Das Schweizer Datenschutzgesetz orientiert sich weitgehend an der DSGVO. Jedoch müssen teilweise abweichende Begrifflichkeiten und Anforderungen im Schweizer Datenschutzrecht umgesetzt werden.
Informationspflichten
Das Datenschutzgesetz der Schweiz (DSG) normiert Informationspflichten des Verantwortlichen gegenüber der betroffenen Person (Art. 19 DSG). In der DSGVO ist der Katalog der mitzuteilenden Informationen abschließende formuliert. Im DSG ist dies jedoch nicht der Fall. Der Verantwortliche muss der Auskunft begehrenden Person mindestens die Identität des Verantwortlichen und den Verarbeitungszweck mitteilen. Weitere Informationen sind jedoch nur in Einzelfällen als Pflichtinformationen definiert. Damit sind die Informationspflichten des Verantwortlichen nach dem DSG weniger umfangreich als nach DSGVO. Der Verantwortliche ist verpflichtet, der betroffenen Person die Informationen mitzuteilen, die erforderlich sind, damit die betroffene Person ihre Rechte nach dem DSG durchsetzen kann und eine transparente Datenbearbeitung gewährleistet ist. Anhaltspunkte für den Umfang der Informationspflichten können Art. 13, 14 DSGVO sein. Das DSG normiert weiterhin einen umfassenden Katalog von Ausnahmen, bei denen eine Informationspflicht entfällt. Dies ist insbesondere der Fall, bei überwiegenden Interessen des Verantwortlichen oder eines Dritten (Art. 20 DSG). Insgesamt kann daher nur von einer eingeschränkten Informationspflicht gesprochen werden. Vorgaben, wie der betroffenen Person die genannten Informationen bekanntzugeben sind, enthält das DSG nicht. Es wird der ausfüllungsbedürftige Rechtsbegriff „auf angemessene Weise“ verwendet. Auch hier kann als Orientierung die DSGVO dienen. Die betroffene Person muss nur die Möglichkeit haben die Informationen zur Kenntnis zu nehmen, z. B. in Textform. Eine Zustimmung zu diesen Informationen ist nicht erforderlich.
Konzernprivileg
Das DSG enthält für die Datenbearbeitung innerhalb eines Konzerns zwar eine Rechtsgrundlage und es gelten Ausnahmen von der Informationspflicht und zum Auskunftsrecht, jedoch kann die Weitergabe von personenbezogenen Daten im Konzern persönlichkeitsverletzend sein. Daher bedarf es für eine konzerninterne Weiterleitung von personenbezogenen Daten eines Rechtsfertigungsgrundes als Rechtsgrundlage. Der Rechtfertigungsgrund der konzerninternen Weitergabe von personenbezogenen Daten greift jedoch nur dann, wenn die personenbezogenen Daten der betroffenen Personen und die Art ihrer Verarbeitung für den wirtschaftlichen Wettbewerb relevant und erforderlich sind. Daher muss die konzerninterne Datenverarbeitung in jedem Einzelfall sorgfältig geprüft und beurteilt werden. Das DSG gesteht dem Verantwortlichen ein eingeschränktes Konzernprivileg zu. Ein solches Konzernprivileg kennt die DSGVO jedoch nicht und dieses wird von der DSGVO vollständig abgelehnt.
Verzeichnis sämtlicher Datenbearbeitungen
Das DSG fordert vom Verantwortlichen und den Auftragsbearbeitern die Erstellung eines Verzeichnisses von Bearbeitungstätigkeiten (Art. 12 DSG). Damit zieht das DSG mit der DSGVO gleich und es wird, wie in der DSGVO, ein Verzeichnis sämtlicher Datenbearbeitungen verlangt.
Pflichtangaben im Bearbeitungsverzeichnis sind mindestens die folgenden Angaben:
Die Unternehmen in der Schweiz werden daher damit konfrontiert, sämtliche Datenverarbeitungen im Unternehmen zu erfassen und zu dokumentieren. Dies kann im Rahmen eines Data Mappings erfolgen. Diese Bestandsaufnahme ist nun zur Umsetzung des DSG erforderlich und kann in vielen Unternehmen zu einem erhöhten Initialaufwand führen, da diese Dokumente in der Vergangenheit nicht erstellt wurden.
Rolle des Datenschutzberaters
Das DSG normiert die Rolle des Datenschutzberaters, dessen Aufgaben dem Datenschutzbeauftragten nach der DSGVO ähneln. Das DSG sieht jedoch keine Pflicht zur Ernennung des Datenschutzberaters vor, empfiehlt jedoch die Ernennung eines Datenschutzberater gemäß Art 10 DSG. Die Ernennung eines Datenschutzberaters führt nach dem DSG zu Erleichterungen bei einer Datenverarbeitung mit einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person. Der Datenschutzberater kann konsultiert werden, um geeignete Maßnahmen zur Abmilderung der hohen Risiken für die betroffenen Personen umzusetzen. Sind geeignete Maßnahmen zur IT-Sicherheit zur Abmilderung dieses Risikos möglich und werden diese implementiert, so ist eine Konsultation des Schweizer Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nicht erforderlich. Dies entspricht den Vorgaben der Datenschutzfolgenabschätzung der DSGVO.
Datenschutzvertretung
Bei einer Datenverarbeitung durch einen Verantwortlichen mit Sitz im Ausland ist eine Vertretung in der Schweiz zu benennen, wenn der Verantwortliche personenbezogene Daten von Personen in der Schweiz verarbeitet und die Datenverarbeitung in Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz steht. Falls die Verarbeitung von personenbezogenen Daten von Personen in der Schweiz umfangreich oder regelmäßig erfolgt oder diese mit einem hohen Risiko für die betroffenen Personen verbunden ist, muss ebenfalls eine Vertretung in der Schweiz bestellt werden. Diese Regelung existiert in der DSGVO ebenfalls, sodass ein Schweizer Unternehmen ebenfalls verpflichtet ist, einen Vertreter in der EU zu bestellen, wenn das Schweizer Unternehmen personenbezogene Daten von Personen verarbeitet, die sich in der EU befinden und diesen Personen Waren oder Dienstleistungen angeboten werden oder deren Verhalten beobachtet wird (Art. 3 DSGVO).
Sanktionen und Bußgelder
Das DSG sieht wesentlich mildere Bußen vor, als die DSGVO. Verstößt eine Person, z. B. ein Beschäftigter gegen Regelungen des DSG, so droht dieser Person eine Buße von bis zu CHF 250.000, – (ca. 234.740 EUR). Die Verjährungsfrist beträgt in diesem Fall 5 Jahre. Der Unterschied zur DSGVO ist, dass die Strafe nicht an das verantwortliche Unternehmen geknüpft ist, sondern ausdrücklich an die betroffene natürliche Person. Sollte die Ermittlung der verantwortlichen Personen einen unverhältnismäßigen Aufwand für die Aufsichtsbehörde bedeuten, kann in einem solchen Fall das Unternehmen anstelle der verantwortlichen Person mit einer Buße von 50.000 CHF (ca. 46.940 Euro) belegt werden (Art. 64 DSG).
Leistungen der Rechtsanwaltskanzlei
Wir können ihr Unternehmen, ihre Organisation oder ihre Einrichtung bei der Umsetzung des DSG rechtlich, wie technisch in allen Frage- und Problemstellungen unterstützen. Unsere Kanzlei bietet hierzu folgende Dienstleistungen an: