Das Bundesgesetz \u00fcber den Datenschutz (DSG) wurde in der Schweiz im Herbst 2020 verabschiedet und tritt am 1. September 2023 durch die Datenschutzverordnung (DSV) in Kraft. Urspr\u00fcnglich sollte es in der zweiten H\u00e4lfte des Jahres 2022 in Kraft treten.<\/p>\n
Das Bundesgesetz \u00fcber den Datenschutz (DSG)<\/a> unterscheidet sich in einigen Punkten von der Datenschutz-Grundverordnung (DSGVO)<\/a> der Europ\u00e4ischen Union und anderen europ\u00e4ischen Gesetzen, ist aber weitgehend mit diesen vereinbar. Ein wichtiges Ziel des Gesetzes war es, den Datenfluss mit der EU zu gew\u00e4hrleisten und die wirtschaftlichen M\u00f6glichkeiten der Schweizer Unternehmen zu erhalten. Das DSG gibt den Schweizer B\u00fcrgern neue Rechte in Bezug auf den Schutz ihrer personenbezogenen Daten und schafft neue Anforderungen f\u00fcr Unternehmen, die Zugang zu diesen Daten haben wollen.<\/p>\n\n\n Die Schweizer Verfassung gew\u00e4hrt den B\u00fcrgern ein Recht auf Privatsph\u00e4re, und die Schweizer Datenschutzgesetze haben ihre Grundlage in diesem zivilrechtlichen Schutz. Das revidierte DSG ist eine vollst\u00e4ndige \u00dcberarbeitung des \u00e4lteren Schweizer Datenschutzgesetzes aus dem Jahr 1992, wobei 2009 und 2019 kleinere Aktualisierungen vorgenommen wurden. Der Geltungsbereich des revidierten Datenschutzgesetzes ist in Art. 2 festgehalten.<\/p>\n Das Schweizer Datenschutzgesetz ist technisch gesehen das neue DSG (rDSG oder revidiertes DSG), da es das vorherige Gesetz von 1992 ersetzt. Das revidierte DSG f\u00fchrt das Konzept der Profilerstellung ein, d. h. der automatisierten Verarbeitung personenbezogener Daten (Art. 5 lit. f), was ein gutes Beispiel f\u00fcr ein neues, technologiegetriebenes Anliegen ist, mit dem sich das Gesetz befassen muss.<\/p>\n Das DSG ist extraterritorial, gilt also f\u00fcr Organisationen au\u00dferhalb der Schweiz, wenn sie Daten von Schweizer B\u00fcrgern verarbeiten. Dabei spielt es keine Rolle, wo das Unternehmen seinen Sitz hat oder seine Website gehostet wird. Zudem gilt das Gesetz sowohl f\u00fcr den \u00f6ffentlichen als auch f\u00fcr den privaten Sektor.<\/p>\n Das DSG soll den kontinuierlichen und sicheren Datenverkehr zwischen der Schweiz und der EU und dem EWR gew\u00e4hrleisten, obwohl die Schweiz weder Mitglied der EU noch des EWR ist. Es verbietet die \u00dcbermittlung personenbezogener Daten aus der Schweiz in L\u00e4nder, mit denen keine Angemessenheitsvereinbarung besteht, d. h. in L\u00e4nder, die kein angemessenes Datenschutzniveau gew\u00e4hrleisten (Art. 16). Solche \u00dcbermittlungen sind jedoch weiterhin m\u00f6glich, wenn die betroffenen Personen ihre Einwilligung dazu gegeben haben (Art. 17).<\/p>\n Das DSG gilt sowohl f\u00fcr physische als auch f\u00fcr elektronische Daten\/Dateien. Es sch\u00fctzt die Rechte der Schweizer B\u00fcrger auf Datenschutz und vor einer Datenschutzverletzung durch einen \u00fcberm\u00e4\u00dfigen Zugriff auf ihre personenbezogenen Daten oder deren Verwendung.<\/p>\n Gem\u00e4\u00df dem DSG (Art. 5) wird \u201eVerarbeitung\u201d definiert als: \u201ejeder Umgang mit Personendaten, unabh\u00e4ngig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Ver\u00e4ndern, Bekanntgeben, Archivieren, L\u00f6schen oder Vernichten von Daten\u201d.<\/em><\/p>\n Das DSG spricht auch von \u201eVerantwortlichen\u201d und definiert den Begriff als: \u201eprivate Person oder Bundesorgan, die oder das allein oder zusammen mit anderen \u00fcber den Zweck und die Mittel der Bearbeitung entscheidet\u201d<\/em>. Der f\u00fcr die Verarbeitung \u201eVerantwortliche\u201d ist derjenige, der die Daten sammelt und verarbeitet, der die Sammlung und Verarbeitung der Daten leitet und der f\u00fcr den korrekten und datenschutzkonformen Umgang mit den Daten verantwortlich ist.