Die Schweiz hat ein neues Datenschutzgesetz (nDSG) beschlossen, durch das für Unternehmen gegebenenfalls ein bedeutender Umsetzungsaufwand entsteht. Nicht mehr lange, dann tritt es in Kraft. In diesem Artikel haben wir die wichtigsten Paragrafen für dich zusammengefasst. Dabei wird deutlich: Das nDSG gleicht den Schweizer Datenschutz erheblich an die Vorgaben der DSGVO der EU an.
Wenn dein Unternehmen zum Beispiel in Deutschland sitzt, stellst du dir vielleicht die Frage, welche Relevanz das neue Schweizer Datenschutzgesetz für dich hat. Dies lässt sich einfach mit dem Marktortprinzip erklären, das du schon von der DSGVO für den EU-Raum kennst: Das nDSG gilt immer dann, wenn sich eine Datenverarbeitung in der Schweiz auswirkt. Wenn in deinem Unternehmen also Daten von Schweizer:innen verarbeitet werden, greifen dabei die Vorgaben des Schweizer nDSG, unabhängig vom Ort der Datenverarbeitung.
Wenn ausländische Datenverarbeiter Waren oder Dienstleistungen in der Schweiz anbieten wollen, gilt ein weiteres Prinzip, das bereits aus der DSGVO bekannt ist. Dann müssen sie nämlich eine offizielle Vertretung in der Schweiz angeben. Diese fungiert als Anlaufstelle für die betroffenen Personen und den EDÖB – also den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, eine unabhängige Schweizer Behörde.
Je nach Datenschutz-Niveau unterscheidet sich der Umsetzungsaufwand des neuen Gesetzes für Unternehmen deutlich. Aber Achtung: Es gibt keine Übergangsfrist für die Einführung des nDSG. Das Datenschutzgesetz der Schweiz tritt pünktlich am 1. September 2023 in Kraft!
Beim nDSG ist eine deutliche Annäherung des Schweizer Datenschutzes an die DSGVO der EU zu erkennen. Das hat gute Gründe: Zum einen revidiert das Land sein 1992 eingeführtes DSG zum ersten Mal und möchte es den neuen Anforderungen der digitalen Welt anpassen. Dazu gehört es, die Selbstbestimmung betroffener Personen über die Verarbeitung ihrer Daten zu stärken. Zum anderen stellt das Land damit sicher, dass es für die EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau gilt, wodurch ein freier Datenverkehr zwischen der Union und der Schweiz möglich bleibt.
Das alte Datenschutzgesetz der Schweiz blieb deutlich hinter den Anforderungen der DSGVO zurück. Genau das macht nun den Unterschied für Unternehmen aus, die Schweizer Daten verarbeiten: Wenn deine Firma Daten bereits auf Basis der DSGVO verarbeitet und entsprechende Abläufe aufgesetzt hat, müsst ihr nur an kleinen Stellschrauben drehen, um die Anforderungen des nDSG zu erfüllen. Wenn ihr jedoch auf Grundlage des alten DSG gearbeitet habt, steht ihr vor einem erheblichen Umsetzungsaufwand. Vor allem benötigt ihr die nötige Infrastruktur, zum Beispiel eine entsprechende Software, um alle Prozesse zu dokumentieren und Daten laufend zu aktualisieren.
Mit der Annäherung des nDSG an die DSGVO gehen einige Änderungen in der Schweizer Datenschutzpraxis einher. Dazu gehört der Grundsatz der Privacy by Design beziehungsweise Privacy by Default. Außerdem gibt es die Pflicht zum Führen eines Verzeichnisses von Bearbeitungstätigkeiten (Art. 12 DSG). Das Verzeichnis ist mit dem VVT im Sinne der DSGVO zu vergleichen und muss die folgenden Daten enthalten:
die Identität der Verantwortlichen
den Zweck der Bearbeitung
eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten
die Kategorien der Empfänger:innen
ggf. die Aufbewahrungsdauer der Personendaten
eine allgemeine Beschreibung der Maßnahmen zur Gewährleistung der Datensicherheit
bei Datentransfer ins Ausland: die Angabe des Staates sowie die Garantien zur ähnlichen Qualität des Datenschutzniveaus
Um diese Daten zu erfassen, laufend zu aktualisieren und bei Bedarf wiedergeben zu können, bietet sich eine Softwarelösung wie caralegal an. Darin ist die benötigte Struktur für die rechtssichere Dokumentation von Datenverarbeitungen bereits angelegt.
