Das neue Schweizer Datenschutzgesetz – bald gültig, ohne Übergangsfrist

Ist das jetzt die DSGVO in der Schweiz und überhaupt: Was muss ich tun?

von Rechtsanwalt Dr. Ronald Kandelhard, Fachanwalt für Handels- und Gesellschaftsrecht

Inhalt:

1. 1. Ab wann gilt das neue Schweizer Datenschutzgesetz (DSG)?
2. 2. Welche Rechtsfolgen entstehen, wenn ich das neue Schweizer Datenschutzgesetz nicht beachte?
3. 3. Ist das jetzt die europäische DSGVO in der Schweiz oder wo kommt das neue Recht her?
4. 4. Tipps für die Umsetzung der neuen Datenschutzbestimmungen
5. 5. Was ist das Verhältnis zwischen dem Schweizer DSG und der DSGVO?
6. 6. Was ist der Unterschied zwischen der Schweizer Datenschutzverordnung und der DSGVO?
7. 7. Für wen gilt das neue Schweizer Datenschutzgesetz denn nun?
8. 8. Was sind die wichtigsten Regelungen des neuen Schweizer Datenschutzrechts?
9. 9. Was habe ich denn nun für Informationspflichten? Was sind die Datenschutzhinweise?
10. 10. Privacy by default und privacy by design (Art. 7f. DSG)
11. 11. Brauche ich ein Verarbeitungsverzeichnis?
12. 12. Kann ich als Schweizer Webdesigner oder Agentur für die DSG haften?
13. 13. Wie kann ich Daten ins Ausland übermitteln?
14. 14. In welchen Ländern besteht ein angemessenes Schutzniveau?
15. 15. Brauche ich einen Auftragsverabreitungsvertrag?
16. 16. Brauche ich einen Datenschutzbeauftragten?
17. 17. Brauche ich ein Cookie-Banner?
18. 18. Welche Rechte haben meine Nutzer?
19. 19. Häufige Fallstricke – was können Schweizer Website-Betreiber, Webdesigner und Agenturen aus der DSGVO lernen?
20. 20. Ergebnis

Update 20.10.2023: Einige Klarstellungen aufgrund neuerer Erkenntnisse eingefügt und weitere Fragen beantwortet. 

1. Ab wann gilt das neue Schweizer Datenschutzgesetz (DSG)?

Das neue Schweizer DSG tritt jetzt endgültig am 1.9.2023 in Kraft. Eine Übergangsfrist wird es nicht geben. Am 1.9.2023, um 0:00 Uhr musst Du also alle seine Regelungen beachten.

2. Welche Rechtsfolgen entstehen, wenn ich das neue Schweizer Datenschutzgesetz nicht beachte?

Das Schweizer Datenschutzgesetz regelt in Art. 60 DSG:  

(1) Mit Busse bis zu 250 000 Franken werden private Personen auf Antrag bestraft:

a) die ihre Pflichten nach den Artikeln 19, 21 und 25–27 verletzen, indem sie vorsätzlich eine falsche oder unvollständige Auskunft erteilen;

b) die es vorsätzlich unterlassen:

1. die betroffene Person nach den Artikeln 19 Absatz 1 und 21 Absatz 1 zu informieren, oder

2. ihr die Angaben nach Artikel 19 Absatz 2 zu liefern.

(2) Mit Busse bis zu 250 000 Franken werden private Personen bestraft, die unter Verstoss gegen Artikel 49 Absatz 3 dem EDÖB im Rahmen einer Untersuchung vorsätzlich falsche Auskünfte erteilen oder vorsätzlich die Mitwirkung verweigern.

Ebensolche Bussgeldbestimmungen enthalten Art. 61 DSG für die Verletzung von Sorgfaltspflichten, Art. 62 DSG für die Verletzung der beruflichen Schweigepflicht und Art. 63 DSG für das Missachten von Verfügungen.  

Jeweils kann es für Dich als bis zu 250.000 SFr teuer werden.

Zudem regelt Art. 30 Abs. 1 DSG

(1) Wer Personendaten bearbeitet, darf die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen.

(2) Eine Persönlichkeitsverletzung liegt insbesondere vor, wenn:

a) Personendaten entgegen den Grundsätzen nach den Artikeln 6und 8bearbeitet werden;

b) Personendaten entgegen der ausdrücklichen Willenserklärung der betroffenen Person bearbeitet werden;

c) Dritten besonders schützenswerte Personendaten bekanntgegeben werden.