<\/p>\n Die Verarbeitung personenbezogener Daten kann durch Dritte (nicht durch den Verantwortlichen) erfolgen, wenn dies entweder gesetzlich erlaubt ist oder vertraglich vereinbart wurde und wenn (Art. 9):<\/p>\n Dar\u00fcber hinaus k\u00f6nnen Dritte die gleiche Rechtfertigung (Rechtsgrundlage) f\u00fcr die Datenverarbeitung geltend machen wie der Auftraggeber.<\/p>\n Mit dem DSG werden die Grunds\u00e4tze \u201ePrivacy by Design\u201d und \u201ePrivacy by Default\u201d in das Gesetz aufgenommen. Dies verpflichtet die Unternehmen, die Grunds\u00e4tze der Datenverarbeitung bereits bei der Planung und Gestaltung von Apps zu ber\u00fccksichtigen und nicht erst im Nachhinein zu versuchen, Daten zu sichern und zu sch\u00fctzen. Sie d\u00fcrfen auch keine Standardeinstellungen, z. B. von Web-Technologien verwenden, um die Einwilligung der Betroffenen zu mehr Datenverarbeitung als unbedingt erforderlich einzuholen.<\/p>\n\n\n Das DSG legt mehrere Grunds\u00e4tze f\u00fcr die Datenbearbeitung fest (Art. 4):<\/p>\n In \u00dcbereinstimmung mit vielen anderen Datenschutzgesetzen definiert das Schweizer DSG personenbezogene Daten oder Informationen (\u201ePersonendaten\u201d) als \u201ealle Angaben, die sich auf eine bestimmte oder bestimmbare nat\u00fcrliche Person beziehen\u201d<\/em>. Dazu k\u00f6nnen offensichtlich identifizierende Informationen wie ein Name oder eine E-Mail-Adresse geh\u00f6ren, aber auch Informationen wie die IP-Adresse, zumal sie in Kombination mit anderen personenbezogenen Daten identifizierend wirken kann.<\/p>\n Das DSG definiert sensible Personendaten (Art. 5 lit. c) wie folgt:<\/p>\n Die letzten beiden aufgelisteten Arten sensibler personenbezogener Daten wurden in das revidierte DSG aufgenommen; die vorangegangenen vier Arten waren bereits im alten Gesetz enthalten.<\/p>\n Die Nutzer m\u00fcssen um eine ausdr\u00fcckliche Best\u00e4tigung gebeten werden, dass sie \u00fcber den Zugang zu ihren sensiblen Personendaten und deren Verwendung informiert wurden und damit einverstanden sind, z. B. durch Anklicken einer Checkbox.<\/p>\n Das DSG ist nicht die DSGVO der Schweiz, und daher gibt es einige Unterschiede hinsichtlich der rechtlichen Anforderungen f\u00fcr die Verarbeitung von Daten, einschlie\u00dflich der Einwilligung. Wie die meisten Datenschutzgesetze auf der ganzen Welt verlangt das Schweizer Datenschutzgesetz jedoch eine Benachrichtigung der betroffenen Personen.<\/p>\n Rechtsgrundlage oder Rechtfertigung gem\u00e4\u00df dem Schweizer DSG<\/strong><\/p>\n Die DSGVO beruht auf dem Grundsatz der \u201eRechtm\u00e4\u00dfigkeit der Verarbeitung<\/a>\u201d, der f\u00fcr die meisten Verarbeitungen personenbezogener Daten eine Rechtsgrundlage oder Rechtfertigung verlangt. Die Einwilligung ist eine dieser Rechtsgrundlagen.<\/p>\n Das DSG funktioniert insofern etwas anders, als dass Einzelpersonen (nat\u00fcrliche Personen), Organisationen (nicht kommerzielle Einrichtungen) und Unternehmen (kommerzielle Einrichtungen) personenbezogene Daten im Allgemeinen ohne eine spezifische Rechtsgrundlage verarbeiten d\u00fcrfen, sofern die Verarbeitung nicht bestimmte Kriterien erf\u00fcllt. Eine Einwilligung ist erforderlich f\u00fcr:<\/p>\n Auch wenn f\u00fcr die Verarbeitung keine Einwilligung erforderlich ist, m\u00fcssen die betroffenen Personen nach dem DSG informiert werden. Wenn eine Rechtsgrundlage erforderlich ist, muss der Verantwortliche mitteilen, um welche es sich handelt. In all diesen Szenarien erm\u00f6glicht eine Consent Management-L\u00f6sung die Einhaltung der Vorschriften, indem sie die erforderliche Benachrichtigung bereitstellt und eine g\u00fcltige Einwilligung einholt.