Was genau zu beachten ist und welche Unterschiede zur DSGVO bestehen, soll in diesem Artikel dargestellt werden. Vorweg ist festzustellen, dass sich der Umsetzungsaufwand für Unternehmen, die sich datenschutzrechtlich bisher ohnehin an der DSGVO orientiert haben, gering sein dürfte. Unternehmen, die sich hingegen nur am alten DSG ausgerichtet haben, müssen vielfältige Neuerungen beachten. Das neue DSG wurde weiter an die DSGVO angeglichen, wenn auch die Begrifflichkeiten an manchen Stellen abweichen. So spricht das DSG etwa von „Bearbeitung“ statt „Verarbeitung“ oder von „Personendaten“ statt „personenbezogenen Daten“.
Grundprinzipien
Im Unterschied zur DSGVO ist die Bearbeitung von personenbezogenen Daten nach dem DSG grundsätzlich erlaubt. Dieser Grundsatz wird jedoch stark beschränkt, indem eine Bearbeitung nach Art. 30 DSG keine widerrechtliche Persönlichkeitsverletzung darstellen darf.
Eine Persönlichkeitsverletzung liegt dabei vor, wenn die datenschutzrechtlichen Grundsätze nach Art. 6 DSG bei der Bearbeitung nicht eingehalten werden, wobei diese den Grundsätzen der DSGVO gleichen. Widerrechtlich ist die Verletzung dann, wenn auch kein Ausnahmetatbestand wie beispielsweise das Vorliegen einer Einwilligung oder ein überwiegendes Interesse greift. Im Ergebnis dürften daher Bearbeitungen, die nach der DSGVO rechtmäßig sind, auch nach dem neuen DSG rechtmäßig sein.
Sensible Daten
Ebenso wie die DSGVO „besondere Kategorien“ personenbezogener Daten vorsieht, werden auch in Art. 5 lit.c DSG „besonders schützenswerte“ Personendaten verankert. Dabei gilt es zu beachten, dass die Definitionen nicht deckungsgleich sind. So unterliegen in Abweichung von der DSGVO auch Daten über Maßnahmen der sozialen Hilfe sowie Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen den besonders schützenswerten Daten.
Anwendungsbereich
Örtlich gilt das DSG für Datenschutzsachverhalte, die sich (nur) in der Schweiz auswirken, also auch, wenn sie im Ausland veranlasst werden (Art. 3 Abs. 1 DSG). Demnach müssen also bspw. auch EU-Unternehmen, die Daten von Schweizern bearbeiten, das DSG beachten.
Sachlich gilt das DSG für Bearbeitungen von Daten natürlicher Personen. Während das alte DSG auch die Bearbeitung von Daten juristischer Personen umfasst hat, ist dahingehend eine Angleichung an die DSGVO ersichtlich.
Erweiterung der Informationspflichten für Verantwortliche (Art. 19 DSG)
Ebenfalls neu ist, dass nun Informationspflichten gegenüber betroffenen Personen ab dem Zeitpunkt der Datenerhebung bestehen, und zwar – im Unterschied zum DSG a.F. – unabhängig davon, ob es sich bei den Daten um besonders schützenswerte Personendaten handelt oder ob der Bearbeiter ein Bundesorgan ist. Welche Informationen genau von den Informationspflichten umfasst sind, wird im Gegensatz zur DSGVO nicht abschließend geregelt, vielmehr wird auf den offenen Begriff der „Erforderlichkeit“ abgestellt. In Art. 19 DSG enthalten sind jedoch einige Mindestangaben, wobei diese weniger umfangreich sind als die der DSGVO.
Verzeichnis der Bearbeitungstätigkeiten (Art. 12 DSG)
Elementare Neuerung im DSG ist die Einführung eines Verzeichnisses der Bearbeitungstätigkeiten. Es ist nun erstmals in der Schweiz erforderlich, sämtliche Datenbearbeitungen in einem Verzeichnis aufzuführen. Gleichzeitig entfällt die bisherige Pflicht des Inhabers von Datensammlungen, seine Sammlungen beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) anzumelden. Das Verzeichnis soll einen fortlaufend aktualisierten Überblick über alle Datenbearbeitungstätigkeiten des jeweiligen Unternehmens bieten. Die Informationen, die im Verzeichnis mindestens enthalten sein müssen, werden in Art. 12 Abs. 2 DSG aufgelistet. Unternehmen, die weniger als 250 Mitarbeiter haben und deren Datenbearbeitungen nur ein geringes Risiko für die Rechte der Betroffenen darstellen, sind allerdings von der Pflicht zur Führung des Verzeichnisses ausgenommen.
Auftragsbearbeitung (Art. 9 DSG)
Die Anforderungen an die Auftragsbearbeitung, die einer Auftragsverarbeitung nach Art. 28 DSGVO gleichsteht, sind nach dem DSG weiterhin geringer als nach der DSGVO: Ein Vertrag zur Auftragsbearbeitung ist nicht zwingend, jedoch muss sich der Verantwortliche vorab vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten und die Daten nur in der Form bearbeitet werden, wie es dem Verantwortlichen gestattet ist. Ähnlich der DSGVO dürfen Unterauftragnehmer dabei neuerdings nur mit Genehmigung des Verantwortlichen eingesetzt werden.
Datenschutz-Folgenabschätzung und Konsultationsverfahren (Art. 22, 23 DSG)
Bringt eine Datenbearbeitung möglicherweise ein hohes Risiko für die Persönlichkeit oder für Grundrechte von Betroffenen mit sich, ist eine Datenschutz-Folgenabschätzung durchzuführen. Demnach müssen die Risiken der Bearbeitung ermittelt und bewertet werden und gegebenenfalls risikominimierende Gegenmaßnahmen festgelegt, umgesetzt und dokumentiert werden. Ergibt die Abschätzung, dass trotz risikominimierender Maßnahmen ein Restrisiko fortbesteht, ist der EDÖB zu konsultieren.