Ist ein solcher Fall gegeben, können auch Kunden Deines Unternehmens, Nutzer Deiner Website oder sonstige Personen, deren Daten Du in Deinem Unternehmen erfasst, die weiteregehenden zivilrechtlichen Ansprüche nach den Artt. 31ff. DSG haben. Das sind insbesondere Auskunft, Berichtigung, Löschung, kann nach allgemeinen Regeln aber auch Schadensersatz bedeuten. 

Die Antwort ist also, Dir können Verwaltungsmaßnahmen, Bußgelder bis 250.000 Schweizer Franken und Prozesse und Schadensersatz drohen.  

3. Ist das jetzt die europäische DSGVO in der Schweiz oder wo kommt das neue Recht her?

Nun, natürlich ist das Schweizer Datenschutzgesetz nicht die europäische Datenschutzgrundverordnung. Begründet hat der Schweizer Gesetzgeber das neue DSG damit, dass die bisherigen Regeln die neuen Entwicklungen der Datenverarbeitung und insbesondere das Internet nicht ausreichend abgebildet haben. Das ist sicher richtig.  

Das bedeutet aber nicht, dass die DSGVO nichts mit dem Schweizer DSG zu tun hat, wohl sogar genau das Gegenteil ist richtig.

Zunächst einmal ist ein Grund für die Verabschiedung strikterer Regeln für den Datenschutz auch grade die europäische DSGVO. Denn diese regelt, dass Daten von Europäern nur dann in ein Land außerhalb der EU exportiert werden dürfen, wenn in dem betreffenden Land ein gleichwertiger Datenschutz besteht. Hier kam es dem Schweizer Gesetzgeber darauf an, zugunsten Schweizer Datenverarbeiter den gleichwertigen Datenschutz in der Schweiz aufrecht zu erhalten.  

Übrigens ist das nicht mehr nur eine Besonderheit der DSGVO, dass Daten nicht ohne weiteres im Ausland gespeichert werden dürfen, das gilt ab 1.9.2023 auch für Dich in der Schweiz:  

Art. 16 DSG regelt:  

(1) Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet.

(2) Liegt kein Entscheid des Bundesrates nach Absatz 1 vor, so dürfen Personendaten ins Ausland bekanntgegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch:

a) einen völkerrechtlichen Vertrag;

b) Datenschutzklauseln in einem Vertrag zwischen dem Verantwortlichen oder dem Auftragsbearbeiter und seiner Vertragspartnerin oder seinem Vertrags-partner, die dem EDÖB vorgängig mitgeteilt wurden;

c) spezifische Garantien, die das zuständige Bundesorgan erarbeitet und dem EDÖB vorgängig mitgeteilt hat;

d) Standarddatenschutzklauseln, die der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat; oder

e) verbindliche unternehmensinterne Datenschutzvorschriften, die vorgängig vom EDÖB oder von einer für den Datenschutz zuständigen Behörde eines Staates, der einen angemessenen Schutz gewährleistet, genehmigt wurden.

Damit gilt jetzt für die Schweiz eine entsprechende Regelung. Wir gehen davon aus, dass ein Datenexport in die EU zulässig sein wird. Mit den USA kann es da bereits schwieriger werden, zu den entsprechenden Problemen in der EU siehe unseren Blogpost hier.

4. Tipps für die Umsetzung der neuen Datenschutzbestimmungen

a) Bleibe auf dem Laufenden

Halte Dich über Änderungen auf dem Laufenden. Informiere Dich regelmäßig über die neuesten Entwicklungen im Datenschutzrecht und passe Deine Datenschutzerklärung und Praktiken entsprechend an. Das Abonnieren von Newslettern oder Blogs zum Thema Datenschutz kann Dir dabei helfen, immer auf dem neuesten Stand zu bleiben.

b) Überprüfe Deine bestehenden Verträge

Stelle sicher, dass Deine Verträge mit Drittanbietern, wie zum Beispiel Hosting-Providern oder Marketing-Dienstleistern, die Anforderungen des neuen Datenschutzgesetzes erfüllen. Achte darauf, dass diese Verträge Regelungen zum Schutz von personenbezogenen Daten enthalten und dass die Verantwortlichkeiten klar geregelt sind.

