Das Schweizer Bundesgesetz über den Datenschutz (DSG)

Das Bundesgesetz über den Datenschutz (DSG) wurde in der Schweiz im Herbst 2020 verabschiedet und tritt am 1. September 2023 durch die Datenschutzverordnung (DSV) in Kraft. Ursprünglich sollte es in der zweiten Hälfte des Jahres 2022 in Kraft treten.

Das Bundesgesetz über den Datenschutz (DSG) unterscheidet sich in einigen Punkten von der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und anderen europäischen Gesetzen, ist aber weitgehend mit diesen vereinbar. Ein wichtiges Ziel des Gesetzes war es, den Datenfluss mit der EU zu gewährleisten und die wirtschaftlichen Möglichkeiten der Schweizer Unternehmen zu erhalten. Das DSG gibt den Schweizer Bürgern neue Rechte in Bezug auf den Schutz ihrer personenbezogenen Daten und schafft neue Anforderungen für Unternehmen, die Zugang zu diesen Daten haben wollen.

Die Schweizer Verfassung gewährt den Bürgern ein Recht auf Privatsphäre, und die Schweizer Datenschutzgesetze haben ihre Grundlage in diesem zivilrechtlichen Schutz. Das revidierte DSG ist eine vollständige Überarbeitung des älteren Schweizer Datenschutzgesetzes aus dem Jahr 1992, wobei 2009 und 2019 kleinere Aktualisierungen vorgenommen wurden. Der Geltungsbereich des revidierten Datenschutzgesetzes ist in Art. 2 festgehalten.

Das Schweizer Datenschutzgesetz ist technisch gesehen das neue DSG (rDSG oder revidiertes DSG), da es das vorherige Gesetz von 1992 ersetzt.
Die Technologie hat sich seit den 1990er Jahren stark verändert und ist sowohl allgegenwärtiger als auch anspruchsvoller in Bezug auf Nutzerdaten geworden. Smartphones, Social-Networking-Plattformen, Cloud-basierte Computersysteme und vieles mehr haben sich ausgebreitet, sodass eine Aktualisierung des Gesetzes zum besseren Schutz des Datenschutzes fällig war.

Das revidierte DSG führt das Konzept der Profilerstellung ein, d. h. der automatisierten Verarbeitung personenbezogener Daten (Art. 5 lit. f), was ein gutes Beispiel für ein neues, technologiegetriebenes Anliegen ist, mit dem sich das Gesetz befassen muss.

Das DSG ist extraterritorial, gilt also für Organisationen außerhalb der Schweiz, wenn sie Daten von Schweizer Bürgern verarbeiten. Dabei spielt es keine Rolle, wo das Unternehmen seinen Sitz hat oder seine Website gehostet wird. Zudem gilt das Gesetz sowohl für den öffentlichen als auch für den privaten Sektor.

Das DSG soll den kontinuierlichen und sicheren Datenverkehr zwischen der Schweiz und der EU und dem EWR gewährleisten, obwohl die Schweiz weder Mitglied der EU noch des EWR ist. Es verbietet die Übermittlung personenbezogener Daten aus der Schweiz in Länder, mit denen keine Angemessenheitsvereinbarung besteht, d. h. in Länder, die kein angemessenes Datenschutzniveau gewährleisten (Art. 16). Solche Übermittlungen sind jedoch weiterhin möglich, wenn die betroffenen Personen ihre Einwilligung dazu gegeben haben (Art. 17).

Das DSG gilt sowohl für physische als auch für elektronische Daten/Dateien. Es schützt die Rechte der Schweizer Bürger auf Datenschutz und vor einer Datenschutzverletzung durch einen übermäßigen Zugriff auf ihre personenbezogenen Daten oder deren Verwendung.

Gemäß dem DSG (Art. 5) wird „Verarbeitung” definiert als: „jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten”.

Das DSG spricht auch von „Verantwortlichen” und definiert den Begriff als: „private Person oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet”. Der für die Verarbeitung „Verantwortliche” ist derjenige, der die Daten sammelt und verarbeitet, der die Sammlung und Verarbeitung der Daten leitet und der für den korrekten und datenschutzkonformen Umgang mit den Daten verantwortlich ist.

