berücksichtigt werden, ist im Allgemeinen keine besondere Rechtfertigung erforderlich (Artikel 6 Absatz 1 bis 3 nDSG, Artikel 5 Absatz 1 Buchstabe a und b DSGVO). Eine Ausnahme besteht, wenn Persönlichkeitsrechte verletzt werden, was insbesondere dann der Fall ist, wenn „besonders schützenswerte Personendaten an Dritte weitergegeben werden“ (zum Beispiel begeht ein Arzt, der Gesundheitsdaten zu Untersuchungszwecken an ein Labor weitergibt, grundsätzlich eine Persönlichkeitsverletzung (Artikel 30 Absatz 2 Buchstabe c nDSG), die jedoch zur Erfüllung eines Vertrags notwendig und somit gerechtfertigt ist (Artikel 31 Absatz 1 und 2 Buchstabe a nDSG)).
Welche Rechte stehen den betroffenen Personen nach dem Schweizer DSG zu?
Die Datenschutzgrundverordnung (DSGVO) beinhaltet eine Sammlung von Rechten für Betroffene, die in den Artikeln 15 bis 22 der DSGVO festgelegt sind:
- Das Recht auf Informationserteilung
- Das Recht auf Berichtigung
- Das Recht auf Löschung und Einschränkung der Verarbeitung
- Das Recht auf Widerspruch
- Das Recht auf Datenübertragbarkeit
- Das Recht auf Beschwerde bei einer Aufsichtsbehörde
Im neuen Datenschutzgesetz (nDSG) werden explizit nur das Recht auf Informationserteilung (Artikel 25-27 nDSG) und das Recht auf Datenübertragbarkeit (Artikel 28-29 nDSG) erwähnt. Die anderen Rechte ergeben sich jedoch unter anderem aus dem Katalog der Rechtsansprüche der betroffenen Personen in Artikel 32 der DSGVO.
Welchen Inhalt muss eine Auskunft gemäß dem nDSG enthalten?
Die Informationen, die den betroffenen Personen gegeben werden müssen, müssen gemäß Artikel 27 des Nationalen Datenschutzgesetzes folgende Angaben enthalten:
- Die Identität und Kontaktdaten der verantwortlichen Person
- Die verarbeiteten personenbezogenen Daten selbst
- Der Zweck der Verarbeitung
- Die Dauer der Speicherung der personenbezogenen Daten oder, falls dies nicht möglich ist, die Kriterien, nach denen diese Dauer festgelegt wird
Verfügbare Informationen über die Herkunft der personenbezogenen Daten, sofern sie nicht vom betroffenen Personen stammen - Gegebenenfalls das Vorhandensein einer automatisierten Einzelentscheidung sowie die Logik, auf der diese Entscheidung beruht
- Gegebenenfalls die Empfänger oder Kategorien von Empfängern, denen personenbezogene Daten offengelegt werden, sowie die Informationen gemäß Artikel 19 Absatz 4.
Die Inhalte des Katalogs stimmen im Großen und Ganzen mit den Angaben in Artikel 15 Absatz 1 DSGVO überein, wobei dort zusätzlich auch das Recht besteht, eine Kopie der relevanten Daten in einem maschinenlesbaren Format zu erhalten (Artikel 15 Absatz 3 DSGVO). Ein solches Recht kann jedoch auch gemäß dem neuen Datenschutzgesetz entstehen, sofern die Kopien erforderlich sind, um eine transparente Verarbeitung der Daten zu gewährleisten.
Gemäß Artikel 27 Absatz 1 des neuen Datenschutzgesetzes gilt:
Die betroffene Person erhält diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist.
Was muss bei Datentransfers ins Ausland, beispielsweise in die USA, beachtet werden?