c) Nutze Auftragsverarbeitungsverträge

Wenn Du Daten an dritte Dienstleister weitergibst (nach der DSGVO sind das aber nicht zur Berufsverschwiegenheit verpflichtete Berufsträger wie insbesondere Rechtsanwälte und Steuerberater), solltest Du einen Auftragsverarbeitungsvertrag (AVV) nutzen. Beachte, dass Du für den AVV eine Anlage erstellen musst, die die Datenschutzmaßnahmen für Dein Unternehmen beschreiben. Das ist ein Thema, dass Du auch für das Verarbeitungsverzeichnis brauchst. Einen der DSGVO entsprechenden AVV mit Erläuterungen und Musteranlagen findest Du hier:

https://easycontracts.de/vertraege/auftrags-verarbeitung/dein-auftragsverarbeitungsvertrag/

Wir gehen davon aus, dass dieser auch für das DSG ausreicht, aber noch lässt sich das nicht sicher beurteilen, weil sich hier (naturgemäß) noch keine Schweizer Vorgaben ausgebildet haben.

5. Was ist das Verhältnis zwischen dem Schweizer DSG und der DSGVO?

Grundsätzlich regelt das Schweizer DSG nach Art. 3 DSG:  

(1) Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.  

Mit den Sachverhalten ist nach Art. 2 DSG jede Bearbeitung von persönlichen Daten durch Privatpersonen oder Bundesorgane der Schweiz gemeint.

Also kurz, jede Bearbeitung der Daten natürlicher Personen, die in der Schweiz sich aufhalten, unterfällt dem Schweizer DSG: Dagegen regelt die DSGVO jeder Verarbeitung von Daten von Europäern.  

Für Dich als Schweizer Unternehmen oder als Inhaber einer schweizer Website, auf der Personendaten erfasst werden. Heißt das:  

• Für Dich gilt das Schweizer DSG, wenn es Daten von Schweizer Besuchern, Nutzern oder Kunden sind, aber auch (!)
• Die Europäische DSGVO, wenn es Daten von europäischen Besuchern, Nutzern oder Kunden sind

Ja, Du hast richtig gehört, da es kaum Websites gibt, die nicht auch von deutschen, österreichischen oder sonstigen europäischen Besuchern aufgesucht werden, gilt für Dich die DSGVO und das DSG gleichzeitig.  

Einzige gute Nachricht: Die Unterschiede zwischen DSG und DSGVO sind mit dem neuen Recht ab 1.9.2023 nicht mehr besonders groß!

6. Was ist der Unterschied zwischen der Schweizer Datenschutzverordnung und der DSGVO?

Also völlig klar, wer sich in der DSGVO umsieht, dem wird das DSG kaum große Fragezeichen ins Gesicht zaubern. Das DSG regelt manches von etwas anderem Ausgangpunkt, manches etwas weniger strikt, manches etwas weniger ausführlich als die DSGVO, aber im Ergebnis gibt es doch viele Gemeinsamkeiten.  

Ein Beispiel für einen Unterschied, der zunächst drastisch aussieht, in der Praxis am Ende aber ähnliche Ergebnisse erzeugt, ist die Frage, ob und wann Daten verarbeitet werden dürfen.  

Die DSGVO geht hier in Art. 6 DSGVO von einem grundsätzlichen Verbot der Datenverarbeitung aus:  

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Nach dem Schweizer DSG ist die Datenverarbeitung dagegen grundsätzlich erlaubt, aber nach Art. 6 DSG muss die Datenverarbeitung rechtmäßig sein:  

(1) Personendaten müssen rechtmässig bearbeitet werden.

(2) Die Bearbeitung muss nach Treu und Glauben erfolgen und verhältnismässig sein.

(3) Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden; sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist.

….

(7) Die Einwilligung muss ausdrücklich erfolgen für:

a) die Bearbeitung von besonders schützenswerten Personendaten;

b) ein Profiling mit hohem Risiko durch eine private Person; oder

c) ein Profiling durch ein Bundesorgan.

Weiter gilt nach Art. 31 DSG ein Katalog von Rechtfertigungsgründen für Datenverarbeitungen:  

(1) Eine Persönlichkeitsverletzung ist widerrechtlich, wenn sie nicht durch Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist.