Die Verarbeitung personenbezogener Daten kann durch Dritte (nicht durch den Verantwortlichen) erfolgen, wenn dies entweder gesetzlich erlaubt ist oder vertraglich vereinbart wurde und wenn (Art. 9):

1. die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
2. keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.

Darüber hinaus können Dritte die gleiche Rechtfertigung (Rechtsgrundlage) für die Datenverarbeitung geltend machen wie der Auftraggeber.

Mit dem DSG werden die Grundsätze „Privacy by Design” und „Privacy by Default” in das Gesetz aufgenommen. Dies verpflichtet die Unternehmen, die Grundsätze der Datenverarbeitung bereits bei der Planung und Gestaltung von Apps zu berücksichtigen und nicht erst im Nachhinein zu versuchen, Daten zu sichern und zu schützen. Sie dürfen auch keine Standardeinstellungen, z. B. von Web-Technologien verwenden, um die Einwilligung der Betroffenen zu mehr Datenverarbeitung als unbedingt erforderlich einzuholen.

Das DSG legt mehrere Grundsätze für die Datenbearbeitung fest (Art. 4):

1. Personendaten dürfen nur rechtmäßig verarbeitet werden
2. Die Verarbeitung muss nach Treu und Glauben erfolgen und verhältnismäßig sein
3. Die Verarbeitung darf nur zu dem bei der Erhebung angegebenen Zweck erfolgen, der sich aus den Umständen ergibt oder gesetzlich vorgesehen ist
4. Die Erhebung personenbezogener Daten, insbesondere der Zweck der Verarbeitung, muss für die betroffene Person erkennbar sein
5. Die Daten werden gelöscht oder anonymisiert, sobald sie für die Zwecke der Verarbeitung nicht mehr benötigt werden
6. Ist für die Verarbeitung personenbezogener Daten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie freiwillig und nach angemessener Unterrichtung erteilt wird
7. Im Falle der Verarbeitung von sensiblen Personendaten oder von Persönlichkeitsprofilen muss die Einwilligung ausdrücklich erteilt werden

In Übereinstimmung mit vielen anderen Datenschutzgesetzen definiert das Schweizer DSG personenbezogene Daten oder Informationen („Personendaten”) als „alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen”. Dazu können offensichtlich identifizierende Informationen wie ein Name oder eine E-Mail-Adresse gehören, aber auch Informationen wie die IP-Adresse, zumal sie in Kombination mit anderen personenbezogenen Daten identifizierend wirken kann.

Das DSG definiert sensible Personendaten (Art. 5 lit. c) wie folgt:

1. Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
2. Daten über die Gesundheit, Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
3. Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
4. Daten über Maßnahmen der sozialen Hilfe
5. Genetische Daten,
6. Biometrische Daten, die eine natürliche Person eindeutig identifizieren

Die letzten beiden aufgelisteten Arten sensibler personenbezogener Daten wurden in das revidierte DSG aufgenommen; die vorangegangenen vier Arten waren bereits im alten Gesetz enthalten.

Die Nutzer müssen um eine ausdrückliche Bestätigung gebeten werden, dass sie über den Zugang zu ihren sensiblen Personendaten und deren Verwendung informiert wurden und damit einverstanden sind, z. B. durch Anklicken einer Checkbox.

Das DSG ist nicht die DSGVO der Schweiz, und daher gibt es einige Unterschiede hinsichtlich der rechtlichen Anforderungen für die Verarbeitung von Daten, einschließlich der Einwilligung. Wie die meisten Datenschutzgesetze auf der ganzen Welt verlangt das Schweizer Datenschutzgesetz jedoch eine Benachrichtigung der betroffenen Personen.

Rechtsgrundlage oder Rechtfertigung gemäß dem Schweizer DSG

Die DSGVO beruht auf dem Grundsatz der „Rechtmäßigkeit der Verarbeitung”, der für die meisten Verarbeitungen personenbezogener Daten eine Rechtsgrundlage oder Rechtfertigung verlangt. Die Einwilligung ist eine dieser Rechtsgrundlagen.

