Seit einiger Zeit arbeiten wichtige Schweizer Institutionen an einem neuen bzw. totalrevidierten Datenschutzgesetz (revDSG), das das noch gültige Schweizer Datenschutzgesetz (DSG) von 1992 voraussichtlich im Jahr 2022 ersetzen soll. 

 

Welche Änderungen in Kraft treten sollen, was man beim Datenaustausch zwischen der EU und der Schweiz beachten muss und wie man unter anderem mit Didomis Hilfe hohe Geldbussen vermeiden kann, fassen wir hier einfach und verständlich für Sie zusammen.

 

Unsere Zusammenfassung über das neue Datenschutzgesetz soll hilfreich sein und informieren, ist aber kein Ersatz für eine Rechtsberatung. Didomi übernimmt keine Haftung für Handlungen oder Unterlassungen nach Konsultation dieses Artikels.

 

Zusammenfassung:

 

 

 

Was genau ist das totalrevidierte Schweizer Datenschutzgesetz (revDSG)?

 

Das Schweizer Parlament verabschiedete schon im Herbst 2020 ein totalrevidiertes Datenschutzgesetz (revDSG), das allerdings erst voraussichtlich Ende 2022 in Kraft treten wird. 

 

Konkrete Einzelheiten des im Juni 2021 in die Vernehmlassung gegebenen Vorentwurfs der neuen Schweizer Datenschutzverordnung müssen nämlich erst noch geklärt werden. 

 

Ähnlich wie bei nationalen Datenschutzgesetzen in anderen Ländern, wie z. B. Deutschlands TTDSG oder das UK GDPR des Vereinigten Königreichs, ist der Entwurf der neuen Schweizer DSG Revision stark von der Datenschutz-Grundverordnung der EU (DSGVO) geprägt. 

 

Das hat seinen Grund. Ein Ziel des neuen Schweizer Gesetzes ist es, den Datenverkehr zwischen der Schweiz, der EU und anderen Regionen sowohl besser zu schützen als auch zu erleichtern. 

 

Für die Schweiz war es zudem überfällig, das alte DSG “an die neuen Formen des Konsums (Online-Shopping, soziale Netzwerke usw.), an die technologischen Entwicklungen (Digitalisierung, künstliche Intelligenz usw.)”, sowie an die internationalen “Data Governance”-Standards anzupassen.

 

Kurz gesagt, beschäftigt sich das neue Datenschutzgesetz mit dem Schutz personenbezogener Daten und der “informationellen Selbstbestimmung”, also der Stärkung der Rechte, die “natürliche Personen” über ihre Daten ausüben können. Das Gesetz betrifft hier auch den Datenverkehr zwischen der Schweiz und anderen Ländern. 

 

Wir zeigen Ihnen im folgenden Abschnitt, was das revDSG genau bedeutet, was neu ist und welche Veränderungen somit auf Unternehmen in der Schweiz und im Ausland zukommen.

 

Wichtig: Setzen Sie sich schon jetzt mit den neuen Anforderungen des revDSG auseinander. Eine Übergangsperiode zwischen der alten und neuen Gesetzgebung wird es nicht geben. Geldstrafen bei Datenschutzverstössen können allerdings empfindlich hoch sein!

 

DSGVO - revDSG - SCC - EDÖB … was bedeuten diese Abkürzungen und was ändert sich mit dem neuen Schweizer Datenschutzrecht für Sie?

 

Was soll sich also in der Schweizer Datenschutzgesetzgebung ändern?

Wie oben erwähnt, beschäftigt sich das totalrevidierte Schweizer Datenschutzgesetz (revDSG) mit dem Datenschutz und der “informationellen Selbstbestimmung” natürlicher Personen, die sich in der Schweiz befinden und deren Daten durch den Staat oder Drittparteien bearbeitet werden. Das bedeutet auch, dass sich dieses Gesetz nicht nur auf die Schweiz beschränkt.

Obwohl die Schweiz nicht Teil der EU ist, müssen Schweizer Unternehmen in bestimmten Fällen schon bisher die E-Privacy Richtlinie und EU Datenschutz Grundverordnung (DSGVO) einhalten, z. B. falls ihre Produkte oder Dienstleistungen von EU-Nutzern angewendet werden oder sie Website-Verkehr aus der EU erhalten.