(2) Ein überwiegendes Interesse des Verantwortlichen fällt insbesondere in folgenden Fällen in Betracht:

a) Der Verantwortliche bearbeitet die Personendaten über die Vertragspartnerin oder den Vertragspartner in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags.

b) Der Verantwortliche steht mit einer anderen Person in wirtschaftlichem Wettbewerb oder wird in wirtschaftlichen Wettbewerb treten und bearbeitet zu diesem Zweck Personendaten, die Dritten nicht bekanntgegeben werden; nicht als Dritte im Rahmen dieser Bestimmung gelten Unternehmen, die zum selben Konzern gehören wie der Verantwortliche.

c) Der Verantwortliche bearbeitet Personendaten zur Prüfung der Kreditwürdigkeit der betroffenen Person, wobei die folgenden Voraussetzungen erfüllt sind:

….

d) Der Verantwortliche bearbeitet die Personendaten beruflich und ausschliesslich zur Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums oder die Daten dienen ihm, falls keine Veröffentlichung erfolgt, ausschliesslich als persönliches Arbeitsinstrument.

e) Der Verantwortliche bearbeitet die Personendaten für nicht personenbezogene Zwecke, insbesondere für Forschung, Planung oder Statistik, wobei die folgenden Voraussetzungen erfüllt sind:

….

f. Der Verantwortliche sammelt Personendaten über eine Person des öffentlichen Lebens, die sich auf das Wirken dieser Person in der Öffentlichkeit beziehen.

Unschwer kann man erkennen, dass auch nach dem Schweizer DSG eine Datenverarbeitung vor allem dann zulässig ist,

• wenn der Betroffene eingewilligt hat,
• es um die Verarbeitung von Vertragsdaten geht
• oder es um überwiegende Interessen des Verarbeitenden geht (in der Schweiz nach Art. 6 DSG die verhältnismäßige Bearbeitung nach Treu und Glauben).

Das sind auch die wesentlichen Rechtfertigungsgründe nach der DSGVO. Klar, im Detail kann es hier Unterschiede geben, aber die Ähnlichkeit im Ergebnis ist frappant (aber eben auch kein Zufall).  

7. Für wen gilt das neue Schweizer Datenschutzgesetz denn nun?

Nach Art. 2 DSG gilt:  

(1) Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:

a. private Personen;

b. Bundesorgane.

(2) Es ist nicht anwendbar auf:

a. Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;

….

Kombiniert damit, dass das Gesetz nach Art. 3 DSG für alle Sachverhalte gilt, die sich in der Schweiz auswirken, ergibt sich, dass Du das neue Schweizer Datenschutzgesetz beachten musst, wenn Du Daten natürlicher Personen in der Schweiz oder Schweizer Personen bearbeitest, wenn dies nicht nur zu rein privaten Zwecken erfolgt.  

Speichert Du also einen privaten Kontakt in Deinem Telefonbuch, gilt das DSG nicht, handelt es sich aber um einen beruflichen Anlass, ist es anwendbar. Jedes Datum einer natürlichen Person, dass Du nicht nur ganz privat speicherst, macht das DSG anwendbar. Ob Du Interessenten für ein Angebot sammelst, Adressen für Dein Unternehmen erfasst, Besucher aufzeichnest, Mailadressen angeben lässt, immer wird das DSG anwendbar, wenn der Zweck nicht rein privat ist (etwa Sammlung von Mail Adressen von Freunden für eine Einladung zum Geburtstag).  

Klassiker ist – wie auch nach der DSGVO – dass jede Website im Internet nach der grundlegenden Funktion des Internets die IP Adresse des Besuchers (und weitere potentiell persönliche Daten) erfasst. Damit ist das DSG anwendbar.  

Also, das DSG gilt immer, wenn Du Daten Schweizer natürlicher Personen als

• Unternehmen,
• Firma,
• Freiberufler,
• Freelancer,
• Organisation oder
• in sonstiger nicht nur rein privater Funktion verarbeitest.

Es gibt noch einige Ausnahmen für öffentliche Stellen, die an dieser Stelle aber wenig relevant sind.  

Das Schweizer DSG gilt also branchenübergreifend für eigentlich jedes Schweizer Unternehmen (und im übrigen aber auch für alle EU Unternehmen, die Daten von Schweizer Besuchern und Kunden erfassen – wie eben umgekehrt auch die DSGVO für alle Schweizer gilt, die Daten von EU Bürgern erfasssen, siehe dazu bereits oben zu 4.).

