Seit Ein­füh­rung der DSGVO sind Schwei­zer Unter­neh­men, die unter das Markt­ort­prin­zip fal­len, ver­pflich­tet, auch die Grund­sät­ze der DSGVO zu beach­ten. Eine Har­mo­ni­sie­rung des Schwei­zer Daten­schutz­ge­setz­tes mit der DSGVO hat indes noch nicht statt­ge­fun­den – bis jetzt. Die Räte haben nun ein revi­dier­tes Daten­schutz­ge­setz verabschiedet.

Sind von der Daten­über­mitt­lung beson­ders sen­si­ble Kun­den­da­ten umfasst, z.B. Gesund­heits­da­ten, bio­me­tri­sche Daten, Daten zur poli­ti­schen Ein­stel­lung oder kirch­li­chen Gesin­nung, dür­fen die­se aus­schließ­lich mit Ein­wil­li­gung des Kun­den an den Erwer­ber über­tra­gen wer­den.” – Eileen Binder

Am 25. Sep­tem­ber 2020 haben die Räte über den Schluss­ab­stim­mungs­text gemäß den Anträ­gen der Eini­gungs­kon­fe­renz abge­stimmt und die­sen ange­nom­men (hier kön­nen Sie den Schluss­ab­stim­mungs­text lesen). Damit ist das Gesetz­ge­bungs­vor­ha­ben zur Revi­si­on des Daten­schutz­ge­set­zes (= DSG) abge­schlos­sen. Aktu­ell läuft die 100-tägige Refe­ren­dums­frist, mit einem Refe­ren­dum ist aber wohl laut Schwei­zer Exper­ten nicht zu rech­nen. Damit ist der Weg frei für das neue Bun­des­ge­setz über den Daten­schutz in der Schweiz.

Die Revi­si­on des DSG wur­de von vie­len Sei­ten erhofft, da eine Har­mo­ni­sie­rung mit der DSGVO seit deren euro­pa­wei­ter Ein­füh­rung 2018 aus­ge­blie­ben war. Schwie­rig­kei­ten berei­te­te das vor allem Schwei­zer Unter­neh­men, die unter das sog. Markt­ort­prin­zip des Art. 3 Abs. 2 DSGVO fal­len. Danach haben, kurz gesagt, Unter­neh­men aus Län­dern außer­halb der Euro­päi­schen Uni­on (sog. Dritt­län­dern), die Ihre Waren oder Dienst­leis­tun­gen in einem EU-Land anbie­ten, die Regeln der DSGVO zu beach­ten und ein­zu­hal­ten. In der Ver­gan­gen­heit hat dies den Umgang mit per­so­nen­be­zo­ge­nen Daten ver­kom­pli­zie­ren kön­nen, ist das aktu­el­le DSG doch weni­ger streng in sei­nen Rege­lun­gen als die DSGVO. Ob die­se weni­ger stren­gen Rege­lun­gen noch zeit­ge­mäß sind, hät­te wohl schon frü­her dis­ku­tiert wer­den kön­nen, doch immer­hin funk­tio­nie­ren die Zusam­men­ar­beit und der Aus­tausch auf EU-CH-Datenschutzebene sehr gut, jüngst gese­hen am Bei­spiel des EU-US- und CH-US-Privacy Shield.

Ein­zi­ge Crux: Mit dem Inkraft­tre­ten des neu­en DSG ist wohl nicht vor 2022 zu rechnen.

Was haben Schwei­zer Unter­neh­men nun zu erwarten?

Das neue DSG wird sich in eini­gen Punk­ten der DSGVO ange­nä­hert haben bzw. ana­log zur DSGVO sein (hier fin­den Sie eine Gegen­über­stel­lung der Ent­wür­fe des DSG), an eini­gen Stel­len jedoch auch dahin­ter zurück­blei­ben. So ver­zich­tet das neue DSG meist wei­ter­hin dar­auf, für das Bear­bei­ten von per­so­nen­be­zo­ge­nen Daten eine Ein­wil­li­gung ein­zu­ho­len und auch in Bezug auf das Pro­fil­ing wird sich kaum etwas ändern (so ist z.B. die geplan­te Datenschutz-Folgenabschätzung hier­für ist wie­der her­aus­ge­nom­men worden).

