1. Home /
  2. Schweizer Datenschutzrecht (DSG) /

Schweizer Datenschutzrecht (DSG)

Das Schweizer Datenschutzgesetz orientiert sich weitgehend an der DSGVO. Jedoch müssen teilweise abweichende Begrifflichkeiten und Anforderungen im Schweizer Datenschutzrecht umgesetzt werden.

Informationspflichten

Das Datenschutzgesetz der Schweiz (DSG) normiert Informationspflichten des Verantwortlichen gegenüber der betroffenen Person (Art. 19 DSG). In der DSGVO ist der Katalog der mitzuteilenden Informationen abschließende formuliert. Im DSG ist dies jedoch nicht der Fall. Der Verantwortliche muss der Auskunft begehrenden Person mindestens die Identität des Verantwortlichen und den Verarbeitungszweck mitteilen. Weitere Informationen sind jedoch nur in Einzelfällen als Pflichtinformationen definiert. Damit sind die Informationspflichten des Verantwortlichen nach dem DSG weniger umfangreich als nach DSGVO. Der Verantwortliche ist verpflichtet, der betroffenen Person die Informationen mitzuteilen, die erforderlich sind, damit die betroffene Person ihre Rechte nach dem DSG durchsetzen kann und eine transparente Datenbearbeitung gewährleistet ist. Anhaltspunkte für den Umfang der Informationspflichten können Art. 13, 14 DSGVO sein. Das DSG normiert weiterhin einen umfassenden Katalog von Ausnahmen, bei denen eine Informationspflicht entfällt. Dies ist insbesondere der Fall, bei überwiegenden Interessen des Verantwortlichen oder eines Dritten (Art. 20 DSG). Insgesamt kann daher nur von einer eingeschränkten Informationspflicht gesprochen werden. Vorgaben, wie der betroffenen Person die genannten Informationen bekanntzugeben sind, enthält das DSG nicht. Es wird der ausfüllungsbedürftige Rechtsbegriff „auf angemessene Weise“ verwendet. Auch hier kann als Orientierung die DSGVO dienen. Die betroffene Person muss nur die Möglichkeit haben die Informationen zur Kenntnis zu nehmen, z. B. in Textform. Eine Zustimmung zu diesen Informationen ist nicht erforderlich.

Konzernprivileg

Das DSG enthält für die Datenbearbeitung innerhalb eines Konzerns zwar eine Rechtsgrundlage und es gelten Ausnahmen von der Informationspflicht und zum Auskunftsrecht, jedoch kann die Weitergabe von personenbezogenen Daten im Konzern persönlichkeitsverletzend sein. Daher bedarf es für eine konzerninterne Weiterleitung von personenbezogenen Daten eines Rechtsfertigungsgrundes als Rechtsgrundlage. Der Rechtfertigungsgrund der konzerninternen Weitergabe von personenbezogenen Daten greift jedoch nur dann, wenn die personenbezogenen Daten der betroffenen Personen und die Art ihrer Verarbeitung für den wirtschaftlichen Wettbewerb relevant und erforderlich sind. Daher muss die konzerninterne Datenverarbeitung in jedem Einzelfall sorgfältig geprüft und beurteilt werden. Das DSG gesteht dem Verantwortlichen ein eingeschränktes Konzernprivileg zu. Ein solches Konzernprivileg kennt die DSGVO jedoch nicht und dieses wird von der DSGVO vollständig abgelehnt.

Verzeichnis sämtlicher Datenbearbeitungen

Das DSG fordert vom Verantwortlichen und den Auftragsbearbeitern die Erstellung eines Verzeichnisses von Bearbeitungstätigkeiten (Art. 12 DSG). Damit zieht das DSG mit der DSGVO gleich und es wird, wie in der DSGVO, ein Verzeichnis sämtlicher Datenbearbeitungen verlangt.

Pflichtangaben im Bearbeitungsverzeichnis sind mindestens die folgenden Angaben:

  • die Identität des Verantwortlichen;
  • den Bearbeitungszweck;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
  • die Kategorien der Empfängerinnen und Empfänger;
  • wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
  • wenn möglich eine allgemeine Beschreibung der Maßnahmen zur Gewährleistung der Datensicherheit (geeignete technische und organisatorische Maßnahmen, die es ermöglichen Verletzungen der Datensicherheit zu vermeiden);
  • falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien, durch die ein geeigneter Datenschutz gewährleistet wird.