Das DSG funktioniert insofern etwas anders, als dass Einzelpersonen (natürliche Personen), Organisationen (nicht kommerzielle Einrichtungen) und Unternehmen (kommerzielle Einrichtungen) personenbezogene Daten im Allgemeinen ohne eine spezifische Rechtsgrundlage verarbeiten dürfen, sofern die Verarbeitung nicht bestimmte Kriterien erfüllt. Eine Einwilligung ist erforderlich für:

• die Verarbeitung sensibler personenbezogener Daten
• die Verarbeitung zur Erstellung von Profilen mit hohem Risiko durch einen Datenschutzbeauftragten
• die Verarbeitung zur Profilerstellung durch eine Bundesbehörde (Regierung)
• Datenübermittlungen in Drittländer, in denen kein angemessener Datenschutz besteht

Auch wenn für die Verarbeitung keine Einwilligung erforderlich ist, müssen die betroffenen Personen nach dem DSG informiert werden. Wenn eine Rechtsgrundlage erforderlich ist, muss der Verantwortliche mitteilen, um welche es sich handelt. In all diesen Szenarien ermöglicht eine Consent Management-Lösung die Einhaltung der Vorschriften, indem sie die erforderliche Benachrichtigung bereitstellt und eine gültige Einwilligung einholt.

Eine Einwilligung kann beispielsweise erforderlich sein, wenn der Verantwortliche eine Rechtfertigung für die Weitergabe sensibler personenbezogener Daten oder von „Persönlichkeitsprofilen” an Dritte (nur an andere für die Verarbeitung Verantwortliche) sucht, oder wenn er die Daten für zusätzliche Zwecke oder für einen längeren Zeitraum als angegeben verarbeiten will (Art. 6).

Privatpersonen können Dritte beauftragen, Daten in ihrem Namen zu verarbeiten, sofern keine Geheimhaltungspflichten verletzt werden. Jede Rechtsgrundlage/Rechtfertigung, die der Verantwortliche geltend macht, kann von diesen Dritten genutzt werden (Art. 9).

Neben der Einwilligung gibt es weitere legitime Rechtfertigungsgründe für Datenübermittlungen in Drittländer:

• Datenerhebung im Zusammenhang mit dem Abschluss eines Vertrags
• Ein übergeordnetes privates oder öffentliches Interesse
• Zur Begründung, Ausübung oder Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde, oder
• Zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder eines Dritten und es ist in diesem Fall nicht möglich, die Einwilligung der betroffenen Person innerhalb einer angemessenen Frist einzuholen

Das DSG ist ein Gesetz, das ein „Opt-In-Verfahren” nutzt, d. h. wenn eine Rechtsgrundlage erforderlich ist, müssen Organisationen die gültige Einwilligung der Nutzer vor oder zum Zeitpunkt der Datenerhebung einholen. Die betroffenen Personen müssen vor oder zum Zeitpunkt der Datenerhebung benachrichtigt werden, unabhängig davon, ob eine Rechtsgrundlage erforderlich ist.

Wie bei der DSGVO muss auch in der Schweiz die Einwilligung der Nutzer freiwillig und unter vorheriger Bereitstellung von Informationen zur Verarbeitung ihrer Daten (also informiert) eingeholt werden. Dies gilt unter anderem für die Verwendung von Cookies und anderen Tracking-Technologien auf Websites, die Schweizer Bürger besuchen könnten, wenn die Datenerhebung und -verarbeitung die Voraussetzungen für eine Einwilligung nach dem DSG erfüllt (sensible personenbezogene Daten, Profilerstellung durch eine Bundesbehörde usw.)