Sowohl die Datenschutz-Grundverordnung (DSGVO) als auch das neue Datenschutzgesetz (nDSG) verlangen spezielle Schutzmaßnahmen, um ein angemessenes Datenschutzniveau zu gewährleisten, wenn personenbezogene Daten ihrer Bürger in ein Land außerhalb der Europäischen Union übertragen werden (Artikel 44 DSGVO) bzw. außerhalb des Landes (Artikel 16 nDSG).
Mögliche Garantien, die in Betracht gezogen werden können, sind:
- Angemessenheitsbeschlüsse: Sowohl die Europäische Kommission als auch der Bundesrat haben die Befugnis, in einem Drittland oder einer ausländischen Stelle ein ausreichendes Datenschutzniveau festzustellen (Artikel 45 Absatz 1 der Datenschutz-Grundverordnung, Artikel 16 Absatz 1 des neuen Datenschutzgesetzes). Beispiele für solche Angemessenheitsbeschlüsse seitens der Europäischen Union sind die Schweiz, Neuseeland, Andorra, Argentinien, die Färöer-Inseln, Guernsey, Japan, Korea, Kanada, Israel und Großbritannien. Entsprechend beurteilt die Schweiz auch die Angemessenheit des Datenschutzes in der EU.
- Im Rahmen des Data Privacy Framework (DPF) hat die Europäische Kommission ebenfalls festgestellt, dass US-Unternehmen, die ein bestimmtes (Selbst-)Zertifizierungsverfahren durchlaufen (was in Kurzform bedeutet, dass sie sich verpflichten, die Datenschutz-Grundverordnung einzuhalten), ein ausreichendes Datenschutzniveau gewährleisten. Die Schweiz erwartet auch einen solchen Angemessenheitsbeschluss.
- Abschluss von Standardvertragsklauseln: Standardvertragsklauseln sind vertragliche Vorlagen der Europäischen Kommission, die sicherstellen, dass die Vertragspartner das gleiche Datenschutzniveau wie in Europa garantieren. Diese Vorlagen werden auch für Verträge mit Unternehmen aus der Schweiz verwendet (gemäß Artikel 46 Absatz 2 Buchstabe c der Datenschutz-Grundverordnung und Artikel 16 Absatz 2 Buchstabe d des neuen Datenschutzgesetzes).
- Einwilligung, Erforderlichkeit für die Vertragsabwicklung, Binding Corporate Rules (BCR): Zusätzlich zu den oben genannten Angemessenheitsbeschlüssen und Standardvertragsklauseln können auch die Einwilligung der betroffenen Person, die Notwendigkeit für die Vertragsabwicklung (z.B. bei der Buchung einer Reise ins Ausland) oder interne unternehmensspezifische Regelungen als Grundlagen für Datenübermittlungen ins Ausland dienen (gemäß Artikel 46-49 der Datenschutz-Grundverordnung und Artikel 16 Absatz 2 des neuen Datenschutzgesetzes).
Welche Pflichten bestehen bei Datenpannen?
Unternehmen haben laut dem neusten Datenschutzgesetz (nDSG) die Verpflichtung, mögliche Datenschutzverletzungen so schnell wie möglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie allen potenziell betroffenen Parteien zu melden, um Geldstrafen zu vermeiden (Art. 24 nDSG).
Im Falle einer Datenpanne müssen die Verantwortlichen für die Datenverarbeitung die nachfolgenden Schritte unternehmen:
- Bitte setzen Sie sich umgehend mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) in Verbindung, falls die Verletzung der Datensicherheit wahrscheinlich ein erhebliches Risiko für die betroffenen Personen darstellt.
- Geben Sie an, wie es zu der Datenschutzverletzung gekommen ist.
- Beschreiben Sie die möglichen Auswirkungen für die betroffenen Personen.
- Diskutieren Sie Maßnahmen zur Verringerung des Risikos.
- Wenn es zum Schutz der Betroffenen erforderlich ist, informieren Sie sie über die Datenschutzverletzung.
Die Meldungen sollten im Allgemeinen den Anforderungen von Artikel 33 und 34 der Datenschutz-Grundverordnung (DSGVO) entsprechen, die jedoch strengere Bestimmungen enthalten.