Hier kommen auch die neuen EU-Standardvertragsklauseln (SCC) ins Spiel, mit denen wir uns später ausführlicher beschäftigen werden. 


Es soll nun also zu noch mehr Transparenz, Pflichten und Verantwortung im Umgang mit Daten kommen, vor allem für Schweizer Unternehmer und Unternehmerinnen.

 

Damit Sie die verschiedenen rechtlichen Begriffe besser verstehen und auch zeitlich einordnen können, haben wir ein kurzes Glossar am Ende dieses Artikels für Sie vorbereitet.

 

Was ist neu im revDSG und was ändert sich für Privatpersonen und Unternehmen?

 

Wir führen hier eine Auswahl der wichtigsten Änderungen für Sie auf.

 

1. Umfangreicherer Datenschutz für Privatpersonen bzw. “natürliche Personen”

 

  • “Natürliche Personen” haben mehr Rechte über ihre Daten. Zum Beispiel müssen sie über die Bearbeitung ihrer persönlichen Daten aktiv im Voraus informiert werden (Artikel 25),

  • Ihre Daten einsehen bzw. einfordern können (Artikel 28) und 

  • Keiner automatisierten Einzelentscheidung (etwa dem “Profiling mit hohem Risiko” durch einen Algorithmus über Arbeitsleitung, Aufenthaltsort, Gesundheit, etc.) unterworfen werden, ohne dass ein Mensch in diesen Prozess involviert ist. (Artikel 21)


Besonders schützenswerte Personendaten sind nun auch genetische und biometrische Daten. (Artikel 5)

 

2. Mehr Datenschutzpflichten für Unternehmen

 

  • Daten von “juristischen Personen” werden nicht mehr geschützt, wie z. B. GmbHs, Vereine oder Stiftungen. (Artikel 2)

  • Verantwortlich sind nicht Unternehmen, sondern vielmehr die natürlichen Personen dahinter wie Unternehmer und Unternehmerinnen (z. B. Website-Betreibende), auch wenn sie Tracking-Produkte von Drittanbietern benutzen. Sie müssen nun “natürliche Personen” im Voraus informieren, falls ihre persönlichen Daten direkt oder durch Drittanbieter eingeholt werden - nicht nur bei besonders schützenswerten persönlichen Daten, wie bisher. Dies hat Auswirkungen auf das Design von Cookie-Bannern (siehe unten). (Artikel 19)

  • Das neue Datenschutzgesetz beinhaltet nun explizit Privacy by Design” und “Privacy by Default”-Prinzipien (PDF). Diese fordern a) Maßnahmen, welche die Umsetzung von Datenschutzgrundsätzen (z.B. Datenminimierung) in den eingesetzten Technologien sicherstellen (“Privacy by Design”) und b) Voreinstellungen in Technologien, beispielsweise Apps oder Websites, welche die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränken (“Privacy by Default”). Dies hat Auswirkungen auf das Design von Cookie-Bannern (siehe unten). (Artikel 7)

  • Verantwortliche und Auftragsbearbeiter müssen je ein aktuelles Verzeichnis ihrer Datenbearbeitungstätigkeiten führen. Hier gibt es Ausnahmen für Unternehmen unter 250 Beschäftigte und bei geringen Datenschutzverstoss-Risiken. (Artikel 12). Der Verantwortliche muss sich zudem vergewissern, “dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.” 

  • Unternehmen sollen ihre eigenen Datenschutzverhaltenskodizes erstellen und sich durch eine anerkannte unabhängige Zertifizierungsstelle zertifizieren lassen. Kodizes können durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) geprüft werden. (Artikel 11 und 13)

  • Datenschutz-Folgenabschätzungen müssen erstellt werden, wenn die geplante Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann” (Artikel 22). Private Verantwortliche müssen das aber nicht tun, wenn sie bestimmte Zertifizierungen nach Artikel 13 besitzen oder einen bestimmten Verhaltenskodex einhalten. 

  • Das revDSG dehnt sich auf “Sachverhalte [aus], die sich im Ausland ereignen und Auswirkungen auf die Schweiz haben” (Artikel 3). Zudem müssen private Verantwortliche mit Sitz im Ausland eine Vertretung in der Schweiz einsetzen. (Artikel 14)

  • Bei vorsätzlichen Datenschutzverstössen drohen empfindliche Strafen bis zu 250.000 CHF durch die kantonalen Strafbehörden (Art. 60 ff.). Achtung: die Strafe richtet sich hier gegen die verantwortliche natürliche Person und nicht gegen das Unternehmen. Solche Strafen sind in der Regel nicht versicherbar und das Unternehmen darf die Busse auch nicht für die verantwortliche natürliche Person übernehmen.