Organisationen müssen die folgenden Informationen klar kommunizieren, z. B. in der Datenschutzerklärung auf der Website (Art. 8, Art. 18a), ob eine Rechtsgrundlage erforderlich ist oder nicht. Diese Kriterien sind jedoch auch für die Gültigkeit der Einwilligung erforderlich:

• Identität des Verantwortlichen, sei es das Unternehmen oder eine dritte Partei
• Kontaktdaten des Verantwortlichen
• Identität des Datenempfängers und aller anderen Parteien, die an der Datenverarbeitung beteiligt sind
• Empfängerland, wenn die Daten grenzüberschreitend übermittelt werden
• Zweck(e) der Datenerhebung und -verwendung
• Kategorien der erhobenen Daten, falls zutreffend
• Mittel der Datenerhebung, falls zutreffend
• Die Rechtsgrundlage für die Verarbeitung, falls erforderlich
• Rechte der Nutzer in Bezug auf ihre personenbezogenen Daten im Rahmen des DSG, einschließlich des Rechts, die Einwilligung zu verweigern oder zu widerrufen

Die DSGVO und das DSG weisen eine Reihe von Gemeinsamkeiten auf, die für Datenschutzgesetze typisch sind, aber es gibt auch wichtige Unterschiede.

Das DSG gilt für Privatpersonen oder Bundesbehörden, die für die Verarbeitung von Personendaten von Personen in der Schweiz verantwortlich sind, auch wenn sie Drittanbieter für die Datensammlung und -verarbeitung einsetzen, z. B. für Analytics-Zwecke, Werbung usw.

Wenn sie die Daten von Nutzern außerhalb der Schweiz, in der EU, verarbeiten, was ziemlich häufig der Fall ist, müssen Unternehmen bei der Verarbeitung und dem Schutz personenbezogener Daten auch die Anforderungen der umfassenderen europäischen Gesetze wie der DSGVO und der ePrivacy-Richtlinie (ePR) berücksichtigen. Die ePR ist vor allem bei der Nutzung elektronischer Kommunikation relevant. Die Verantwortlichkeiten der Unternehmen im Rahmen dieser Verordnungen sind denen des DSG recht ähnlich, auch wenn sie in einigen Punkten strenger sind (z. B. muss unter mehr Umständen eine Einwilligung eingeholt werden).

Bei seinem Inkrafttreten im September 2023 sieht das DSG keine Schonfrist für Unternehmen vor, bevor die Durchsetzung beginnt. Die Einhaltung ist vom ersten Tag an erforderlich. Doch Unternehmen, die bereits DSGVO-konform sind, müssen nur wenige bis gar keine Anpassungen an ihren Richtlinien oder Abläufen vornehmen, um das DSG zu erfüllen.

Unternehmen müssen die betroffenen Personen über jede Erhebung personenbezogener Daten informieren, auch wenn die Daten nicht direkt bei der betroffenen Person erhoben wurden. Außerdem müssen sie ein Verzeichnis der Verarbeitungsaktivitäten führen. Für KMU (Unternehmen mit bis zu 250 Mitarbeitern), deren Datenverarbeitungsaktivitäten ein geringes oder begrenztes Risiko für die betroffenen Personen darstellen, kann es jedoch Ausnahmen von dieser Anforderung geben.

Sowohl Erst- als auch Drittverantwortliche tragen Verantwortung, wenn sie die Kontrolle über den Datenbestand haben, z. B. das Unternehmen, auf dessen Website Daten gesammelt werden, und ein Drittanbieter, der die Daten verwendet. Ist ein Dritter beteiligt, so ist er zur Auskunft verpflichtet, wenn er die Identität des Verantwortlichen (Erstpartei) nicht preisgibt oder wenn der Verantwortliche nicht in der Schweiz ansässig ist.

Ernannte Vertreter und Datenschutzbeauftragte gemäß dem Schweizer DSG

Unternehmen mit Sitz außerhalb der Schweiz müssen in folgenden Fällen einen Vertreter in der Schweiz ernennen, wenn sie regelmäßig größere Datenmengen in der Schweiz/von Schweizer Bürgern verarbeiten:

• Im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen
• Zum Zweck, das Nutzerverhalten zu überwachen (Monitoring)
• Wenn die Verarbeitung ein hohes Risiko für die betroffenen Personen beinhalten könnte

Für Schweizer Unternehmen, die personenbezogene Daten von in der EU ansässigen Personen verarbeiten, kann immer ein Datenschutzbeauftragter bestellt werden (unabhängig vom Risikoniveau für die betroffenen Personen). Unternehmen, die das DSG einhalten müssen und noch keinen Datenschutzbeauftragten haben (aber auch nicht durch die DSGVO oder andere Gesetze dazu verpflichtet sind), können dies freiwillig tun. Eine solche Position bietet eine zentrale Anlaufstelle für Kunden, Mitarbeiter und Datenschutzbehörden.