Gut zu wissen: Der Schweizer Bundesrat sieht Ausnahmen für Unternehmen mit weniger als 250 Mitarbeitenden vor, wenn ihre Datenbearbeitung nur ein geringes Risiko darstellt.
Außerdem müssen Unternehmen nun Datenschutz-Folgenabschätzungen (Art. 22 nDSG) durchführen, wenn sie risikoreiche Datenverarbeitungen vornehmen, bei denen die Persönlichkeits- oder Grundrechte der Betroffenen verletzt werden könnten.
Unternehmen sollten zudem die neuen Informationspflichten kennen und Prozesse etablieren, um Betroffenen auf Anfrage Auskunft über die über sie gespeicherten Informationen zu geben. Eine Person hat nämlich nach dem in Art. 25 geregelten Auskunftsrecht einen Anspruch auf „diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist.“
Nicht zuletzt sollten Unternehmen unbedingt die umfassende Informationspflicht nach Art. 19 nDSG beachten. Wenn Personendaten beschafft werden, muss der Verantwortliche mindestens folgende Informationen mitteilen:
die Identität und die Kontaktdaten des Verantwortlichen
den Bearbeitungszweck
gegebenenfalls die Empfänger:innen oder die Kategorien von Empfänger:innen, denen Personendaten bekanntgegeben werden.
Diese Informationspflicht greift allerdings nicht bei den in Art. 20 des nDSG gesammelten Ausnahmefällen.
Obwohl das nDSG eine weitestgehende Angleichung des Datenschutzes an die Anforderungen der DSGVO darstellt, setzt es durchaus eigene Akzente. So ist die Kategorie der sensitiven Daten weiter gesteckt als in der EU und enthält auch „Daten zu administrativen oder strafrechtlichen Verfolgungen und Sanktionen“ sowie „Daten zu Maßnahmen der sozialen Hilfe“.
Etwas lockerer gesehen wird das Profiling, also die automatisierte Bearbeitung personenbezogener Daten, um Persönlichkeitsmerkmale zu evaluieren (wie wirtschaftliche Verhältnisse, Gesundheit, Interessen, Verhalten oder Standort). Eine Zustimmung dafür muss dein Unternehmen nur einholen, wenn dabei ein hohes Risiko besteht.
Außerdem enthält das neue Datenschutzgesetz der Schweiz keine Pflicht zur Ernennung eines bzw. einer Datenschutzbeauftragten. Stattdessen gibt es nur eine ausdrückliche Empfehlung, die im Land als Data Protection Advisor (DPA) bezeichnete Rolle einzuführen.
Der wichtigste Unterschied liegt jedoch bei den Sanktionen, die bei Verstößen gegen das neue Datenschutzgesetz verhängt werden können. Denn im Gegensatz zur DSGVO werden in der Schweiz nicht Unternehmen, sondern die verantwortlichen Einzelpersonen mit Strafen belegt. Diese können bis zu 250.000 Schweizer Franken betragen. Dementsprechend wird für Mitarbeitende ein großer Anreiz gesetzt, den Datenschutz in allen unternehmerischen Prozessen zu beachten.
Das nDSG bringt einige Anforderungen an den Datenschutz in der Schweiz mit sich, die Unternehmen bereits aus der DSGVO kennen. Wenn du jedoch bisher auf der Grundlage des alten Datenschutzgesetzes gearbeitet hast, ist die Umstellung mit einem großen Aufwand verbunden. In beiden Fällen bietet es sich an, auf eine übersichtliche Softwarelösung wie caralegal zu setzen, mit der eine intuitive, praktische Umsetzung der Datenschutzanforderungen möglich wird.
Hier erhältst du alle Informationen zu den Funktionen und Vorteilen der nDSG-Software von caralegal.
Übrigens: Um dir selbst ein ganz genaues Bild zu machen, kannst du hier einen Blick in den Gesetzestext für das neue Schweizer Datenschutzgesetz werfen.
Entdecke weitere Beiträge zu diesem Thema:
Wir informieren monatlich zu den Best Practices aus der Welt des Datenschutzmanagements und mehr.
Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Datenschutzthemen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.
en_US