 

3. Stärkung der Rechte und Funktionen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)

 

Bisher konnte der EDÖB nur Empfehlungen erteilen. Seine Rechte und Pflichten wurden nun erweitert. 

 

  • Vor besonders riskanten Datenbearbeitungen muss er konsultiert und über problematische Datenschutzverstösse informiert werden, die von Privatpersonen und Bundesorganen verursacht wurden. 

  • Er führt auch ein öffentliches Register über die Datenverarbeitung der Bundesorgane.

 

Der EDÖB kann nun auch:

 

  • Anzeige erstatten und bestimmen, dass Betroffene über einen Datenschutzverstoss benachrichtigt werden (Artikel 51). 

  • Eine Löschung von Personendaten anordnen, sowie Anpassungen, Unterbrechungen oder das komplette Abbrechen der Datenverarbeitung. 


Im Allgemeinen liegt seine Aufgabe aber weiterhin eher in der Datenschutzschulung und Aufklärung.

 

Die EU und die Schweiz: Wie sieht die Rechtslage aus, wenn Daten diese Grenzen überqueren? 

 

Am 27. August 2021 erkannte der EDÖB die neuen EU-Standardvertragsklauseln (SCC) an. Er bestätigte, dass man personenbezogene Daten aus der Schweiz gegebenenfalls an “unsichere Drittländer” schicken kann, solange vorher von Schweizer Unternehmen notwendige Änderungen vorgenommen und Vorsichtsmassnahmen getroffen werden. Hier gibt es dazu eine detaillierte Stellungnahme. (PDF)

 

Unternehmen sollen nun anhand dieser Anleitungen (PDF) entscheiden, ob ihr Datentransfer “nur” unter das DSG oder sowohl unter das DSG als auch unter die DSGVO fällt. 

 

Hier beantworten wir Ihnen dazu einige Fragen:

Wann fällt ein Datentransfer nur unter die Gerichtsbarkeit des Schweizer DSG?

 

Grob gesagt, fällt ein Datentransfer wohl nur unter die Gerichtsbarkeit des Schweizer DSG, wenn “kein Anknüpfungspunkt” zur DSGVO besteht. Ziehen Sie hier aber am besten einen Datenschutzexperten hinzu, der Ihr Unternehmen dazu individuell beraten kann.

Was müssen Sie beachten, wenn die Gerichtsbarkeit nur unter das Schweizer DSG fällt?

Nach Darstellung der Kanzlei Hogan Lovells  muss in diesem Fall der Datenexporteur den EDÖB als zuständige Aufsichtsbehörde angeben.

 

Der Datenexporteur hat dann die Wahl zwischen dem Schweizer DSG oder dem Datenschutzgesetz eines angemessenen Drittlandes. 

 

Datenexporteure und -importeure können sich im Falle von Rechtsstreitigkeiten z. B. für Schweizer Gerichte entscheiden. 

 

Alle Parteien müssen einen SCC-Anhang vorbereiten, in dem Referenzen zur DSGVO als Referenzen zum DSG interpretiert werden. 

 

Was müssen Sie beachten, wenn die Gerichtsbarkeit unter das Schweizer DSG und die DSGVO fällt?

 

In diesem Fall hat der Datenexporteur zwei Möglichkeiten. Beide erfordern eine parallele Überwachung durch den EDÖB und durch eine zuständige EU-Aufsichtsbehörde. Dies muss auch in einem entsprechenden SCC-Anhang festgehalten werden.

 

1. Möglichkeit

2. Möglichkeit

Die DSGVO wird die Grundlage aller internationalen Datenübertragungen.

Das gilt auch für jene, die unter die Gerichtsbarkeit des DSG fallen. Etwaige durch die SCC verursachten Rechtsstreitigkeiten müssen dann von Gerichten eines EU-Staates verhandelt werden. 

Man beruft sich auf zwei SCC:


Die ersten SCC regeln Datenübermittlungen, die dem Schweizer Datenschutzrecht unterliegen.


Die zweiten SCC regeln Datenübermittlungen, die der DSGVO unterliegen.