Verantwortung für die Gewährleistung der Richtigkeit und Vollständigkeit gemäß dem Schweizer DSG

Jede Organisation, die personenbezogene Daten verarbeitet, ist für die Richtigkeit der Daten verantwortlich (Art. 6) und muss alle angemessenen Maßnahmen ergreifen, um sicherzustellen, dass unrichtige oder unvollständige Daten im Rahmen des Erhebungszwecks entweder berichtigt oder vernichtet werden.

Verantwortung für die Gewährleistung eines angemessenen Sicherheitsniveaus gemäß dem revidierten DSG

Der Verantwortliche muss die Daten durch angemessene technische und organisatorische Maßnahmen vor unberechtigtem Zugriff oder unberechtigter Verarbeitung schützen (Art. 7). Detaillierte Bestimmungen über Mindeststandards für die Datensicherheit werden vom Bundesrat erlassen.

Verantwortung zur Vermeidung von Nachteilen für die betroffenen Personen gemäß dem Schweizer DSG

Es ist ein Grundprinzip des DSG, dass die Erhebung von Personendaten durch Privatpersonen die Privatsphäre und die Persönlichkeit der betroffenen Personen nicht beeinträchtigen darf. Nun können Daten öffentlich zugänglich gemacht werden, wenn ihre Verarbeitung nicht ausdrücklich untersagt ist, doch darf dies nicht schädlich sein, und wie erwähnt, müssen Informationen über die Erhebung und Verwendung der Daten und deren Zweck mitgeteilt werden.

Datenschutz-Folgenabschätzungen gemäß dem Schweizer DSG

Besteht ein hohes Risiko für die Privatsphäre oder die Rechte der betroffenen Personen, muss der Verantwortliche regelmäßig dokumentierte Folgenabschätzungen für seine Datenverarbeitungsaktivitäten durchführen.

Benachrichtigung bei Datenschutzverletzungen gemäß dem Schweizer DSG

Im Falle einer Datenschutzverletzung, einschließlich des versehentlichen oder unrechtmäßigen Verlusts, der Löschung, der Zerstörung, der Veränderung von oder des unbefugten Zugriffs auf Personendaten, muss der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) unverzüglich benachrichtigt werden. (Gemäß der DSGVO muss eine unverzügliche Meldung innerhalb von 72 Stunden erfolgen.)

Im Allgemeinen müssen die Verantwortlichen auch die betroffene Person informieren, wenn der EDÖB dies verlangt oder wenn es für die Sicherheit und den Schutz der betroffenen Person erforderlich ist.

Früher galt das DSG sowohl für natürliche als auch für juristische Personen. Das revidierte DSG gilt nur noch für natürliche Personen und Bundesbehörden. Nach Schweizer Recht ist eine juristische Person eine menschliche oder nichtmenschliche Einheit (z. B. ein Unternehmen oder eine andere Organisation), die für bestimmte rechtliche Zwecke wie eine Person behandelt wird. Dazu gehören z. B. der Besitz von Eigentum, der Abschluss von Verträgen sowie das Einklagen oder das Verklagt werden.

Jede betroffene Person kann Auskunft darüber verlangen, ob Daten über sie verarbeitet werden oder wurden, und jede betroffene Person kann Zugang zu diesen Daten verlangen. Die Daten müssen schriftlich (in gedruckter oder fotokopierter Form) und unentgeltlich zur Verfügung gestellt werden. Auf das Recht auf Auskunft kann nicht im Voraus verzichtet werden.

Betroffene Personen haben auch das Recht, die Berichtigung ihrer personenbezogenen Daten zu verlangen, wenn diese unrichtig oder unvollständig sind. Unter bestimmten Umständen können diese Anträge jedoch eingeschränkt, abgelehnt oder aufgeschoben werden (Art. 32).