8. Was sind die wichtigsten Regelungen des neuen Schweizer Datenschutzrechts?

Für Dich als Schweizer Unternehmen ergeben sich aus dem neuen Schweizer DSG ab dem 1.9.2023 vor allem 4 Hauptpflichten:

• die Informationspflicht, also die Datenschutzhinweise auf Deiner Website und an weiteren Stellen (Art. 19 DSG),
• Datenschutz durch Technik und datenschutzfreundliche Grundeinstellungen sowie angepasste Datensicherheit im gesamten Unternehmen (Art. 7 und 8 DSG),
• die Erstellung und Unterhaltung eines Verzeichnisses der Bearbeitungstätigkeiten für riskante oder umfangreiche Datenbearbeitungen ( 12 DSG),
• das Erstellen und Unterhalten von Datenschutzfolgeabschätzungen ( 22 DSG).

Diese wollen wir uns im Folgenden genauer ansehen.

9. Was habe ich denn nun für Informationspflichten? Was sind die Datenschutzhinweise?

 Art. 19 DSG regelt den Grundsatz der Informationspflichten, die Du als Schweizer Unternehmen bei der Erfassung von Daten Schweizer Personen hast:  

(1) Der Verantwortliche informiert die betroffene Person angemessen über die Beschaffung von Personendaten; diese Informationspflicht gilt auch, wenn die Daten nicht bei der betroffenen Person beschafft werden.

(2) Er teilt der betroffenen Person bei der Beschaffung diejenigen Informationen mit, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist; er teilt ihr mindestens mit:

a) die Identität und die Kontaktdaten des Verantwortlichen;

b) den Bearbeitungszweck;

c) gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden.

(3) Werden die Daten nicht bei der betroffenen Person beschafft, so teilt er ihr zudem die Kategorien der bearbeiteten Personendaten mit.

(4) Werden die Personendaten ins Ausland bekanntgegeben, so teilt er der betroffenen Person auch den Staat oder das internationale Organ und gegebenenfalls die Garantien nach Artikel 16 Absatz 2 oder die Anwendung einer Ausnahme nach Artikel 17 mit.

(5) Werden die Daten nicht bei der betroffenen Person beschafft, so teilt er ihr die Informationen nach den Absätzen 2–4 spätestens einen Monat, nachdem er die Daten erhalten hat, mit. Gibt der Verantwortliche die Personendaten vor Ablauf dieser Frist bekannt, so informiert er die betroffene Person spätestens im Zeitpunkt der Bekanntgabe.  

Das ist im Ergebnis ganz ähnlich der Datenschutzerklärung, die nach Art. 13 DSGVO erforderlich ist:

1. Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

2. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

3. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

4. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

5. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

6. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

7. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

8. Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

9. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

10. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

11. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

12. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

13. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und

14. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

15. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

16. Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.

Schnell zu erkennen, die Informationspflicht des Schweizer DSG ist nicht so umfangreich. Aber in den Grundlagen gilt eben auch eine Informationspflicht.

Diese umfasst alle Informationen, damit die betroffene Person Ihre Rechte nach dem DSG geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist; das sind mindestens:

• die Identität und die Kontaktdaten des Verantwortlichen;
• der Bearbeitungszweck;
• gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden
• sowie bei Weitergabe in das Ausland diese Tatsache und die Grundlage, warum die Weitergabe nach den Artt. 16f. DSG rechtmäßig ist.

Was genau aber über das „mindestens“ nach Art. 19 DSG hinaus noch erforderlich werden kann, ist schwer abzuschätzen. Das wird in der Folgezeit von den Schweizer Gerichten geklärt werden müssen.

Für Dich als Inhaber einer Schweizer Website ist damit die Führung einer Datenschutzerklärung verbindlich, wenn Du Bussgelder bis zu 250.000 Franken und Verwaltungsverfahren und Prozesse vermeiden willst.

Grade, wenn sich Deine Website auch an europäische Kunden richtet, ist es naheliegend, sich einfach an den Anforderungen der DSGVO zu orientieren. Dann bist Du sowohl in der EU auf der sicheren Seite und es scheint mir sehr unwahrscheinlich, dass es in der Folgezeit zu einer Schweizer Rechtsprechung kommt, die noch umfangreichere Informationspflichten als nach der DSGVO vorsieht. Generell ist die Informationspflicht zur Datenschutzerklärung in der Schweiz weniger umfangreich geregelt.  