 

Lassen Sie sich auch hier wieder von einem Datenschutzexperten beraten.


Was müssen alle SCC-Anhänge ausserdem beinhalten?

Darüber hinaus muss man im SCC-Anhang noch andere detaillierte Informationen festlegen, z. B. zur Auslegung des Begriffs “Mitgliedstaat” und dazu, dass die SCC auch Daten von juristischen Personen bis zum Inkrafttreten des revDSG schützen. 

 

Sollte der EDÖB bei Nutzung der neuen SCC-Anhänge informiert werden?

Bei Nutzung der neuen SCC in der Schweiz müssen Unternehmen den EDÖB nicht extra informieren.

 

Ab wann müssen die neuen SCC-Anhänge benutzt werden?

Spätestens ab 1. Januar 2023 müssen alle Datenexporteure die neuen SCC benutzen, es sei denn, sie verlassen sich z. B. auf ein sogenanntes “Transborder Data Flow Agreement” (TBDFA). Ein neues TBDFA wird momentan vorbereitet.

 

Bis wann kann man noch die alten Standardvertragsklauseln, TBDFAs und Musterverträge des Europarats verwenden?

 Die alten Standardvertragsklauseln, das TBDFA (Swiss Transborder Data Flow Agreement) und der Mustervertrag des Europarats konnten noch bis zum 27.

 

September 2021 verwendet und dem EDÖB gemeldet werden. Bis zum 31. Dezember 2022 dürfen sie aber während einer Übergangsfrist in Gebrauch bleiben, sofern sich die Datenverarbeitung und der Vertrag “in der Zwischenzeit nicht wesentlich ändern”.

 

Wie Sie Geldbussen bis zu 250.000 CHF vermeiden können

 

Es gibt einige Dinge, die Unternehmer und Unternehmerinnen tun sollten, um auch in Zukunft datenschutzkonform zu sein. So vermeiden Sie nicht nur Geldbussen, sondern fördern auch das Kundenvertrauen. 

 

Denn: 80 % aller europäischen Verbraucher achten auf Datenschutz, bevor sie kaufen. 

 

Die folgende Liste soll Ihnen dabei helfen, schnell in die Startlöcher zu kommen:

 

  • Machen Sie sich zuerst mit den Änderungen des revDSG vertraut und schulen Sie sich und Ihre Mitarbeiter im Datenschutz.

  • Erstellen Sie eine Bestandsaufnahme aller persönlichen Daten, die Ihr Unternehmen einholt und bearbeitet - auch durch Drittanbieter. Durch eine sogenannte GAP-Analyse können Sie erarbeiten, welche Datenschutzanforderungen Ihr Unternehmen noch nicht erfüllt. Für kleine Unternehmen unter 250 Angestellten, die Daten mit geringem Risiko verarbeiten, gibt es hier Ausnahmen (siehe Artikel 12).

  • Wenden Sie sich an einen qualifizierten Datenschutzexperten, der Ihnen bei der Vorbereitung und Folgenabschätzung Ihrer Datensammlung hilft. Das ist unerlässlich, wenn Sie viele und/oder besonders schützenswerte Daten (siehe Artikel 5) einholen und verarbeiten. (Hier geht es z. B. um Daten über religiöse und politische Ansichten, Gesundheit, Ethnie, Sozialhilfe, Strafverfolgung, sowie genetische und biometrische Daten.)

  • Fangen Sie mit den grössten Risiken an: “Datenmenge, Sensibilität der Daten, Vorliegen eines Profilings, Bekanntgabe an Dritte und/oder Auslandbekanntgabe, Verletzungen von Informations- und Auskunftspflichten” und/oder “Vorgaben zur Datenbekanntgabe ins Ausland bzw. bei einer unzureichend ausgestalteten Auftragsbearbeitung.” 

  • Holen Sie immer nur das für Ihre Verwendungszwecke nötige Mindestmaß an persönlichen Daten ein.

  • Prüfen und ändern Sie gegebenenfalls Verträge, die sich mit Datenschutz befassen bzw. befassen sollten.

  • Investieren Sie in datenschutzfreundliche Technik bzw. IT-Systeme. Stellen Sie z. B. sicher, dass Sie eine vertrauenswürdige Consent Management Platform wie Didomi auf Ihrer Website verwenden.

