Neues Schweizer Datenschutzgesetz: Was sich für deutsche Organisationen ändert

Zuletzt aktualisiert am 07. September 2023

Am 01. September ist das neue Schweizer Datenschutzgesetz (nDSG) in Kraft getreten. Es bringt einige Änderungen mit sich, da das Gesetz an die sich ändernden technologischen und gesellschaftlichen Verhältnisse angepasst wurde – das ehemalige Gesetz ist von 1992.

Damit ändert sich allerdings nicht nur einiges für Organisationen innerhalb der Schweiz, sondern auch außerhalb. Denn im nDSG gibt es – ähnlich wie bei der DSGVO – das sogenannte Marktortprinzip.

Wir haben für Sie zusammengefasst, was das nDSG ausmacht und welcher Handlungsbedarf für Organisationen in Deutschland bzw. Organisationen außerhalb der Schweiz besteht. 

Eine der bemerkenswertesten Ähnlichkeiten zwischen dem nDSG und der Datenschutz-Grundverordnung der EU (DSGVO) ist der Geltungsbereich. Beide Gesetze legen Wert auf den Schutz personenbezogener Daten, die sich in ihrem jeweiligen Hoheitsgebiet befinden, unabhängig davon, wo die Datenverarbeitung tatsächlich stattfindet. Dieses sogenannte Marktortprinzip gewährleistet, dass Datenschutzregelungen nicht umgangen werden können.

Eine weitere Parallele zur DSGVO ist die Pflicht der Verantwortlichen, betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Allerdings legt das nDSG nicht alle Details für die Informationspflicht fest und verlangt nur die Übermittlung derjenigen Informationen, die "erforderlich sind, damit die betroffene Person ihre Rechte geltend machen kann und eine transparente Datenverarbeitung gewährleistet ist." Zudem gibt es einen umfassenden Katalog an Ausnahmetatbeständen, bei denen die Informationspflicht entfällt. Beispielsweise bei überwiegenden Interessen der Verantwortlichen oder Dritten.

Auch an dem Verzeichnis von Verarbeitungstätigkeiten (VVT) orientiert sich das neue Gesetz: Mit dem nDSG sind Verantwortliche und Auftragsbearbeiter:innen erstmals verpflichtet, ein sogenanntes Verzeichnis der Bearbeitungstätigkeiten zu führen.

Weitere Überschneidungen gibt es bei den Datenverarbeitungsgrundsätzen, der Übertragung von personenbezogenen Daten ins Ausland, der Datenschutz-Folgenabschätzung und der Meldung von Verletzungen der Datensicherheit. 

Grundsätzlich nähert sich die Schweiz dem Datenschutzniveau der DSGVO an. Sie setzt aber auch eigene Akzente. Ein wichtiger Unterschied: Zum Beispiel erlaubt das nDSG im Ausgangspunkt die Datenverarbeitung, ohne dass eine ausdrückliche Erlaubnis oder Einwilligung erforderlich ist. Allerdings sind strenge Anforderungen an die Datenverarbeitung (z. B. Privacy by Design und Default ähnlich der DSGVO) festgelegt und sie darf nicht widerrechtlich die Persönlichkeit der betroffenen Person verletzen. Dies ähnelt der DSGVO, die für jede Datenverarbeitung eine Rechtsgrundlage erfordert.

Auch die Rolle der Datenschutzbeauftragten sieht anders aus. Zum einen heißen sie in der Schweiz Datenschutzberater:innen. Und zum anderen besteht keine Pflicht zur Benennung. Diese führt lediglich zu Erleichterungen bei Datenverarbeitungen mit hohem Risiko. In solchen Fällen können Datenschutzberater:innen konsultiert werden, um geeignete Maßnahmen zur Risikoreduktion zu finden.

Die Sanktionen des nDSG unterscheiden sich ebenfalls. Im Gegensatz zur DSGVO, sind Bußgelder ausdrücklich an verantwortliche natürliche Personen geknüpft und nicht an die verantwortliche Organisation.

Weitere Unterschiede gibt es bei den Themen Sicherheit der Verarbeitung oder Auftragsverarbeitung. Diese sind im nDSG deutlich rudimentärer geregelt als in der DSGVO. Auch die Betroffenenrechte sind deutlich reduziert. Das heißt aber erst einmal nur, dass mehr der Auslegung überlassen bleibt als in der DSGVO, die viele Punkte konkreter und ausführlicher formuliert. 

Ein herausragendes Merkmal des nDSG ist die Pflicht zur Ernennung einer Vertretung in der Schweiz durch private Verantwortliche mit Sitz oder Wohnsitz im Ausland. Diese Pflicht besteht, wenn die Verarbeitung personenbezogener Daten von Personen in der Schweiz erfolgt und folgende Voraussetzungen erfüllt sind:

• Die Bearbeitung steht im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz.
• Es handelt sich um eine umfangreiche Bearbeitung.
• Es handelt sich um eine regelmässige Bearbeitung.
• Die Bearbeitung bringt ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich. 

Die Datenschutz-Vertretung in der Schweiz orientiert sich an der EU-Datenschutz-Vertretung gemäß Artikel 27 der DSGVO. Im Gegensatz zur EU-Regelung ist die Pflicht zur Ernennung einer Datenschutz-Vertretung in der Schweiz jedoch eine Ausnahme und keine Regel. Allerdings kann der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) auch anordnen, dass ein ausländisches Unternehmen eine Vertretung in der Schweiz benennt.

Die Vertretung fungiert als Anlaufstelle für betroffene Personen und EDÖB. Verantwortliche sind verpflichtet, den Namen und die Adresse der Vertretung zu veröffentlichen.

Für Organisationen, die die Voraussetzungen erfüllen und eine Vertretung ernennen müssen, gibt es einiges zu tun. Da das Gesetz bereits in Kraft getreten ist, sollten Vertretungen möglichst zeitnah eingesetzt werden. Auch für Organisationen, die bereits die Vorgaben der DSGVO erfüllen, bleibt weiterhin Handlungsbedarf. Das nDSG unterscheidet sich in einigen Punkten deutlich von der DSGVO. Diese Unterschiede müssen auch in der Umsetzung berücksichtigt werden. 

Das neue Schweizer Datenschutzgesetz (nDSG) ist eine wichtige Entwicklung im Bereich des Datenschutzes. Es trägt dazu bei, die Datenschutzstandards in der Schweiz an die modernen Anforderungen anzupassen und gleichzeitig den Datenschutz im internationalen Kontext zu stärken. Datenschutzbeauftragte und Organisationen sollten sich intensiv mit den Bestimmungen des nDSG vertraut machen, um sicherzustellen, dass sie die gesetzlichen Anforderungen erfüllen und die Privatsphäre von Betroffenen angemessen schützen.