Neue­run­gen, die spe­zi­ell her­vor­zu­he­ben sind, sind wohl unter ande­rem die Ver­schär­fung inter­ner Pro­zes­se, z.B., dass das Füh­ren eines Ver­zeich­nis­ses von Bear­bei­tungs­tä­tig­kei­ten ein­ge­führt wird, eine Mel­de­pflicht bei Daten­ver­lus­ten oder ande­ren Ver­stö­ßen gegen die Daten­si­cher­heit oder die Pflicht zur Vor­nah­me von Datenschutz-Folgenabschätzungen.

Dane­ben wer­den Betrof­fe­nen­rech­te aus­ge­baut und deren Durch­set­zung ver­ein­facht, nament­lich das Aus­kunfts­recht und das Recht auf Daten­her­aus­ga­be und Daten­über­tra­gung. Die Infor­ma­ti­ons­pflich­ten bei Daten­be­schaf­fun­gen wer­den deut­lich aus­ge­wei­tet. Das betrifft vor allem den Inhalt von Daten­schutz­in­for­ma­tio­nen. Und auch Ver­trä­ge mit Dienst­leis­tern und Lie­fe­ran­ten wer­den auf ihre datenschutz-konformität geprüft wer­den müs­sen, ins­be­son­de­re wird die Beauf­tra­gung von Sub­ak­kor­dan­ten (= Unter­auf­trag­neh­mern) ver­schärft werden.

Daten über juris­ti­sche Per­so­nen sind unter dem neu­en DSG nicht mehr geschützt.

Was kön­nen Unter­neh­men jetzt tun?

In ers­ter Linie die 100-tägige Refe­ren­dums­frist abwar­ten und im Blick behal­ten, wann das neue DSG vor­aus­sicht­lich in Kraft tre­ten wird. Auch wenn mit dem Inkraft­tre­ten nicht vor 2022 zu rech­nen ist, so kann die lan­ge Frist bis dahin dazu genutzt wer­den, die inter­nen Pro­zes­se und vor­han­de­nen Daten­schutz­un­ter­la­gen an die neu­en Anfor­de­run­gen anzupassen.

Mehr Infor­ma­tio­nen hier­zu? – Mel­den Sie sich für unse­ren News­let­ter an und blei­ben Sie ein­mal monat­lich auf dem Lau­fen­den.  Wenn Sie zusätz­lich auf unse­re Bestä­ti­gungs­email mit „Check­lis­te DSG“ ant­wor­ten, über­sen­den wir Ihnen unse­re Check­lis­te zur Anpas­sung Ihrer Datenschutz-Compliance hin­sicht­lich des neu­en DSG.

Fazit

Es ist begrü­ßens­wert, dass die Revi­si­on des DSG vor­aus­sicht­lich abge­schlos­sen sein wird. Eini­ge wich­ti­ge Rege­lun­gen blei­ben zwar wei­ter­hin hin­ter dem Maß­stab der DSGVO zurück (spe­zi­ell Ein­wil­li­gun­gen und Pro­fil­ing), an ande­ren Stel­len wer­den Unter­neh­men jedoch nach­ar­bei­ten müs­sen. Mit Blick auf ein Inkraft­tre­ten 2022 bleibt für die Umset­zung aus­rei­chend Zeit, sie soll­te genutzt wer­den, sich mit den neu­en Anfor­de­run­gen ver­traut zu machen und not­wen­di­ge Anpas­sun­gen im Unter­neh­men ansto­ßen. Rele­van­te Über­gangs­fris­ten sieht das neue DSG übri­gens nicht vor. Die gute Nach­richt: Wer bereits jetzt dsgvo-konform arbei­tet, wird wenig neu­en Auf­wand zur Umset­zung der Anfor­de­run­gen aus dem DSG haben.

Was Sie noch interessieren könnte:

Autorin des Artikels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz
MEHR ZUR AUTORIN