 

Didomi hilft Ihnen dabei, sowohl in der Schweiz als auch in der EU datenschutzkonform zu bleiben

 

Sie sehen, dass Datenschutzregelungen oft kompliziert sind. Aber keine Sorge! Unternehmen wie Didomi können Ihnen dabei helfen, auch in Zukunft europaweit datenschutzkonform zu bleiben. 

 

Auswirkungen des revDSG auf Schweizer Cookie-Banner

 

Schweizer Cookie-Banner sollten in Zukunft unter anderem so konzipiert werden, dass sie die Website-Besucher klar über Datenverarbeitungen informieren und dabei weder eine Zustimmung erzwingen noch irreführende Texte verwenden (PDF).

Mit Didomis Consent Management Platform können Sie Ihre Website-Besucher im Voraus über Datensammlungen und Auslandstransfers gemäss Artikel 19 informieren (z.B. durch einen Link zur Datenschutzerklärung auf dem Cookie-Banner). 

 

Sie geben Nutzern auch Kontrolle über die Einholung und Verarbeitung ihrer persönlichen Daten. Ihre Website-Besucher können mit unseren Cookie-Bannern nämlich eine Dateneinholung genauso einfach ablehnen wie annehmen. 

 

Ihre Nutzer sollten nach dem neuen “Privacy by Design and Default”- Prinzip (Artikel 7) auch sofort die Möglichkeit haben, Cookie-Banner entweder ohne Zustimmung zu schliessen, oder die verschiedenen Cookie-Einstellungen einzusehen und zwischen Funktions-, Analyse- und Marketing-Cookies zu wählen. Die einzig erlaubte Voreinstellung sollte somit die Einholung technisch notwendiger Cookies sein.

 

Didomi hilft Ihnen dabei, nur die für Ihr Unternehmen notwendigen Daten durch Ihre Website einzuholen. Wir machen es auch einfach, Ihren Kunden zu vermitteln, wie lange Sie und Ihre Drittanbieter ihre Daten speichern und wie Sie sie verarbeiten. 

 

Zu guter Letzt informieren wir uns weiterhin über die neuesten Datenschutzänderungen und bleiben somit immer auf dem neuesten Stand.

 

Es ist klar: Datenschutzkonforme Nutzereinwilligungen sind für Ihr Unternehmen essenziell. 

 

Mit Didomis Produkten vermindern Sie Datenschutzverstösse und ermöglichen Ihrem Unternehmen gleichzeitig, legal eingeholte Daten als wichtigen Teil Ihrer Marketing-Strategie zu nutzen.

Sie möchten mehr erfahren? Wir beraten Sie gerne.

 

Die CMP entdecken

 

Glossar

 

Hier eine Auswahl wichtiger Begriffe zur Schweizer Datenschutzgesetzgebung. 

 

  • DSG: Das bisherige Schweizer Bundesgesetz zum Datenschutz (in Kraft seit 1992).

  • DSGVO: Die Datenschutz-Grundverordnung der EU, die in EU-Staaten verbindlich ist und die nationalen Datenschutzgesetzgebungen vieler europäischer Länder massgeblich beeinflusst hat. Sie beschäftigt sich generell mit Daten, jedoch nicht intensiv mit Cookies. (In Kraft seit 2018.)

  • EDÖB: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter der Schweiz. Dieser ist für den Datenschutz privater Personen und von Bundesorganen zuständig, jedoch nicht für kommunale und kantonale Behörden. 

  • E-Privacy Richtlinie für elektronische Kommunikation, die sich intensiv mit Cookies beschäftigt (in Kraft seit 2006). Auch Schweizer Website-Betreiber müssen diese Richtlinie berücksichtigen. 

  • Privacy Shield: Eine Regelung, die die Sicherheit des Datenverkehrs zwischen der USA und EU garantieren sollte. Eine ähnliche Regelung bestand zwischen der Schweiz und der USA. Da das “US-EU” und ”US-Swiss” Privacy Shield im Jahr 2020 als ungültig erklärt wurde, ist es wichtig, dass das revidierte DSG als sicher betrachtet wird.

  • revDSG: Das totalrevidierte Schweizer DSG, welches voraussichtlich Ende 2022 in Kraft treten soll. Der Ende Juni 2021 in die Vernehmlassung gegebene Vorentwurf der neuen Schweizer Datenschutzverordnung soll die Einzelheiten des revDSG regeln (nDSG).