Seit Einführung der DSGVO sind Schweizer Unternehmen, die unter das Marktortprinzip fallen, verpflichtet, auch die Grundsätze der DSGVO zu beachten. Eine Harmonisierung des Schweizer Datenschutzgesetztes mit der DSGVO hat indes noch nicht stattgefunden – bis jetzt. Die Räte haben nun ein revidiertes Datenschutzgesetz verabschiedet.
“Sind von der Datenübermittlung besonders sensible Kundendaten umfasst, z.B. Gesundheitsdaten, biometrische Daten, Daten zur politischen Einstellung oder kirchlichen Gesinnung, dürfen diese ausschließlich mit Einwilligung des Kunden an den Erwerber übertragen werden.” – Eileen Binder
Am 25. September 2020 haben die Räte über den Schlussabstimmungstext gemäß den Anträgen der Einigungskonferenz abgestimmt und diesen angenommen (hier können Sie den Schlussabstimmungstext lesen). Damit ist das Gesetzgebungsvorhaben zur Revision des Datenschutzgesetzes (= DSG) abgeschlossen. Aktuell läuft die 100-tägige Referendumsfrist, mit einem Referendum ist aber wohl laut Schweizer Experten nicht zu rechnen. Damit ist der Weg frei für das neue Bundesgesetz über den Datenschutz in der Schweiz.
Die Revision des DSG wurde von vielen Seiten erhofft, da eine Harmonisierung mit der DSGVO seit deren europaweiter Einführung 2018 ausgeblieben war. Schwierigkeiten bereitete das vor allem Schweizer Unternehmen, die unter das sog. Marktortprinzip des Art. 3 Abs. 2 DSGVO fallen. Danach haben, kurz gesagt, Unternehmen aus Ländern außerhalb der Europäischen Union (sog. Drittländern), die Ihre Waren oder Dienstleistungen in einem EU-Land anbieten, die Regeln der DSGVO zu beachten und einzuhalten. In der Vergangenheit hat dies den Umgang mit personenbezogenen Daten verkomplizieren können, ist das aktuelle DSG doch weniger streng in seinen Regelungen als die DSGVO. Ob diese weniger strengen Regelungen noch zeitgemäß sind, hätte wohl schon früher diskutiert werden können, doch immerhin funktionieren die Zusammenarbeit und der Austausch auf EU-CH-Datenschutzebene sehr gut, jüngst gesehen am Beispiel des EU-US- und CH-US-Privacy Shield.
Einzige Crux: Mit dem Inkrafttreten des neuen DSG ist wohl nicht vor 2022 zu rechnen.
Was haben Schweizer Unternehmen nun zu erwarten?
Das neue DSG wird sich in einigen Punkten der DSGVO angenähert haben bzw. analog zur DSGVO sein (hier finden Sie eine Gegenüberstellung der Entwürfe des DSG), an einigen Stellen jedoch auch dahinter zurückbleiben. So verzichtet das neue DSG meist weiterhin darauf, für das Bearbeiten von personenbezogenen Daten eine Einwilligung einzuholen und auch in Bezug auf das Profiling wird sich kaum etwas ändern (so ist z.B. die geplante Datenschutz-Folgenabschätzung hierfür ist wieder herausgenommen worden).
Neuerungen, die speziell hervorzuheben sind, sind wohl unter anderem die Verschärfung interner Prozesse, z.B., dass das Führen eines Verzeichnisses von Bearbeitungstätigkeiten eingeführt wird, eine Meldepflicht bei Datenverlusten oder anderen Verstößen gegen die Datensicherheit oder die Pflicht zur Vornahme von Datenschutz-Folgenabschätzungen.
Daneben werden Betroffenenrechte ausgebaut und deren Durchsetzung vereinfacht, namentlich das Auskunftsrecht und das Recht auf Datenherausgabe und Datenübertragung. Die Informationspflichten bei Datenbeschaffungen werden deutlich ausgeweitet. Das betrifft vor allem den Inhalt von Datenschutzinformationen. Und auch Verträge mit Dienstleistern und Lieferanten werden auf ihre datenschutz-konformität geprüft werden müssen, insbesondere wird die Beauftragung von Subakkordanten (= Unterauftragnehmern) verschärft werden.
Daten über juristische Personen sind unter dem neuen DSG nicht mehr geschützt.
Was können Unternehmen jetzt tun?
In erster Linie die 100-tägige Referendumsfrist abwarten und im Blick behalten, wann das neue DSG voraussichtlich in Kraft treten wird. Auch wenn mit dem Inkrafttreten nicht vor 2022 zu rechnen ist, so kann die lange Frist bis dahin dazu genutzt werden, die internen Prozesse und vorhandenen Datenschutzunterlagen an die neuen Anforderungen anzupassen.
Mehr Informationen hierzu? – Melden Sie sich für unseren Newsletter an und bleiben Sie einmal monatlich auf dem Laufenden. Wenn Sie zusätzlich auf unsere Bestätigungsemail mit „Checkliste DSG“ antworten, übersenden wir Ihnen unsere Checkliste zur Anpassung Ihrer Datenschutz-Compliance hinsichtlich des neuen DSG.
Fazit
Es ist begrüßenswert, dass die Revision des DSG voraussichtlich abgeschlossen sein wird. Einige wichtige Regelungen bleiben zwar weiterhin hinter dem Maßstab der DSGVO zurück (speziell Einwilligungen und Profiling), an anderen Stellen werden Unternehmen jedoch nacharbeiten müssen. Mit Blick auf ein Inkrafttreten 2022 bleibt für die Umsetzung ausreichend Zeit, sie sollte genutzt werden, sich mit den neuen Anforderungen vertraut zu machen und notwendige Anpassungen im Unternehmen anstoßen. Relevante Übergangsfristen sieht das neue DSG übrigens nicht vor. Die gute Nachricht: Wer bereits jetzt dsgvo-konform arbeitet, wird wenig neuen Aufwand zur Umsetzung der Anforderungen aus dem DSG haben.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]