- Frist für die Meldung: Es ist erforderlich, dass eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden erfolgt, anstatt dies so schnell wie möglich zu tun.
- Reduzierte Schwelle für die Meldung an die Behörde: Eine Meldung ist nur dann nicht erforderlich, wenn die Datenschutzverletzung voraussichtlich kein Risiko für die betroffenen Personen darstellt.
Welche Bußgelder können nach dem Schweizer Datenschutzgesetz verhängt werden?
Bei Verletzung des nDSG können dem Verantwortlichen folgende Konsequenzen drohen (Art. 60 bis 66 nDSG):
- Maßnahmen des EDÖB: Der EDÖB kann Untersuchungen einleiten und in Fällen von Datenschutzverletzungen weitreichende Maßnahmen veranlassen.
Geldbußen: Bei Übertretungen des DSG können Geldstrafen von bis zu 250.000 CHF verhängt werden.
Strafbarkeit: Strafbarkeit entsprechend den Bestimmungen für Verstöße in geschäftlichen Betrieben durch Beauftragte (66 Abs.1 nDSG i.V.m. Art. 6 und 7 Verwaltungsstrafrecht).
Es ist wichtig, die folgenden Verfahrensaspekte zu berücksichtigen:
- Die Verjährungsfrist für diese Vergehen beträgt 5 Jahre.
- Die Sanktionen werden gegen die verantwortliche Einzelperson verhängt und nicht gegen das Unternehmen.
- Wenn die Geldstrafe 50.000 CHF nicht überschreitet und es unverhältnismäßig wäre, die verantwortliche Person zu identifizieren, kann das Unternehmen zur Zahlung der Strafe verurteilt werden.
Im Vergleich zur DSGVO sind die Geldbußen nach der DSGVO in der Regel höher und können bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes eines Unternehmens betragen, je nachdem, welcher Betrag höher ist.
Checkliste zur Vorbereitung auf das nDSG
Bitte überprüfen Sie mithilfe der beigefügten Liste, ob und welche Schritte Sie ergreifen müssen, um sich auf das neue schweizerische Datenschutzgesetz vorzubereiten.
- Wird das neue Datenschutzgesetz (nDSG) angewendet? Befinden sich Ihr Unternehmen oder Ihre Kunden in der Schweiz und wird es dort genutzt?
- Ist Ihr Unternehmen DSGVO-konform? Wenn die Anforderungen der DSGVO erfüllt wurden, liegt auch eine Datenschutz-Compliance vor. Falls dies nicht der Fall ist, sollten die folgenden Punkte überprüft werden:
– Bitte erkennen Sie die Bearbeitungsprozesse von Personendaten gemäß Artikel 5 Buchstabe a und d des nDSG.
– Überprüfen Sie die Rechtfertigung der Bearbeitung gemäß Artikel 6, 30 und 31 des nDSG.
– Untersuchen Sie, ob Daten in andere Länder übertragen werden und ob es eine Garantie für angemessenen Datenschutz gibt (Artikel 16 des nDSG).
– Überprüfen Sie und stellen Sie, falls nötig, technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung bereit (Artikel 8 des nDSG).
– Erkennen Sie und überprüfen Sie die Verfahren zur Auftragsbearbeitung (Artikel 5 Buchstabe k, Artikel 9 des nDSG).
Finden Sie besonders risikoreiche Bearbeitungsverfahren und führen Sie falls notwendig eine Datenschutz-Folgenabschätzung durch (Artikel 22, 23 des nDSG).
– Erstellen Sie eine Liste der Bearbeitungstätigkeiten.
– Überprüfen Sie die Fähigkeit, Anfragen bezüglich Betroffenenrechten (Artikel 27-29 des nDSG) und Meldungen von Datenschutzverletzungen (Artikel 14 des nDSG) fristgerecht zu bearbeiten. - Wenn Sie kein Schweizer sind, überprüfen Sie bitte, ob es nötig ist, einen Vertreter in der Schweiz zu benennen (Artikel 14 des neuen Datenschutzgesetzes).