Die Unternehmen in der Schweiz werden daher damit konfrontiert, sämtliche Datenverarbeitungen im Unternehmen zu erfassen und zu dokumentieren. Dies kann im Rahmen eines Data Mappings erfolgen. Diese Bestandsaufnahme ist nun zur Umsetzung des DSG erforderlich und kann in vielen Unternehmen zu einem erhöhten Initialaufwand führen, da diese Dokumente in der Vergangenheit nicht erstellt wurden.

Rolle des Datenschutzberaters

Das DSG normiert die Rolle des Datenschutzberaters, dessen Aufgaben dem Datenschutzbeauftragten nach der DSGVO ähneln. Das DSG sieht jedoch keine Pflicht zur Ernennung des Datenschutzberaters vor, empfiehlt jedoch die Ernennung eines Datenschutzberater gemäß Art 10 DSG. Die Ernennung eines Datenschutzberaters führt nach dem DSG zu Erleichterungen bei einer Datenverarbeitung mit einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person. Der Datenschutzberater kann konsultiert werden, um geeignete Maßnahmen zur Abmilderung der hohen Risiken für die betroffenen Personen umzusetzen. Sind geeignete Maßnahmen zur IT-Sicherheit zur Abmilderung dieses Risikos möglich und werden diese implementiert, so ist eine Konsultation des Schweizer Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nicht erforderlich. Dies entspricht den Vorgaben der Datenschutzfolgenabschätzung der DSGVO.

Datenschutzvertretung

Bei einer Datenverarbeitung durch einen Verantwortlichen mit Sitz im Ausland ist eine Vertretung in der Schweiz zu benennen, wenn der Verantwortliche personenbezogene Daten von Personen in der Schweiz verarbeitet und die Datenverarbeitung in Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz steht. Falls die Verarbeitung von personenbezogenen Daten von Personen in der Schweiz umfangreich oder regelmäßig erfolgt oder diese mit einem hohen Risiko für die betroffenen Personen verbunden ist, muss ebenfalls eine Vertretung in der Schweiz bestellt werden. Diese Regelung existiert in der DSGVO ebenfalls, sodass ein Schweizer Unternehmen ebenfalls verpflichtet ist, einen Vertreter in der EU zu bestellen, wenn das Schweizer Unternehmen personenbezogene Daten von Personen verarbeitet, die sich in der EU befinden und diesen Personen Waren oder Dienstleistungen angeboten werden oder deren Verhalten beobachtet wird (Art. 3 DSGVO).

Sanktionen und Bußgelder

Das DSG sieht wesentlich mildere Bußen vor, als die DSGVO. Verstößt eine Person, z. B. ein Beschäftigter gegen Regelungen des DSG, so droht dieser Person eine Buße von bis zu CHF 250.000, – (ca. 234.740 EUR). Die Verjährungsfrist beträgt in diesem Fall 5 Jahre. Der Unterschied zur DSGVO ist, dass die Strafe nicht an das verantwortliche Unternehmen geknüpft ist, sondern ausdrücklich an die betroffene natürliche Person. Sollte die Ermittlung der verantwortlichen Personen einen unverhältnismäßigen Aufwand für die Aufsichtsbehörde bedeuten, kann in einem solchen Fall das Unternehmen anstelle der verantwortlichen Person mit einer Buße von 50.000 CHF (ca. 46.940 Euro) belegt werden (Art. 64 DSG).

Leistungen der Rechtsanwaltskanzlei

Wir können ihr Unternehmen, ihre Organisation oder ihre Einrichtung bei der Umsetzung des DSG rechtlich, wie technisch in allen Frage- und Problemstellungen unterstützen. Unsere Kanzlei bietet hierzu folgende Dienstleistungen an:

