zurück

Übersicht zu den Unterschieden des neuen Datenschutzgesetzes zur DSGVO

15.01.2021 Publikationen

 

Ein Beitrag von 

Gerhard Roth
Stephan A. Hofer

 

Einführung

Fast sechs Jahre nach Projektanstoss und gut zwei Jahre nach der Einführung der EU Datenschutzgrundverordnung (DSGVO) hat die Bundesversammlung das revidierte Bundesgesetz über den Datenschutz (DSG) verabschiedet. Das neue DSG wird voraussichtlich 2022 in Kraft treten.

Mit der Revision des DSG beabsichtigt die Schweiz, weiterhin als Drittstaat mit gleichwertigem Datenschutzniveau anerkannt zu werden, um datenschutzrechtliche Probleme von Schweizer Unternehmer im grenzüberschreitenden Verkehr möglichst klein zu halten.

Dieses Factsheet vergleicht die Bestimmungen des neuen DSG mit jenen der DSGVO und stellt einerseits die konzeptionellen Unterschiede, andererseits aber auch die strengeren oder milderen Abweichungen wie auch die Gemeinsamkeiten der Regelwerke dar.

 

Allgemeine Bemerkungen zum neuen DSG

Das DSG regelt den Datenschutz sowohl für staatliche wie private Datenverantwortliche. Obwohl es von der DSGVO inspiriert wurde und wesentliche Bestimmungen repliziert, ist das DSG gegenüber der DSGVO deutlich weniger detailliert. DA Schweizer Unternehmen im grenzüberschreitenden Bereich bereits vor 2 Jahren damit konfrontiert waren, die DSGVO umzusetzen, wird das neue DSG lediglich einen Review der bestehenden internen Datenschutzkonzepte verbunden mit einigen wenigen Anpassungen bedingen.

 

Die Bestimmungen des DSG im Detail

Nachfolgend fassen wir Ihnen die Unterschiede und Gemeinsamkeiten von DSG und DSGVO in Bezug auf einzelne datenschutzrechtliche Regelungsbereiche zusammen:

Anwendungsbereich

Während das alte DSG auch auf juristische Personen anwendbar war, stimmt der Anwendungsbereich des neuen DSG mit jenem der DSGVO überein - Verarbeitungstätigkeiten werden jedoch allgemeiner erfasst. Ebenfalls analog der DSGVO repliziert wurde der extraterritoriale Anwendungsbereich dergestalt, dass das DSG sich für sämtliche Verarbeitungstätigkeiten anwendbar erklärt, die sich auf das Gebiet der Schweiz auswirken. Damit sind auch Verantwortliche im Ausland gehalten, die Bestimmungen des DSG zu berücksichtigen, wenn sich ihre Tätigkeit (auch) auf die Schweiz auswirkt.

Zulässige Verarbeitung und Einwilligung

Nach dem DSG gelten grundsätzlich die gleichen Grundsätze zur Datenverarbeitung und zur gültigen Einholung von Einwilligungen der betroffenen Personen wie nach der DSGVO (Transparenz, Zweckgebundenheit, Fairness, Datenminimierung, Datensicherheit, Privacy by Design, automatische Einzelfallentscheidungen, Profiling etc.). Soweit das DSG überhaupt von der DSGVO abweicht, ist das DSG weniger streng, weshalb ein DSGVO-konformer Verarbeiter an seinem bestehenden Datenschutz-Setup diesbezüglich nichts anzupassen braucht.

Datenschutzerklärung

Da das Prinzip der Transparenz im DSG der DSGVO entspricht, jedoch weniger detailliert geregelt ist, erfüllt eine DSGVO-konforme Datenschutzerklärung auch die Anforderungen des DSG. Hiervon einzig ausgenommen ist die Bestimmung des DSG, wonach sämtliche Länder aufgeführt werden müssen, in welche der Verantwortliche Personendaten exportiert - einschliesslich Nennung der anwendbaren Grundlagen bei einem Export in einen sog. "unsicheren Drittstaat". Vor allem letzteres verlangt eine gewisse Aufmerksamkeit des Verarbeiters, da die von der Schweiz als gleichwertig anerkannten Länder (Länderliste) nicht zwingend der EU-Liste entsprechen (zurzeit z.B. Japan).

Rechte der Betroffenen

Die Rechte der betroffenen Personen gegenüber dem Datenverantwortlichen entsprechen grundsätzlich der DSGVO. Abweichungen bestehen z.B. in einer kürzeren Liste von Zusatzinformationen, über welche die betroffene Person gemäss DSG ein Informationsrecht hat, während gleichzeitig andere Informationen offengelegt werden müssen, welche die DSGVO nicht vorzieht (z.B. die Liste der Exportländer inkl. Rechtsgrundlage für die Datenübermittlung, sowie das Recht auf Auskunft zu "nützlichen" Informationen). Es kann daher für den Verantwortlichen sinnvoll sein, diese Abweichungen in einem "Anhang zur Schweiz" in der internen Datenschutzrichtlinie zu berücksichtigen.