Das DSG ist nicht anwendbar auf:

1. Personendaten, die von einer natürlichen Person ausschließlich zum persönlichen Gebrauch verarbeitet und nicht an Außenstehende bekannt gegeben werden
2. Beratungen in der Bundesversammlung und in parlamentarischen Kommissionen

Die Einhaltung gesetzlicher Vorschriften ist nicht etwas, das Unternehmen nur einmal erreichen müssen und dann ignorieren können. Der Datenschutz und die Einhaltung des DSG können wichtige und ständige Aspekte der Geschäftstätigkeit eines Unternehmens sein.

Zu den organisatorischen Best Practices für die Einhaltung des DSG gehören die folgenden, die regelmäßig überprüft und aktualisiert werden sollten:

Führen Sie umfassende Datenverzeichnisse: Unternehmen müssen wissen, welche Daten sie sammeln und speichern, einschließlich spezifischer Kategorisierungen wie der von sensiblen personenbezogenen Daten.

Überprüfen Sie die Anforderungen an die Einhaltung des DSG: Überprüfen Sie periodisch Ihre Unternehmenstätigkeiten und Ihre Datenverarbeitung sowie die Pflichten des DSG und ergreifen Sie die notwendigen Maßnahmen, um die kontinuierliche Einhaltung des Schweizer Datenschutzgesetzes zu gewährleisten.

Legen Sie Ihre Verarbeitungstätigkeiten transparent offen: Legen Sie die Datenverarbeitungsaktivitäten durch formalisierte Richtlinien und Datenschutzhinweise klar offen und stellen Sie sicher, dass Ihre Nutzer über die Datenverarbeitungsaktivitäten und ihre Rechte informiert sind.

Richten Sie ein Verfahren für die Bearbeitung von DSR-Anfragen ein: Einrichtung und Aktualisierung von Verfahren zur benutzerfreundlichen und zeitnahen Bearbeitung von DSR-Anfragen, die den rechtlichen Anforderungen entsprechen, dem Unternehmen Zeit und Ressourcen einsparen und das Vertrauen der Nutzer fördern.

Rationalisieren Sie Ihre Architektur für DSR-Anfragen: Einrichtung und Pflege einer gut strukturierten Architektur für DSR-Anfragen, um eine zeitnahe und effektive Verwaltung und Beantwortung von DSR-Anfragen und die Ausübung der Rechte betroffener Personen zu gewährleisten.

Führen Sie ein robustes System zur Meldung von Datenschutzverletzungen ein: Einführung von Richtlinien und Prozessen, die eine solide Reaktion auf Datenschutzverletzungen gewährleisten, einschließlich der gesetzlich vorgeschriebenen unverzüglichen Benachrichtigung und einer guten Beziehung zu den Nutzern.

Sorgen Sie für Datenschutzkonformität bei grenzüberschreitendem Datenverkehr: Katalogisieren Sie die Prozesse und machen Sie sich mit den grenzüberschreitenden Anforderungen vertraut, wenn der Betrieb internationale Datenströme umfasst.

Etablieren Sie effizientes Reporting über alle aufgezeichneten Verarbeitungstätigkeiten: Legen Sie Verfahren fest, die sicherstellen, dass Ihre Berichte über alle aufgezeichneten Verarbeitungstätigkeiten effizient gescannt, getrackt und erstellt werden.

Verstärken Sie Ihre organisatorischen Sicherheitsmaßnahmen: Schützen Sie Ihre Verarbeitungstätigkeiten durch die Einführung autonomer und robuster Sicherheitsmaßnahmen in der gesamten Organisation.

Führen Sie Datenschutz-Folgenabschätzungen durch: Führen Sie Datenschutz-Folgenabschätzungen durch, wie sie im Rahmen des DSG gesetzlich vorgeschrieben sind, um potenzielle Risiken im Zusammenhang mit Datenverarbeitungsaktivitäten zu ermitteln und zu mindern.

Der EDÖB kann von sich aus oder auf Meldung hin eine Untersuchung gegen ein Unternehmen einleiten. Wird eine Datenschutzverletzung festgestellt, kann der EDÖB weitreichende Maßnahmen anordnen, darunter die Anpassung oder Einstellung der Datenverarbeitung oder die Löschung von Daten.