  • Übernahme der Funktion des externen Datenschutzberaters
  • Unterstützung des internen Datenschutzberaters
  • Durchführung einer Ist-Aufnahme oder eines Audits zum Datenschutz
  • Erstellung eines Maßnahmenplans zur Umsetzung der DSG nach Haftungsrisiko
  • Jahresplanungsgespräch zum Datenschutz mit der Geschäftsführung, kaufmännischer Leitung
  • Ableitung der nach DSG erforderlichen Maßnahmen für das Folgejahr, um ein angemessenes Datenschutzniveau im Unternehmen, in der Organisation oder in der Einrichtung zu gewährleisten
  • Erstellung eines Data Mappings im Rahmen der Erfassung der wichtigsten IT-Applikationen
  • Erstellung der nach dem DSG erforderlichen datenschutzrechtlichen Dokumente
  • Erstellung eines Data Workflows im Rahmen der rechtlichen Absicherung einer internationalen und konzerninternen Datenübermittlung
  • Erfüllung der Anforderungen zur internationalen Datenübermittlung und Konzerndatenverarbeitung (HR-Systeme, ERP-Systeme, etc.)
  • Datenschutz und IT-Sicherheit bei Cloud-Anwendungen
  • Datenschutz in Krankenhäusern, Arztpraxen, Medizinischen Versorgungszentren und Apotheken
  • Datenschutz in sozialen Einrichtungen (Suchtberatung, Familienberatung, Kinder- und Jugendhilfe, Pflegeeinrichtungen, Wohnheimen, Kindertagesstätten, etc.)
  • Erstellung und Abschluss von Vereinbarungen zur Auftragsverarbeitung
  • Erstellung eines Verzeichnisses sämtlicher Datenbearbeitungen
  • Datenschutzkonformer Umgang mit dem Thema „Mobiles Arbeiten“ (Vereinbarung zum mobilen Arbeiten, Arbeitsanweisungen zum mobilen Arbeiten)
  • Erstellung Besucherformular mit Fragen zur Pandemie
  • Erstellung einer Unternehmensrichtlinie zur Pandemie
  • Erstellung der Dokumente zur Erfüllung der Informationspflichten
  • Durchführung der erforderlichen Datenschutzfolgenabschätzungen (MS-Office 365, Videoüberwa-chung, elektronische Personalakte, Bewerbermanagement)
  • Überprüfung der technisch-organisatorischen Maßnahmen (IT-Sicherheitsmaßnahmen)
  • Umsetzung der Anforderungen an den Beschäftigtendatenschutz (elektronische Personalakte/ Akte in Papierform, Bewerbermanagement)
  • Überprüfung der Unternehmenswebsite (Datenschutzerklärung, Impressum, Cookie-Warner, Tracking-Tools)
  • Erstellung und Verhandlung von Richtlinien im Unternehmen, in der Organisation oder in der Ein-richtung (E-Mail-/Internetnutzung, Zutrittskontrolle/Zeiterfassung, Videoüberwachung, MS-Office 365, Cloud-Lösungen, Elektronische Personalakte, etc.)
  • Erstellung von Schulungsunterlagen und Durchführung von Datenschutzschulungen (Allgemeine Präsenzschulung, Spezialschulungen für Führungskräfte, HR, IT, Marketing, Vertrieb und Öffent-lichkeitsarbeit)
  • Erstellung von Schulungsunterlagen zum Datenschutz als E-Learning
  • Erstellung von Schulungsvideos zum Datenschutz und zur IT-Sicherheit
  • Einführung eines Prozesses zur Abwicklung von Datenschutzverletzungen
  • Umsetzung der Anforderungen der Betroffenenrechte (Auskunft, Löschung, Berichtigung, etc.)
  • Erstellung von Einwilligungen, insbesondere für Filmaufnahmen und Lichtbilder
  • Datenschutz in Öffentlichkeitsarbeit, Presse, Marketing und Vertrieb
  • Datenschutz bei sozialen Medien (Social Media Guideline, Umsetzung des Facebook-Urteils des EuGHs, WhatsApp)
  • Regelung der rechtlichen Bedingungen zur Videoüberwachung (IT-Sicherheit, Produktbeurteilung, Vertrag zur Auftragsbearbeitung, Piktogramm)
  • Erfüllung der rechtlichen Anforderungen an eine Zutrittskontrolle und Zeiterfassung
  • Beratung beim Einsatz von Drohnen
  • Beurteilung von neuen IT-Systemen (Systemdatenschutz)
  • Workshops zu datenschutzrechtlichen Themen (Datenschutzforum)
  • Erstellung von Arbeits- und Organisationsanweisungen (Mobiles Arbeiten, Systeme für Videokonferenzen, Umgang mit sozialen Medien, etc.)

+49 911 7903034

info@it-rechtsberater.de


© 2024 IT Rechtsberater – Datenschutzbeauftragter. All rights reserved. Impressum I Datenschutzerklärung