Verantwortliche und Auftragsverarbeiter

Das DSG geht synchron mit der DSGVO in Bezug auf die Begriffe des Verantwortlichen und des Auftragsverarbeiters. Das DSG verlangt jedoch im Vergleich zur DSGVO im Auftragsverarbeitungsvertrag (AVV) zusätzlich die Nennung der Datenexportländer. Zudem ist die Haftung des Verarbeiters im DSG nicht bereits gesetzlich beschränkt (wobei diese fehlende Einschränkung im Ergebnis kaum einen erschwerenden Unterschied gegenüber der DSGVO darstellt, wie unter "Haftung" nachfolgend ausgeführt).

Datenschutzbeauftragte und Vertreter

Die Pflicht des Verantwortlichen, einen lokalen Schweizer Vertreter zu ernennen, entspricht dem Grundsatz der DSGVO. Auch in Bezug auf die Ernennung eines Datenschutzbeauftragten ("Datenschutzberater" gemäss DSG) folgt das DSG der DSGVO, sieht jedoch keine zwingende Ernennung in gewissen Fällen vor. Die Ernennung eines Datenschutzberaters entbindet den Verantwortlichen jedoch von einigen regulatorischen Pflichten, nebstdem der Schweizer Datenschutzbeauftragte selbständig Datenschutzfolgeabschätzungen validieren kann (was gemäss DSGVO nur durch die zuständige Aufsichtsbehörde möglich ist).

Meldepflichten bei Verstössen

Wenngleich das DSG die Bestimmungen der DSGVO zur Definition von Datenschutzverstössen und Verarbeitern grundsätzlich repliziert, sieht es die Meldefrist von 72 Stunden nicht explizit vor und regelt auch den Inhalt der Verstossmeldung nicht detailliert. Darüber hinaus muss nach DSG die Aufsichtsbehörde nur informiert werden, wenn ein "hohes Risiko" besteht, und die betroffene Person nur dann, wenn deren Information zum Schutz der betroffenen Person notwendig ist. Ein international tätiger Verantwortlicher sollte daher eine Ergänzung der internen Datenschutzrichtlinien erwägen, um von den weniger strengen Vorschriften des DSG zu profitieren.

Nachweispflicht

Die Nachweis- und Dokumentationspflicht in Bezug auf Verarbeitungstätigkeiten entsprechen grundsätzlich jenen der DSGVO, ausser in Bezug auf die Validierung der Datenschutzfolgeabschätzung (DSG: Der Datenschutzberater des Verantwortlichen, DSGVO: Die zuständige Aufsichtsbehörde).

Haftung/Bussen

Haftung und Bussenkatalog nach DSG unterscheiden sich deutlich von der DSGVO. Während auf der einen Seite das Bussenmaximum des DSG mit CHF 250'000 weit unter der DSGVO liegt, versteht das DSG die Busse als Sanktion für kriminelles Verhalten, während der Bussenkatalog der DSGVO eher die Stärkung der Motivation zur generellen regulatorischen Konformität bezweckt. Dieser unterschiedliche Ansatzpunkt führt dazu, dass nach DSG nicht (nur) das verstossende Unternehmen gebüsst werden kann, sondern auch die direkt den Verstoss begehende Person (z.B. der Mitarbeiter, welcher den Datenschutzverstoss begeht).

Dieser strenge Ansatz einer persönlichen Haftbarkeit kompensiert das DSG durch höhere Anforderungen für einen Bussenbescheid. Generell ist zur Bestrafung mit einer Busse ein vorsätzliches oder mindestens eventualvorsätzliches Verhalten des Verstossenden erforderlich.

Behörden

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) ist die zuständige Datenschutzaufsichtsbehörde in der Schweiz. Der EDÖB wird dieselben Verwaltungsmassnahmen ergreifen können wie die Aufsichtsbehörden nach der DSGVO, mit Ausnahme des Aussprechens von Bussen - diese Kompetenz bleibt den kantonalen Strafverfolgungsbehörden vorbehalten.

 

Zusammenfassung und Empfehlung

Mit der Einführung des neuen DSG wird die Datenschutzkonformität sowohl effizienter als auch komplexer. Mit Blick auf die potentielle persönliche Haftung der Verantwortlichen dürfte dem neuen DSG auch die notwendige Aufmerksamkeit zukommen. Durch die enge Anlehnung des DSG an die DSGVO birgt es für DSGVO-konforme Verantwortliche angenehm wenige Überraschungen. Wir empfehlen Schweizer Unternehmen und ausländischen Verantwortlichen, die auf den Schweizer Markt einwirken, gleichwohl eine sorgfältige Prüfung ihrer bestehenden Abläufe und Richtlinien zum Datenschutz, mit entsprechender Aktualisierung in den wenigen, aber wichtigen Bereichen, in welchen das DSG von der DSGVO materiell abweicht.

 

Artikel als PDF herunterladen