- Erstellen Sie bitte eine Datenschutzerklärung gemäß dem neuen Datenschutzgesetz oder erweitern Sie eine bestehende Datenschutzerklärung entsprechend dem neuen Datenschutzgesetz (Artikel 14 des neuen Datenschutzgesetzes).
Fazit und Praxistipp
Wenn Sie bereits die Voraussetzungen der DSGVO erfüllen, sollten Sie mit dem nDSG keine größeren Schwierigkeiten haben. Sie müssen lediglich Ihre Datenschutzbestimmungen aktualisieren und das nDSG darin integrieren.
Falls Sie jedoch in der Schweiz ansässig sind und bisher keine Daten von EU-Bürgern verarbeitet haben, sollten Sie überprüfen, ob Sie die neuen Anforderungen des nDSG erfüllen können. In diesem Fall empfiehlt es sich, Ihre Datenschutzerklärung anzupassen, um nach außen zu zeigen, dass Sie das nDSG einhalten.
Datenschutzerklärung von max2-consulting
Die Datenschutzerklärung von max2-consulting ist ein wesentlicher Bestandteil der Datenschutzbestimmungen des jeweiligen Unternehmens im Bezug auf den Schutz der personenbezogenen Daten der Kunden und Besucher der Website gemäß dem schweizerischen Bundesgesetz über den Datenschutz (nDSG) und der europäischen Datenschutz-Grundverordnung (DSGVO). Die Datenschutzerklärung von max2-consulting bietet eine klare und vollständige Übersicht darüber, welche personenbezogenen Daten erhoben, wie sie verwendet und geschützt werden, sowie die Rechte der Benutzer in Bezug auf ihre Daten.
Die Datenschutzbeauftragten der max2-consulting gehen bei der Erstellung der Datenschutzerklärung sorgfältig vor, um sicherzustellen, dass alle relevanten Anforderungen und Bestimmungen erfüllt sind. Wir sind uns der Verantwortung bewusst, wenn es um den Schutz personenbezogener Daten geht. Die Datenschutzerklärung von max2-consulting ermöglicht es den Kunden, sich über die Verwendung ihrer personenbezogenen Daten im Rahmen der Geschäftsbeziehung zu informieren und gewährt ihnen gleichzeitig die Kontrolle über ihre Daten. Eine transparente und umfassende Kommunikation in der Datenschutzerklärung kann ein vertrauenswürdiges Geschäftsumfeld schaffen, in dem der Schutz der Privatsphäre oberste Priorität hat.
Unsere Datenschutzbeauftragten von max2-consulting beraten Sie gerne und erstellen Ihnen Ihre rechtssichere Datenschutzerklärung für Ihre Webseite.
Vielen Dank fürs Lesen,
Ihr Peter Fürsicht
Über den Autor: Peter Fürsicht
Hallo lieber Leser, ich schreibe in diesem Blog über Aktuelles und Interessantes aus unserem direkten Firmenumfeld im Bereich Onlinemarketing und Social Media Marketing sowie als WordPress Agentur in München. Ich freue mich auf spannende Diskussionen.
Meine Qualifikationen: zertifizierter Online-Marketing-Manager (macromedia), zert. Datenschutzbeauftragter, zweifach ZdK-zertifizierter Automobilverkäufer (BMW, Mercedes) mit über 16 Jahren Berufserfahrung, Ausbildung zum Verkaufsleiter (BMW), Coach für Nachwuchsverkäufer innerhalb der ZdK-zertifizierten Ausbildung. Als Dozent für Onlinemarketing bin ich u.a. bei der Macromedia-Akademie und der PTM Akademie in München tätig.
Für Meinungen, Wünsche und Anregungen können Sie mich direkt kontaktieren: pf@max2-consulting.de