Die Nichteinhaltung des DSG und dessen Pflichten, einschließlich der Verletzung von Auskunfts- oder Sorgfaltspflichten, kann für den Verantwortlichen eine Geldstrafe von bis zu 250.000 Schweizer Franken zur Folge haben. Zu beachten ist, dass gemäß dem DSG eine Geldstrafe an Privatpersonen verhängt werden kann, während die DSGVO keine Geldstrafen für natürliche Personen vorsieht, sondern den Schwerpunkt der Geldstrafen auf Unternehmen legt.

Bei Verstößen im Rahmen der Geschäftstätigkeit kann das Unternehmen mit einer Geldstrafe von bis zu 50.000 Schweizer Franken belegt werden, wenn ein unverhältnismäßiger Aufwand nötig wäre, um die fehlbare Person innerhalb der Organisation zu identifizieren.

Wer sorgt für die Durchsetzung des DSG?

Der EDÖB ist für das Monitoring der DSG-Konformität zuständig und verfügt über weitreichende Ermittlungsbefugnisse (Art. 4). Die Stelle ist auch für die Beratung, die Aufklärung und die Gewährleistung des Schutzes von Personendaten in der Schweiz zuständig. Der EDÖB wird vom Bundesrat (dem Exekutivorgan der Schweizer Bundesregierung) für eine Amtszeit von vier Jahren ernannt und von der Bundesversammlung zugelassen.

Die Schweiz und der Privacy Shield

Der EU-US Privacy Shield wurde im Juli 2020 gekippt. Nach einer Evaluation durch den EDÖB wurde auch der Swiss-US Privacy Shield aufgrund des ungenügenden Datenschutzniveaus der USA als unzureichend erklärt. Der Transfermechanismus wurde am 8. September 2020 für internationale Datenübermittlungen außer Kraft gesetzt.

Die EU und die USA haben am 10. Juli 2023 eine neue Angemessenheitsvereinbarung, das EU-U.S. Data Privacy Framework, in Kraft gesetzt. Darüber hinaus trat das Swiss-U.S. Data Privacy Framework am 17. Juli 2023 in Kraft. Unternehmen können ab diesem Datum mit dem Selbstzertifizierungsprozess beginnen. US-Unternehmen, die sich nach diesem Framework selbst zertifizieren, müssen das Swiss-U.S Data Privacy Framework einhalten, das eine Aktualisierung der Datenschutzerklärungen bis zum 17. Oktober 2023 vorschreibt.

Die Nichteinhaltung des DSG kann nicht nur Bußgelder nach sich ziehen, sondern auch den Ruf eines Unternehmens schädigen und dazu führen, dass Nutzer ihr Vertrauen verlieren. DSG-Konformität und eine klare, transparente Kommunikation mit den Kunden schafft Vertrauen und zeugt von Respekt und Engagement für den Schutz personenbezogener Daten und des Rechts auf Privatsphäre.

Die Implementierung von Compliance-Prozessen und -Mechanismen trägt dazu bei, eine verantwortungsvolle und sichere Erfassung, Speicherung und Verwendung personenbezogener Daten zu gewährleisten, und ermöglicht es den Verbrauchern, den Zugang zu diesen Daten und deren Verwendung zu kontrollieren.

Die Einhaltung von mindestens einem Datenschutzgesetz wie dem DSG trägt dazu bei, dass eine Menge Arbeit bereits erledigt ist, falls ein Unternehmen in Zukunft weitere Gesetze einhalten muss, was angesichts der weltweiten Ausweitung der Datenschutzvorschriften immer wahrscheinlicher wird.

DSG-Konformität ermöglicht es Schweizer Unternehmen auch, wettbewerbsfähig zu bleiben, da sie nachweisen können, dass sie die Anforderungen an den Datenschutz erfüllen, was den grenzüberschreitenden Datentransfer und andere Funktionen der Geschäftstätigkeit, insbesondere in der EU, ermöglicht.