Was genau nach der DSGVO Inhalt Deiner Datenschutzerklärung sein muss, haben wir hier erläutert.  

Alternativ kannst Du auch bei easyRechtssicher hier die Schweizer Version einer Datenschutzerklärung buchen und die Datenschutzerklärung unter Berücksichtigung der Schweizer Besonderheiten (jedoch auch vollständig DSGVO-konform) mit unserem Generator erstellen – automatisch aktuell und vor allem auch noch mit automatischer Erkennung der Tools, die Du auf Deiner Website nutzt.

10. Privacy by default und privacy by design (Art. 7f. DSG)

Datenschutz durch Einstellungen und Datensicherheit wie in den Artt. 7f. DSG beschrieben sind, entsprechen den Grundsätzen privacy by default und privacy by design, die die gesamte DSGVO durchziehen.

Was das für die Datensicherheit im einzelnen nach der DSGVO bedeutet, haben wir hier zu 7. und 8.  dargestellt. Ich gehe davon aus, dass für das Schweizer DSG ziemlich ähnliche Voraussetzungen gelten werden.

11. Brauche ich ein Verarbeitungsverzeichnis?

Nach Art. 12 DSG brauchst Du ein Verzeichnis der Bearbeitungstätigkeit, wenn Du riskante oder umfangreiche Datenbearbeitungen vornimmst. Nach Abs. 5 von Art. 12 DSG gilt aber:  

(5) Der Bundesrat sieht Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.  

Es kann danach gut sein, dass diese Pflicht für Dich nicht aktuell wird. Wenn doch, die Anforderungen an ein Bearbeitungsverzeichnis nach der DSGVO haben wir hier dargestellt.  

Brauche ich eine Datenschutzfolgenabschätzung?

Nach Art. 22 DSG gilt:  

(1) Der Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden.

(2) Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt namentlich vor:

a) bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten;

b) wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.

(3) Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte.

(4) Von der Erstellung einer Datenschutz-Folgenabschätzung ausgenommen sind private Verantwortliche, wenn sie gesetzlich zur Bearbeitung der Daten verpflichtet sind.

(5) Der private Verantwortliche kann von der Erstellung einer Datenschutz-Folgenabschätzung absehen, wenn er ein System, ein Produkt oder eine Dienstleistung einsetzt, das oder die für die vorgesehene Verwendung nach Artikel 13 zertifiziert ist, oder wenn er einen Verhaltenskodex nach Artikel 11 einhält, der die folgenden Voraussetzungen erfüllt:

a) Der Verhaltenskodex beruht auf einer Datenschutz-Folgenabschätzung.

b) Er sieht Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der betroffenen Person vor.

Also grade, wenn Du als Unternehmen auf dem Sektor der Gesundheit oder sonst mit besonders schützenswerten Daten befasst bist, kann Dich auch die Pflicht treffen.  

12. Kann ich als Schweizer Webdesigner oder Agentur für die DSG haften?

Ich gehe davon aus, dass Du als Schweizer Webdesigner oder Agentur haftest, wenn Du nicht Deine Kunden darüber aufklärst, dass die neue DSG bald für Ihre Website weitergehende rechtliche Anforderungen gelten. Dies ergibt sich allgemeinen zivielrechtlichen Haftungsgrudsätzen, die im Schweizer Obligationenrecht auch nicht anders geregelt sind als im deutschen BGB (siehe dazu genauer hier – am Ende kannst Du kostenlos das Muster für einen Prozess, wie Du Deine Haftung vermeidest, anfordern).

13. Wie kann ich Daten ins Ausland übermitteln?

Gem. Art. 16 DSG  dürfen Daten ins Ausland übermittelt werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des Drittstaates einen angemessenen Schutz gewährleistet. Die vorläufige Liste des EDÖB findest du hier.

Besteht kein angemessenes Schutzniveau, dürfen Daten trotzdem dorthin

übermittelt werden, wenn ein geeigneter Datenschutz auf andere Weise gewährleistet wird.

Dafür kommen in Frage:

• ein völkerrechtlichen Vertrag,
• Datenschutzklauseln, die dem EDÖB vorgängig mitzuteilen sind,
• verbindliche unternehmensinterne Datenschutzvorschriften, sog. Binding Corporate Rules.
• Bereits unter der DSGVO genehmigte Standardklauseln der Europäischen Kommission werden vom EDÖB anerkannt.

