Datenschutz im Betrieb

Was Unternehmen über das neue Datenschutzgesetz in der Schweiz wissen sollten

Nun ist schon ein Jahr vergangen, seit mit dem Datenschutzgesetz (DSG) in neuer Fassung der Schweizer Datenschutz völlig neu interpretiert wurde. Das betrifft natürlich auch Unternehmen aus anderen Ländern. Hier eine Sammlung der wichtigsten Änderungen, die für Unternehmen in Deutschland und anderen Ländern von Relevanz sind.

Der Schutz der Privatsphäre und ein sorgsamer Umgang mit personenbezogenen Daten, darauf zielt das Datenschutzgesetz in der Schweiz im Kern ab. Dadurch unterscheidet es sich im Prinzip nicht von der in der EU gültigen Datenschutz Grundverordnung. Der Anwendungsbereich des DSG ist breit gefasst und betrifft jede Form der Datenbearbeitung, sei es automatisiert oder manuell, sofern die Daten in einem systematischen Format, wie Personalakten, vorhanden sind und gespeichert oder verarbeitet werden. Der Begriff „Personendaten“ deckt dabei alles ab, was eine Person direkt oder indirekt identifizierbar macht – von Namen über Adressen bis hin zu technischen Identifikatoren wie IP-Adressen oder Cookies. Auch die Datenverarbeitung wurde umfassend definiert und stellt Regeln auf, die von der Datenerhebung bis zur finalen Löschung alle Vorgänge genau beschreiben.

Wen betreffen die Neuerungen?

Gültigkeit hat das DSG grundsätzlich für alle Unternehmen, die Geschäfte in der Schweiz tätigen und damit Daten erfassen, verarbeiten und speichern. Dieses sogenannte „Marktortprinzip“ beinhaltet, dass auch deutsche oder österreichische Firmen, die Produkte oder Dienstleistungen in der Schweiz anbieten oder das Verhalten von Schweizer Nutzern tracken, die DSG-Vorgaben einhalten müssen. So müssen beispielsweise E-Commerce-Anbieter, die Kunden in der Schweiz bedienen, oder Webseiten mit Tracking-Tools, wie Google Analytics, sich an das DSG halten. Besonders relevant wird dies, wenn Datenprofiling und personalisierte Werbung involviert sind. Obwohl das DSG bislang noch keine Verstöße mit Bußgeldern ahndet (geplant sind in Zukunft Bußgelder bis zu 250.000 Franken), existiert für die betroffenen Unternehmen die Gefahr der Haftung.

Wie auch in der Datenschutz-Grundverordnung sind Unternehmen dazu verpflichtet, jedweden Vorfall unverzüglich an die zuständige Behörde zu melden. Zuständig ist in jedem Fall der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB). Diese Pflicht ist ähnlich der in der DSGVO definierten, wobei hier keine strikte 72-Stunden-Frist besteht, jedoch trotzdem auch hier ein schnelles Handeln und das Einhalten von Prozessen erforderlich sind. Das DSG sieht zudem strenge Sicherheitsmaßnahmen vor, die Unternehmen ergreifen müssen, um die Integrität und Vertraulichkeit der Personendaten zu wahren. Auch wenn nicht genau definiert ist, wie die Unternehmen ihre Prozesse gestalten, müssen die Unternehmen eigenverantwortlich dafür Sorge tragen, dass die Bestimmungen des Datenschutzgesetzes eingehalten werden.

Grundsätzlich ähnlich, in der Ausgestaltung unterschiedlich

Trotz vieler vergleichbarer Grundsätze besteht ein deutlicher Unterschied zwischen beiden Rechtsrahmen, was die Ausgestaltung angeht. Ein markanter Unterschied ist beispielsweise, dass das DSG keine detaillierte Liste an Rechtsgrundlagen vorschreibt, wie es die DSGVO tut. Während in der DSGVO jede Datenverarbeitung eine klare Rechtsgrundlage benötigt (z. B. Einwilligung oder berechtigte Interessen), genügt es im DSG, dass die Verarbeitung den Grundsätzen von Rechtmäßigkeit, Treu und Glauben, Verhältnismäßigkeit und Zweckbindung entspricht. Damit liegt es bei den Unternehmen, präzise abzuschätzen, wie Persönlichkeitsrechte ausreichend geschützt werden können.

Ein eklatanter Unterschied besteht zwischen den Bußgeld Verordnungen zwischen der Schweiz und der EU. Während Verstöße gegen die DSGVO mit Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden können, liegt die Obergrenze beim DSG künftig bei 250.000 Franken. Gleichwohl sollten Unternehmen die geringeren Bußgelder nicht auf die leichte Schulter nehmen. Denn auch in der Schweiz können Datenpannen spürbare Konsequenzen nach sich ziehen, vor allem bei Vertuschung.

Datenschutz-Erklärungen als Grundlage

Beide Regelungen verpflichten Unternehmen zu umfassender Transparenz. Betroffene müssen eindeutig und verständlich darüber aufgeklärt werden, wie ihre Daten genutzt werden. Dazu gehört auch die Bereitstellung einer Datenschutzerklärung, die Details zu den Zielen und dem Umfang der Datenverarbeitung liefert. Zwar sind die inhaltlichen Anforderungen im DSG weniger detailliert, aber die Erfüllung der DSGVO-Standards reicht in der Regel aus, um auch dem DSG zu entsprechen. Das neue DSG stärkt die Rechte der betroffenen Personen. Neben dem Recht auf Auskunft und Berichtigung gibt es jetzt auch das Recht auf Datenübertragung, das dem in der DSGVO entspricht. Automatisierte Entscheidungen müssen transparent gestaltet sein, sodass ihre Grundlagen nachvollziehbar bleiben. Betroffene haben zudem das Recht, dass wichtige Entscheidungen, die auf automatisierter Datenverarbeitung beruhen, von einer menschlichen Person überprüft werden.

Folgenabschätzung auch in der Schweiz Pflicht

Das DSG schreibt bei datenintensiven Vorgängen mit erhöhtem Risiko eine Datenschutz-Folgenabschätzung vor. Unternehmen sind verpflichtet, mögliche Risiken zu analysieren und zu bewerten und, falls erforderlich, den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) einzubinden. Ein Verzeichnis der Bearbeitungstätigkeiten bleibt ebenfalls verpflichtend, um Transparenz und Nachweisbarkeit zu gewährleisten. Vor allem kleinere Unternehmen, die in puncto Datenschutz mit geringem Risiko agieren, genießen etliche Erleichterungen.

Fazit: Das DSG erscheint in vielen Punkten deutlich flexibler gestaltet als die Datenschutz Grundverordnung. Für Unternehmen, die bereits DSGVO-konform sind, bedeutet das DSG keine revolutionäre Veränderung. Es ist jedoch ratsam, die spezifischen Unterschiede zu beachten, vor allem, wenn Daten von Schweizer Bürgern betroffen sind. Wer sich mit den Grundsätzen und Prinzipien des Datenschutzes gut auskennt, wird die Flexibilität des DSG zu schätzen wissen, sollte aber keinesfalls die Verantwortlichkeiten und Risiken unterschätzen. Auch in der Schweiz gilt längst: Datenschutz ist nicht nur eine Verpflichtung, die juristisch eingefordert wird. Er ist auch wichtiger Teil der Unternehmens-Ethik.

Zurück

Hier bloggt Ihre Redaktion.