Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© towfiqu ahamed barbhuiya
Neues Schweizer Datenschutzgesetz: Was sich für deutsche Organisationen ändert
Zuletzt aktualisiert am 07. September 2023
Am 01. September ist das neue Schweizer Datenschutzgesetz (nDSG) in Kraft getreten. Es bringt einige Änderungen mit sich, da das Gesetz an die sich ändernden technologischen und gesellschaftlichen Verhältnisse angepasst wurde – das ehemalige Gesetz ist von 1992.
Damit ändert sich allerdings nicht nur einiges für Organisationen innerhalb der Schweiz, sondern auch außerhalb. Denn im nDSG gibt es – ähnlich wie bei der DSGVO – das sogenannte Marktortprinzip.
Wir haben für Sie zusammengefasst, was das nDSG ausmacht und welcher Handlungsbedarf für Organisationen in Deutschland bzw. Organisationen außerhalb der Schweiz besteht.
Warum ein neues Datenschutzgesetz?
Grenzüberschreitender Datenaustausch, digitale Transformation und Digitalisierung – die Art und Weise, wie Daten gesammelt, verarbeitet und genutzt werden, hat sich seit 1992 grundlegend geändert. Damit konnte das alte DSG nicht mehr mithalten. Um den aktuellen Anforderungen gerecht zu werden und ein zeitgemäßes Instrument zu entwickeln, dass die Privatsphäre der Bürger:innen angemessen schützt, wurde das DSG reformiert und neu aufgesetzt. Das nDSG soll dabei nicht nur den Datenschutz stärken, sondern auch die Selbstbestimmung der betroffenen Personen über ihre Daten fördern.
Außerdem kann die Schweiz durch das neue Datenschutzgesetz sicherstellen, dass sie auch weiterhin als sicheres Drittland anerkannt bleibt.
Sie wollen up to date bleiben?
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Gemeinsamkeiten mit der DSGVO
Eine der bemerkenswertesten Ähnlichkeiten zwischen dem nDSG und der Datenschutz-Grundverordnung der EU (DSGVO) ist der Geltungsbereich. Beide Gesetze legen Wert auf den Schutz personenbezogener Daten, die sich in ihrem jeweiligen Hoheitsgebiet befinden, unabhängig davon, wo die Datenverarbeitung tatsächlich stattfindet. Dieses sogenannte Marktortprinzip gewährleistet, dass Datenschutzregelungen nicht umgangen werden können.
Eine weitere Parallele zur DSGVO ist die Pflicht der Verantwortlichen, betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Allerdings legt das nDSG nicht alle Details für die Informationspflicht fest und verlangt nur die Übermittlung derjenigen Informationen, die "erforderlich sind, damit die betroffene Person ihre Rechte geltend machen kann und eine transparente Datenverarbeitung gewährleistet ist." Zudem gibt es einen umfassenden Katalog an Ausnahmetatbeständen, bei denen die Informationspflicht entfällt. Beispielsweise bei überwiegenden Interessen der Verantwortlichen oder Dritten.
Auch an dem Verzeichnis von Verarbeitungstätigkeiten (VVT) orientiert sich das neue Gesetz: Mit dem nDSG sind Verantwortliche und Auftragsbearbeiter:innen erstmals verpflichtet, ein sogenanntes Verzeichnis der Bearbeitungstätigkeiten zu führen.
Weitere Überschneidungen gibt es bei den Datenverarbeitungsgrundsätzen, der Übertragung von personenbezogenen Daten ins Ausland, der Datenschutz-Folgenabschätzung und der Meldung von Verletzungen der Datensicherheit.
Unterschiede zur DSGVO
Grundsätzlich nähert sich die Schweiz dem Datenschutzniveau der DSGVO an. Sie setzt aber auch eigene Akzente. Ein wichtiger Unterschied: Zum Beispiel erlaubt das nDSG im Ausgangspunkt die Datenverarbeitung, ohne dass eine ausdrückliche Erlaubnis oder Einwilligung erforderlich ist. Allerdings sind strenge Anforderungen an die Datenverarbeitung (z. B. Privacy by Design und Default ähnlich der DSGVO) festgelegt und sie darf nicht widerrechtlich die Persönlichkeit der betroffenen Person verletzen. Dies ähnelt der DSGVO, die für jede Datenverarbeitung eine Rechtsgrundlage erfordert.
Auch die Rolle der Datenschutzbeauftragten sieht anders aus. Zum einen heißen sie in der Schweiz Datenschutzberater:innen. Und zum anderen besteht keine Pflicht zur Benennung. Diese führt lediglich zu Erleichterungen bei Datenverarbeitungen mit hohem Risiko. In solchen Fällen können Datenschutzberater:innen konsultiert werden, um geeignete Maßnahmen zur Risikoreduktion zu finden.
