Das sollten Firmen über das neue Datenschutzgesetz der Schweiz wissen

Seit gut einem Jahr ist das neue Datenschutzgesetz (DSG) in der Schweiz in Kraft und markiert eine signifikante Veränderung im Datenschutzrecht, die weit über die Landesgrenzen hinausreicht. Doch was genau bedeutet das für Unternehmen und Webseitenbetreiber, auch außerhalb der Schweiz?

Ähnlich wie die europäische Datenschutz-Grundverordnung (DSGVO) regelt das DSG den Umgang mit personenbezogenen Daten und legt hohen Wert auf den Schutz der Privatsphäre. Der Anwendungsbereich des DSG ist breit gefasst und betrifft jede Form der Datenbearbeitung, sei es automatisiert oder manuell, sofern die Daten in einem systematischen Format, wie Personalakten, vorhanden sind und gespeichert oder verarbeitet werden. Der Begriff „Personendaten“ deckt dabei alles ab, was eine Person direkt oder indirekt identifizierbar macht – von Namen über Adressen bis hin zu technischen Identifikatoren wie IP-Adressen oder Cookies. Die Verarbeitung dieser Daten ist ebenfalls weit definiert und umfasst jede Handlung, von der Erhebung bis zur Löschung.

Für wen ist das DSG relevant?

Das DSG gilt auch für ausländische Unternehmen, wenn ihre Aktivitäten Auswirkungen in der Schweiz haben. Dieses sogenannte „Marktortprinzip“ beinhaltet, dass auch deutsche oder österreichische Firmen, die Produkte oder Dienstleistungen in der Schweiz anbieten oder das Verhalten von Schweizer Nutzern tracken, die DSG-Vorgaben einhalten müssen. So müssen beispielsweise E-Commerce-Anbieter, die Kunden in der Schweiz bedienen, oder Webseiten mit Tracking-Tools, wie Google Analytics, sich an das DSG halten. Besonders relevant wird dies, wenn Datenprofiling und personalisierte Werbung involviert sind. Auch wenn keine expliziten Bußgelder für Verstöße vorgesehen sind, bleibt die Haftung in der Praxis ein Risikofaktor.

Eine der zentralen Anforderungen ist die Meldepflicht bei Datenschutzverletzungen. Unternehmen müssen Vorfälle „so rasch wie möglich“ dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) melden. Diese Pflicht ist ähnlich der in der DSGVO definierten, wobei hier keine strikte 72-Stunden-Frist besteht, jedoch trotzdem auch hier ein schnelles Handeln und das Einhalten von Prozessen erforderlich sind. Das DSG sieht zudem strenge Sicherheitsmaßnahmen vor, die Unternehmen ergreifen müssen, um die Integrität und Vertraulichkeit der Personendaten zu wahren. Die genaue Umsetzung dieser Maßnahmen bleibt den Unternehmen überlassen, was einen gewissen Handlungsspielraum bietet, aber gleichzeitig eine besondere Verantwortung mit sich bringt.

Viele vergleichbare Ansätze, aber Unterschiede in der Ausgestaltung

Obwohl viele der Grundsätze zwischen DSG und DSGVO identisch sind, gibt es Unterschiede in der Ausgestaltung. Ein markanter Unterschied ist beispielsweise, dass das DSG keine detaillierte Liste an Rechtsgrundlagen vorschreibt, wie es die DSGVO tut. Während in der DSGVO jede Datenverarbeitung eine klare Rechtsgrundlage benötigt (z. B. Einwilligung oder berechtigte Interessen), genügt es im DSG, dass die Verarbeitung den Grundsätzen von Rechtmäßigkeit, Treu und Glauben, Verhältnismäßigkeit und Zweckbindung entspricht. Das gibt Unternehmen Flexibilität, verlangt aber auch eine präzise Abwägung, um Persönlichkeitsrechte nicht zu verletzen.

Ein weiterer Unterschied sind die verhältnismäßig geringeren Bußgelder. Während Verstöße gegen die DSGVO mit Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden können, liegt die Obergrenze beim DSG bei 250.000 Franken. Dennoch sollte dies nicht dazu verleiten, die Vorschriften zu unterschätzen. Datenpannen und ihre Folgen können auch in der Schweiz erhebliche Auswirkungen haben.

Gemeinsamkeiten und bewährte Praktiken

Beide Vorschriften schreiben umfangreiche Informationspflichten vor. So müssen Betroffene klar und transparent darüber informiert werden, wie ihre Daten verarbeitet werden. Unternehmen müssen eine Datenschutzerklärung bereitstellen, die Informationen zu Zweck und Umfang der Datenverarbeitung enthält. Zwar sind die inhaltlichen Anforderungen im DSG weniger detailliert, aber die Erfüllung der DSGVO-Standards reicht in der Regel aus, um auch dem DSG zu entsprechen. Das neue DSG stärkt die Rechte der betroffenen Personen. Neben dem Recht auf Auskunft und Berichtigung gibt es jetzt auch das Recht auf Datenübertragung, das dem in der DSGVO entspricht. Automatisierte Entscheidungen müssen nachvollziehbar sein, und Betroffene haben das Recht, dass kritische Entscheidungen, die auf automatisierter Datenverarbeitung basieren, durch eine natürliche Person überprüft werden.

Datenschutz-Folgenabschätzungen und Verzeichnisse

Bei risikoreichen Datenbearbeitungen verlangt das DSG eine Datenschutz-Folgenabschätzung. Unternehmen müssen potenzielle Risiken identifizieren und bewerten sowie gegebenenfalls den EDÖB konsultieren. Ein Verzeichnis der Bearbeitungstätigkeiten bleibt ebenfalls verpflichtend, um Transparenz und Nachweisbarkeit zu gewährleisten. Für kleinere Unternehmen gibt es jedoch Erleichterungen, solange die Datenverarbeitung ein geringes Risiko birgt.

Fazit: Das neue DSG bietet eine flexiblere, aber dennoch strenge Rahmenregelung. Für Unternehmen, die bereits DSGVO-konform sind, bedeutet das DSG keine revolutionäre Veränderung. Es ist jedoch ratsam, die spezifischen Unterschiede zu beachten, vor allem, wenn Daten von Schweizer Bürgern betroffen sind. Wer sich mit den Grundsätzen und Prinzipien des Datenschutzes gut auskennt, wird die Flexibilität des DSG zu schätzen wissen, sollte aber keinesfalls die Verantwortlichkeiten und Risiken unterschätzen. Schließlich ist Datenschutz nicht nur eine rechtliche Verpflichtung, sondern auch ein Aspekt der Unternehmensethik und Vertrauensbildung.