Ist eine Bekanntgabe ins Ausland geplant – wozu auch die Speicherung auf ausländischen Systemen (Cloud) gehört – sind die Länder anzugeben, gleichgültig, ob diese einen angemessenen Datenschutz bieten. Hier geht das DSG weiter als die DSGVO. Anzugeben ist auch, welche Datenschutzgarantien gegebenenfalls zum Einsatz kommen (z.B. EU-Standardvertragsklauseln) oder auf welche Ausnahmen nach Art. 17 DSG sich der Verantwortliche bezieht; auch hier weicht das DSG von der DSGVO ab.

14. In welchen Ländern besteht ein angemessenes Schutzniveau?

Zu den Staaten mit einem angemessenen Datenschutz zählen insbesondere alle Mitgliedstaaten im Europäischen Wirtschaftsraum (EWR), Großbritannien, Kanada, Israel und Neuseeland. Die USA zählt in der Schweiz (wie auch in der EU) nicht zu den Staaten mit angemessenem Datenschutzniveau.

15. Brauche ich einen Auftragsverabreitungsvertrag?

Ja, gem. Art. 9 DSG brauchst du einen Auftragsverarbeitungsvertrag, wenn du die Bearbeitung von Personendaten an einen Auftragsbearbeiter übertragen möchtest.

16. Brauche ich einen Datenschutzbeauftragten?

Nein, Unternehmen können aber gem. Art. 10 DSG einen Datenschutzberater ernennen.

17. Brauche ich ein Cookie-Banner?

Nein, du brauchst keinen Cookie-Banner, um die Anforderungen des DSG einzuhalten.

18. Welche Rechte haben meine Nutzer?

Deine Nutzer haben folgende Rechte:

• Recht auf Auskunft Art. 25 DSG
• Recht auf Datenherausgabe oder -übertragung Art. 28 DSG
• Recht auf Berichtigung von unrichtigen Daten Art. 32 DSG

19. Häufige Fallstricke – was können Schweizer Website-Betreiber, Webdesigner und Agenturen aus der DSGVO lernen?

Generell hat die DSGVO für sehr große Beachtung gesorgt! Das Thema Datenschutz spielte vorher kaum eine Rolle. Das hat sich mit Inkrafttreten der DSGVO dramatisch geändert. Plötzlich war das Thema in aller Munde – aber es wurde eben nicht nur drüber gesprochen, es musste – und wurde – viel Arbeit in die Umsetzung der Anforderungen gesteckt, es gab Unmengen von Abmahnungen, Prozessen, Vorgaben von Amts wegen und Bußgelder.

Woran liegt das? Sicher auch daran, dass die DSGVO – und auch das Schweizer DSG – umfangreiche Verpflichtungen für Website-Betreiber und Agenturen mit sich bringt. Du musst eben vorab tätig werden oder Du hast dauerhaft das Damoklesschwert von Abmahnung, Schadensersatz, Bußgeldern und den damit verbunden Prozessen.

Es ist nicht ein Gesetz, das einfach nur verbietet, vielmehr musst Du vorab tätig werden und all die Anforderungen erfüllen, die wir oben aufgeführt haben. Das reicht vom Verarbeitungsverzeichnis über die ausreichende Information der Nutzer der Website, also vor allem die Datenschutzerklärung über die Auswahl der Tools, den Datenexport bis hin zu den Auftragsverarbeitungsverträgen.

Daher blicken wir hier auf einige häufige Fehler, die Website-Betreiber, Webdesigner und Agenturen im Zusammenhang mit dem neuen Schweizer Datenschutzgesetz begehen könnten. Was waren die häufigsten Fehler nach dem Inkrafttreten der DSGVO und was lernen wir daraus für das neue Schweizer DSG.?

a) Die unzureichende Datenschutzerklärung

Ganz klar im Fokus steht eindeutig die Datenschutzerklärung. Warum? Nun, weil Du sie auf Deiner Website überall ersichtlich veröffentlichen musst. Diese kann jeder sehen: verstimmter Kunde, missgünstiger Konkurrent und formalistische Behörde.  Daher waren Fragen und Auseinandersetzungen rund um die Datenschutzerklärung ein Schwerpunktthema anlässlich der Umsetzung der DSGVO.

b) Nicht aktuelle Datenschutzerklärung

Damit unmittelbar zusammenhängend ist der Punkt, dass Deine Datenschutzerklärung eben nicht nur einmal für alle Zeiten erstellt werden kann. Vielmehr kann sich

• auf Deiner Website oder der Website Deines Kunden etwas ändern, was die Datenschutzerklärung später falsch macht oder
• es können sich rechtliche Vorgaben ändern, an die Du Deine Datenschutzerklärung ebenfalls anpassen musst, um zu vermeiden, dass sie falsch wird.