Die Sanktionen des nDSG unterscheiden sich ebenfalls. Im Gegensatz zur DSGVO, sind Bußgelder ausdrücklich an verantwortliche natürliche Personen geknüpft und nicht an die verantwortliche Organisation.
Weitere Unterschiede gibt es bei den Themen Sicherheit der Verarbeitung oder Auftragsverarbeitung. Diese sind im nDSG deutlich rudimentärer geregelt als in der DSGVO. Auch die Betroffenenrechte sind deutlich reduziert. Das heißt aber erst einmal nur, dass mehr der Auslegung überlassen bleibt als in der DSGVO, die viele Punkte konkreter und ausführlicher formuliert.
Pflicht zur Ernennung einer Vertretung
Ein herausragendes Merkmal des nDSG ist die Pflicht zur Ernennung einer Vertretung in der Schweiz durch private Verantwortliche mit Sitz oder Wohnsitz im Ausland. Diese Pflicht besteht, wenn die Verarbeitung personenbezogener Daten von Personen in der Schweiz erfolgt und folgende Voraussetzungen erfüllt sind:
- Die Bearbeitung steht im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz.
- Es handelt sich um eine umfangreiche Bearbeitung.
- Es handelt sich um eine regelmässige Bearbeitung.
- Die Bearbeitung bringt ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich.
Die Datenschutz-Vertretung in der Schweiz orientiert sich an der EU-Datenschutz-Vertretung gemäß Artikel 27 der DSGVO. Im Gegensatz zur EU-Regelung ist die Pflicht zur Ernennung einer Datenschutz-Vertretung in der Schweiz jedoch eine Ausnahme und keine Regel. Allerdings kann der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) auch anordnen, dass ein ausländisches Unternehmen eine Vertretung in der Schweiz benennt.
Die Vertretung fungiert als Anlaufstelle für betroffene Personen und EDÖB. Verantwortliche sind verpflichtet, den Namen und die Adresse der Vertretung zu veröffentlichen.
Für Organisationen, die die Voraussetzungen erfüllen und eine Vertretung ernennen müssen, gibt es einiges zu tun. Da das Gesetz bereits in Kraft getreten ist, sollten Vertretungen möglichst zeitnah eingesetzt werden. Auch für Organisationen, die bereits die Vorgaben der DSGVO erfüllen, bleibt weiterhin Handlungsbedarf. Das nDSG unterscheidet sich in einigen Punkten deutlich von der DSGVO. Diese Unterschiede müssen auch in der Umsetzung berücksichtigt werden.
Fazit
Das neue Schweizer Datenschutzgesetz (nDSG) ist eine wichtige Entwicklung im Bereich des Datenschutzes. Es trägt dazu bei, die Datenschutzstandards in der Schweiz an die modernen Anforderungen anzupassen und gleichzeitig den Datenschutz im internationalen Kontext zu stärken. Datenschutzbeauftragte und Organisationen sollten sich intensiv mit den Bestimmungen des nDSG vertraut machen, um sicherzustellen, dass sie die gesetzlichen Anforderungen erfüllen und die Privatsphäre von Betroffenen angemessen schützen.
Wir unterstützen Sie!
Sie sind sich unsicher, ob Sie eine Vertretung benennen müssen? Wir beraten Sie gerne! Zudem kann unser Schwesterunternehmen, datenschutzguide.ch, mit Sitz in der Schweiz, die Rolle der Datenschutz-Vertretung für Sie übernehmen. So können Sie sicherstellen, dass Sie den Anforderungen des nDSG gerecht werden und gleichzeitig den Datenschutz in der Schweiz gewährleisten.
Quellen
Aust, Christoph Dr. (2022): „Das neue Datenschutzgesetz der Schweiz aus dem Blickwinkel der DS-GVO“, ZD-Aktuell, Heft 15, https://beck-online.beck.de/Dokument?vpath=bibdata%2Fzeits%2Fzdaktuell%2F2022%2Fcont%2Fzdaktuell.2022.01305.htm&anchor=Y-300-Z-ZDAKTUELL-B-2022-N-01305, letzter Zugriff am 07. September 2023.
Steiger, Martin (2023): „Kommentierung zu Art. 14 DSG“, Onlinekommentar der frei zugängliche Rechtskommentar, 28. August 2023, https://onlinekommentar.ch/de/kommentare/dsg14, letzter Zugriff am 07. September 2023.