Es ist zwar nicht immer erforderlich, die Einwilligung der Schweizer Nutzer vor der Erhebung und Verarbeitung ihrer personenbezogenen Daten einzuholen (obwohl es andere Rechtsgrundlagen nach Art. 6 und 17 gibt), aber es ist immer notwendig, sie über den Verantwortlichen und die Verarbeitung zu informieren. Eine Consent Management Platform (CMP) ist ein wertvolles und hilfreiches Tool, um dies zu gewährleisten.

In Fällen, in denen eine Einwilligung erforderlich ist, z. B. bei der Verarbeitung sensibler personenbezogener Daten oder wenn die Daten in ein Drittland übermittelt werden, in dem kein angemessener Datenschutz besteht, ermöglicht eine CMP die Erfassung und Speicherung gültiger Einwilligungen sowie die Bereitstellung der erforderlichen Benachrichtigung an den Nutzer. Für Websites und Online-Shops, die sowohl Besucher und Kunden aus der EU als auch aus der Schweiz haben, ist ein Consent-Banner sowohl für die Benachrichtigung als auch für die Einwilligung erforderlich.

Die Usercentrics Consent Management Platform (CMP) kann ganz einfach und schnell eingerichtet werden, sodass datenschutzkonforme Einwilligungen von Schweizer Kunden eingeholt werden können. Es können mehrere Konfigurationen mit Geolokalisierung erstellt und verwaltet werden, um DSG- und DSGVO-Konformität sowie die Einhaltung anderer Vorschriften zu gewährleisten.

Holen Sie sich noch heute unsere DSG-Checkliste und erfahren Sie alles, was Sie wissen müssen, um datenschutzkonform zu werden.

Das Bundesgesetz über den Datenschutz (DSG) bringt eine dringend benötigte Modernisierung des Schweizer Datenschutzrechts. Dadurch positioniert sich das Land in der technologie- und datengesteuerten Zukunft als engagiert und wettbewerbsfähig. Da die Bestimmungen des DSG nicht ganz mit der DSGVO oder anderen Verordnungen übereinstimmen, ist es wichtig zu verstehen, was das DSG vorschreibt und erlaubt, und eine gute Rechtsberatung über Ihre spezifischen Verpflichtungen zur Einhaltung des DSG einzuholen. (Usercentrics bietet keine Rechtsberatung an, und Informationen werden nur zu Bildungszwecken bereitgestellt).

Im Rahmen des DSG bleiben Transparenz und Aufklärung der Nutzer von entscheidender Bedeutung, unabhängig davon, ob ihre Einwilligung zur Datenverarbeitung erforderlich ist oder nicht. Wenn jedoch eine Einwilligung erforderlich ist, muss sie, wie bei der DSGVO, granular, informiert, ausdrücklich und freiwillig eingeholt werden. Zudem müssen die Nutzer die Möglichkeit haben, die Einwilligung abzulehnen oder ihre Präferenzen zu ändern. Die Consent Management Platform (CMP) von Usercentrics erfüllt diese Anforderungen und bietet zudem Benutzerfreundlichkeit und Flexibilität, um die Einhaltung der für Ihr Unternehmen relevanten Datenschutzvorschriften zu ermöglichen – und das alles über ein benutzerfreundliches Interface. Verlassen Sie sich auf unsere hochmoderne Technologie und unser juristisches Fachwissen, um die Einhaltung der Vorschriften zu gewährleisten und gleichzeitig Ihr Geschäft auszubauen.

Haben Sie noch Fragen dazu, was genau Sie tun müssen, um DSG-Konformität zu gewährleisten oder wie Sie sicherstellen können, dass Ihr Unternehmen seiner Verantwortung gegenüber den Nutzern und den verschiedenen Vorschriften gerecht wird? Führen Sie ein kostenloses Datenschutz-Audit durch, um festzustellen, wie gut Ihre Website die Anforderungen an den Datenschutz erfüllt.

Haben Sie spezielle Fragen zu den Datenschutzvorschriften oder zu den Verantwortlichkeiten Ihres Unternehmens? Wir sind für Sie da. Sprechen Sie noch heute mit einem unserer Experten.