<\/p>\n Eine Einwilligung kann beispielsweise erforderlich sein, wenn der Verantwortliche eine Rechtfertigung f\u00fcr die Weitergabe sensibler personenbezogener Daten oder von \u201ePers\u00f6nlichkeitsprofilen\u201d an Dritte (nur an andere f\u00fcr die Verarbeitung Verantwortliche) sucht, oder wenn er die Daten f\u00fcr zus\u00e4tzliche Zwecke oder f\u00fcr einen l\u00e4ngeren Zeitraum als angegeben verarbeiten will (Art. 6).<\/p>\n Privatpersonen k\u00f6nnen Dritte beauftragen, Daten in ihrem Namen zu verarbeiten, sofern keine Geheimhaltungspflichten verletzt werden. Jede Rechtsgrundlage\/Rechtfertigung, die der Verantwortliche geltend macht, kann von diesen Dritten genutzt werden (Art. 9).<\/p>\n Neben der Einwilligung gibt es weitere legitime Rechtfertigungsgr\u00fcnde f\u00fcr Daten\u00fcbermittlungen in Drittl\u00e4nder:<\/p>\n Das DSG ist ein Gesetz, das ein \u201eOpt-In-Verfahren\u201d nutzt, d. h. wenn eine Rechtsgrundlage erforderlich ist, m\u00fcssen Organisationen die g\u00fcltige Einwilligung der Nutzer vor oder zum Zeitpunkt der Datenerhebung einholen. Die betroffenen Personen m\u00fcssen vor oder zum Zeitpunkt der Datenerhebung benachrichtigt werden, unabh\u00e4ngig davon, ob eine Rechtsgrundlage erforderlich ist.<\/p>\n Wie bei der DSGVO muss auch in der Schweiz die Einwilligung der Nutzer freiwillig und unter vorheriger Bereitstellung von Informationen zur Verarbeitung ihrer Daten (also informiert) eingeholt werden. Dies gilt unter anderem f\u00fcr die Verwendung von Cookies und anderen Tracking-Technologien auf Websites, die Schweizer B\u00fcrger besuchen k\u00f6nnten, wenn die Datenerhebung und -verarbeitung die Voraussetzungen f\u00fcr eine Einwilligung nach dem DSG erf\u00fcllt (sensible personenbezogene Daten, Profilerstellung durch eine Bundesbeh\u00f6rde usw.)<\/p>\n Organisationen m\u00fcssen die folgenden Informationen klar kommunizieren, z. B. in der Datenschutzerkl\u00e4rung auf der Website (Art. 8, Art. 18a), ob eine Rechtsgrundlage erforderlich ist oder nicht. Diese Kriterien sind jedoch auch f\u00fcr die G\u00fcltigkeit der Einwilligung erforderlich:<\/p>\n Die DSGVO und das DSG weisen eine Reihe von Gemeinsamkeiten auf, die f\u00fcr Datenschutzgesetze typisch sind, aber es gibt auch wichtige Unterschiede.<\/p>\nWas ist das DSG?<\/h2>\n\n\n
Geltungsbereich des Schweizer DSG<\/h4>\n
Neues DSG Schweiz<\/h4>\n
\nDie Technologie hat sich seit den 1990er Jahren stark ver\u00e4ndert und ist sowohl allgegenw\u00e4rtiger als auch anspruchsvoller in Bezug auf Nutzerdaten geworden. Smartphones, Social-Networking-Plattformen, Cloud-basierte Computersysteme und vieles mehr haben sich ausgebreitet, sodass eine Aktualisierung des Gesetzes zum besseren Schutz des Datenschutzes f\u00e4llig war.<\/p>\nExtraterritorialit\u00e4t und grenz\u00fcberschreitende \u00dcbermittlung von Daten gem\u00e4\u00df dem Schweizer DSG<\/h4>\n
Definitionen und betroffene Parteien gem\u00e4\u00df dem Schweizer DSG<\/h4>\n
\n
Privacy by Design gem\u00e4\u00df dem Schweizer DSG<\/h4>\n
Allgemeine Datenschutzbestimmungen im revidierten DSG<\/h2>\n\n\n
\n
Wie definiert das Schweizer DSG Personendaten?<\/h4>\n
Wie definiert das Schweizer DSG sensible Personendaten?<\/h4>\n
\n
Das Schweizer DSG, Rechtsgrundlagen und Einwilligung<\/h4>\n
\n
\n
Bedingungen f\u00fcr eine g\u00fcltige Einwilligung gem\u00e4\u00df dem Schweizer DSG<\/h4>\n
\n
DSGVO vs. revidiertes DSG<\/h2>\n\n\n