Automatisierte Entscheidungsfindung und Profiling
Beruht eine Entscheidung ausschließlich auf einer automatisierten Bearbeitung und hat diese rechtliche Auswirkungen auf die betroffene Person, so ist diese vom Verantwortlichen darüber zu informieren. Zudem kann die Person die Überprüfung der Entscheidung durch eine natürliche Person verlangen.
Eine Einwilligung für die Bearbeitung personenbezogener Daten ist beim Profiling nach wie vor nicht erforderlich, es sei denn, der Art des Profiling wird ein hohes Risiko zugeordnet.
Betroffenenrechte
Die Betroffenenrechte des DSG gleichen denen der DSGVO. Daher besteht ein Recht auf Auskunft, Berichtigung und Löschung, Widerspruchsrechte sowie ein Recht auf Datenherausgabe und -übertragung. Der Auskunftsumfang wird dabei möglicherweise größer sein als der in der DSGVO verankerte, indem betroffene Personen nach dem DSG diejenigen Informationen erhalten sollen, die zur Geltendmachung ihrer Rechte und zur Gewährleistung einer transparenten Datenbearbeitung erforderlich sind. Welche Informationen zur Herstellung von Transparenz notwendig sein können, ist gleichwohl nicht ausdrücklich geregelt.
Meldepflicht bei Verletzungen der Datensicherheit (Art. 24 DSG)
Verletzungen der Datensicherheit müssen dem EDÖB so schnell wie möglich gemeldet werden. Unter Umständen besteht auch eine Informationspflicht gegenüber der betroffenen Person. Um dies zu gewährleisten, müssen Verantwortliche funktionierende Prozesse im Unternehmen etablieren. Scheint ein Datenschutzvorfall möglich, bestehen Untersuchungs-, Informations- und Schadensminderungspflichten. Im Unterschied zur DSGVO gilt jedoch keine strenge (72-Stunden-)Frist. Das Gesetz spricht vielmehr von einer Meldung „so rasch wie möglich“. Ebenfalls abweichend von der DSGVO ist die Meldung nur bei einem festgestellten hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person notwendig.
Privacy by design / default und Datensicherheit
Ähnlich der DSGVO werden erstmals die Grundsätze „Privacy by design“ und „Privacy by default“ gesetzlich verankert. Demnach müssen Datenbearbeitungsprozesse so konzipiert werden, dass Datenschutzprinzipien eingehalten werden, und es müssen Voreinstelllungen getroffen werden, durch die die Datenbearbeitung auf das zur Zweckerfüllung notwendige Maß beschränkt wird.
Zudem haben Verantwortliche und Auftragsbearbeiter geeignete technische und organisatorische Maßnahmen zum Zwecke der Datensicherheit zu implementieren, wobei die Maßnahmen in Art. 3 DSG konkretisiert werden und insgesamt der DSGVO angeglichen sind.
Benennung eines Vertreters in der Schweiz (Art. 14 DSG)
Ausländische Unternehmen, die Kunden in der Schweiz haben oder Schweizer Nutzer beobachten, müssen einen Vertreter in der Schweiz benennen, wenn sie umfangreiche und regelmäßige Bearbeitungen mit hohem Risiko für die betroffenen Personen durchführen. Wie weit diese Verpflichtung reichen wird, bleibt im Zuge des offenen Wortlauts des Art. 14 DSG abzuwarten. Anknüpfend an den Charakter eines Ausnahmetatbestandes scheint eine restriktive Auslegung jedoch vorzugswürdig, sodass die Benennung eines Vertreters nur in Ausnahmefällen erforderlich sein wird.
Datenübertragungen ins Ausland (Art. 16-18 DSG)
Auslandsübertragungen („Bekanntgabe von Personendaten ins Ausland“) sind dann möglich, wenn vom Bundesrat ein angemessenes Schutzniveau des Empfängerlandes festgestellt wurde. Ist dies nicht der Fall, können Standarddatenschutzklauseln oder vorher von dem EDÖB freigegebene, eigene Vertragsklauseln, spezifische Garantien oder Binding Corporate Rules genutzt werden. SCCs sind hier abrufbar.
Sanktionen
Die Sanktionen werden nicht wie in der DSGVO an das verantwortliche Unternehmen, sondern an die verantwortliche natürliche Person geknüpft. Es können Bußgelder bis zu einer Höhe von 250.000 CHF auferlegt werden.
Datenschutzberater
Schließlich besteht die Möglichkeit (nicht die Pflicht), einen Datenschutzberater zu benennen, dessen Rolle der des Datenschutzbeauftragten i.S.d. DSGVO gleicht. Durch die Ernennung werden Datenbearbeitungen mit hohem Risiko erleichtert: statt dem EDÖB kann der Datenschutzberater konsultiert und mit ihm geeignete Maßnahmen zur Kompensation der hohen Risiken ersucht werden.
Zusammenfassung
Zusammenfassend verankert das neue Datenschutzgesetz der Schweiz weitgehend parallele, stellenweise abgemilderte Anforderungen an den Umgang mit personenbezogenen Daten verglichen mit der DSGVO. Grundsätzlich kann folglich davon ausgegangen werden, dass DSGVO-konforme Unternehmen auch den Anforderungen des DSG standhalten können. Gleichwohl gilt es stellenweise auf die Besonderheiten des DSG einzugehen, und einen dahingehenden Umsetzungsbedarf zu überprüfen.