Daher ist auch eine Überwachung der rechtlichen Vorgaben und Ihre immer erneute Umsetzung in der Datenschutzerklärung sehr relevant. Unter der DSGVO ist nach rechtlichen Anpassungen oft eine Zunahme der entsprechenden Abmahntätigkeit zu beobachten. Das wird grade auch in der Anfangszeit des Gesetzes besonders relevant sein. Alle Vorgaben sind noch nicht klar, manche Regelungen, etwa zum Datenexport ins Ausland müssen zum 1.9.2023 auch erst noch erlassen werden.

Dies ist einer der Hauptgründe, warum wir easyRechtssicher geschaffen, eine automatisch aktuelle Datenschutzerklärung nimmt Dir diesen Aufwand (den Nicht-jursiten kaum mit sinnvollen Aufwand leisten können) ab.

c) Privacy by Design

Auch privacy by design stellt neue Anforderungen. Unzulässig ist es bereits Daten zu erheben, die man nicht braucht. Unter der DSGVO wäre das z.B. ein Kontaktformular in dem obligatorisch nach der E-Mail Adresse und der Telefonnummer gefragt wird, obwohl eine Kontaktmöglichkeit ausreicht. Vieles ist hier Frage des Einzelfalls, dennoch: Daten, die Du nicht hast, brauchst Du nicht sichern und kannst für sie auch nicht abgemahnt oder bestraft werden.

d) Vernachlässigung der Datensicherheit

Die Sicherheit von personenbezogenen Daten ist ein wichtiger Aspekt des neuen Datenschutzgesetzes. Stelle sicher, dass Du angemessene technische und organisatorische Maßnahmen ergreifst, um die Sicherheit der Daten zu gewährleisten. Dazu gehört auch, dass Du Dich regelmäßig über mögliche Sicherheitsrisiken informierst und Maßnahmen ergreifst, um diese Risiken zu minimieren.

e) Nichtbeachtung der Rechte betroffener Personen

Ein weiterer häufiger Fehler besteht darin, die Rechte betroffener Personen nicht ausreichend zu beachten. Achte darauf, dass Du den Nutzern die Möglichkeit gibst, ihre Rechte, wie zum Beispiel das Recht auf Auskunft, Berichtigung und Löschung, wahrzunehmen und entsprechende Anfragen zügig bearbeitest.

20. Ergebnis

Insgesamt bringt das neue Schweizer Datenschutzgesetz für Dich als Schweizer Unternehmen viele neue Pflichten mit sich. Diese Pflichten sind recht ähnlich wie die, die für EU Unternehmen nach der DSGVO gelten. Auch wenn das Schweizer Datenschutzrecht etwas pragmatischer und weniger strikt daher kommt, empfiehlt es sich, wenn Du Dich bei den Anforderungen an der DSGVO orientierst.

Damit solltest Du auf der sicheren Seite sein, denn noch ist nicht klar, wie genau die Schweizer Rechtsprechung die Anforderungen nach dem Schweizer DSG auslegen wird.

Du kannst bei easyRechtssicher hier die Schweizer Version einer Datenschutzerklärung buchen und die Datenschutzerklärung unter Berücksichtigung der Schweizer Besonderheiten (jedoch auch vollständig DSGVO-konform) mit unserem Generator erstellen – automatisch aktuell und vor allem auch noch mit automatischer Erkennung der Tools, die Du auf Deiner Website nutzt.

 

Désirée Jäger, LL.M. Désirée hat sich bereits im Studium mit dem Datenschutz beschäftigt und Ihre Masterarbeit dem Thema: „Die Übermittlung personenbezogener Daten an Empfänger in Drittländer nach Anforderungen der DSGVO“ gewidmet. Sie war einige Zeit als Contract- und Claim-Managerin im maritimen Sektor tätig und hat Vertrags- sowie Claimverhandlungen geführt. Jetzt unterstützt sie Paragraf 7 bei der Lösung rechtlicher Probleme von Unternehmen.