Schweizer Gebirge mit einem roten Heißluftballon

Was bedeutet die Datenschutz-Grundverordnung für Schweizer Unternehmen und wie vergleicht sie sich mit dem Schweizer Entwurf zum Datenschutzgesetz, das aktuell erarbeitet wird?

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO, auf Englisch GDPR) im Mai dieses Jahres sind nicht nur Unternehmen innerhalb der EU betroffen. Tatsächlich betrifft die DSGVO jegliche Datenverarbeitung personengebundener Daten von EU-Bürgern, unabhängig vom Standort des Unternehmens, das die Daten verarbeitet.

Auch für Schweizer Unternehmen bedeutet dies, bestehende Systeme und Prozesse neu zu denken bzw. diese anzupassen, insofern sie europäische oder sich in Europa befindliche Kunden bzw. Nutzer haben. Doch nicht nur das: aktuell wird die Revision der Schweizer Datenschutzverordnung (Arbeitstitel: E-DSG) erarbeitet, die sich an der DSGVO orientiert. Wann für Schweizer Unternehmen die DSGVO gilt und wann die E-DSG gelten wird, sowie maßgebliche Unterschiede möchte ich im Folgenden kurz vorstellen.


Bitte beachten Sie, dass dieser Beitrag lediglich der unverbindlichen Information dient und keine Rechtsberatung ersetzt bzw. ersetzen kann. Die Inhalte wurden ausführlich recherchiert und nach bestem Wissen und Gewissen hier dargestellt. Es besteht kein Anspruch auf Richtigkeit und Vollständigkeit. Für eine verbindliche Rechtsberatung empfehlen wir einen Rechtsanwalt zu konsultieren. 


Was ist die DSGVO?

Die Datenschutz-Grundverordnung ist eine für EU-Länder und alle EU-Bürger umfassende Gesetzesordnung, die den Schutz personengebundener Daten garantieren soll. Besonders ist vor allem, dass nicht nur EU-Unternehmen von der DSGVO betroffen sind, sondern alle Unternehmen, die personengebundene Daten von EU-Bürgern sowie sich in der EU befindliche Personen sammeln und verarbeiten. Die DSGVO umfasst die automatisierte und die nicht-automatisierte Datenverarbeitung und hebt vor allem eine erhöhte Dokumentationspflicht und Auskunftspflicht für Unternehmen, sowie weitreichende Rechte für Nutzer bzw. Datensubjekte hervor. Darunter fallen beispielsweise das Recht auf Auskunft, das Recht auf Bearbeitung, das Recht auf Widerspruch und das Recht auf Löschung der Daten.

Erfahren Sie hier mehr zur DSGVO oder lesen Sie hier, was sich grundsätzlich mit der DSGVO geändert hat. Eine sehr interessante Sammlung der FAQ zum Thema inklusive Antworten von einem Experten gibt es übrigens von Rechtsanwalt Martin Steiger.

Was ist das E-DSG?

Das DSG ist das bislang geltende Datenschutzgesetz in der Schweiz, das jedoch mit einem Stand von 1992 – ähnlich wie die Datenschutzgesetze vor der DSGVO – ein wenig angestaubt ist. Im Rahmen der DSGVO soll es nun revidiert werden, um ein ähnliches bzw. gleichwertiges Datenschutzniveau im Verhältnis zur EU zu gewährleisten.

Neben mehr Transparenz sowie einer erhöhten Weitsicht in Bezug auf risikoreiche Verarbeitungsprozesse soll besonders das Thema “Privacy by Design/Default”, also der Schutz personengebundener/sensibler Daten bereits beim Design/bei der Planung von Systemen und Prozessen mit der E-DSG gestärkt werden.

Wie sich die geplante E-DSG von ihren Vorgängern unterscheidet, können Sie hier nachlesen (PDF). Den gesamten Entwurf (Stand 2016) finden Sie hier als PDF.

DSGVO: wann betrifft es Schweizer Unternehmen?

Im umfangreichen Whitepaper zum Datenschutz in der Schweiz (PDF) stellt das Beratungsunternehmen PWC dar, wann ein Schweizer Unternehmen sich an die DSGVO halten muss:

  • Wenn es eine Niederlassung in der EU hat
  • Wenn das Unternehmen Kunden (natürliche Personen) hat, die sich in der EU befinden
  • Wenn sich die Datenverarbeitung dieser Kunden auf angebotene Dienstleistungen bezieht
  • Wenn natürliche Personen (die sich in der EU befinden) bzw. deren Verhaltensweisen von dem Unternehmen beobachtet werden

Genauere Anwendungsbereiche sowohl sachlich als auch räumlich können Sie übrigens direkt auf der Informationsseite des DSGVO nachlesen.

DSGVO und E-DSG: worin unterscheiden Sie sich?

Die Rechenschaftspflicht, die gemäß Artikel 5, Absatz 2 in der DSGVO vorsieht, dass Unternehmen für die Einhaltung der im Absatz 1 genannten Grundsätze verantwortlich ist und diese auch nachweisen können muss, existiert im aktuellen Entwurf der E-DSG nicht. Es besteht allerdings eine Pflicht zur Dokumentation der Datenbearbeitung (E-DSG, Artikel 19, b.)

Bei der Datenschutzverletzung fällt außerdem die konkrete Frist von “möglichst 72 Stunden” zur Meldung bei der Aufsichtsbehörde weg. Stattdessen wird “unverzüglich” eine Meldung eingefordert, was unter Umständen unterschiedlich interpretiert werden kann (Art. 17, Absatz 1).

Die betroffenen Personen müssen sowohl in der DSGVO als auch der E-DSG dann informiert werden, wenn die Datenschutzverletzung ein höheres Risiko für die betroffene Person darstellt.

Insbesondere bei den Datenschutzrechten der Nutzer wird die E-DSG (im aktuellen Stand) anders formuliert als die DSGVO. In der DSGVO werden im Kapitel 3, Artikel 12 – 23) ausführlich die Rechte der betroffenen Personen genannt. Darunter Transparenz, Informationspflicht, Recht auf Berichtigung, Löschung, Einschränkung der Bearbeitung, Widerspruchsrecht und Beschränkungen.

In der E-DSG wird im vierten Abschnitt (Rechte der betroffenen Personen) lediglich das Auskunftsrecht erörtert. In den anderen Bereichen, die im DSGVO abgedeckt werden, muss jedoch unter Umständen auch das gängige Schweizer Rechtssystem berücksichtigt werden.

Insgesamt können die beiden Dokumente natürlich erst dann adäquat miteinander verglichen werden, wenn das E-DSG verabschiedet wurde, da sich der Entwurf in den nächsten Jahren noch maßgeblich verändern kann.

Double Opt-In oder nicht?

Ob DSGVO oder E-DSG, personengebundene Daten dürfen bis auf in konkreten Ausnahmefällen nicht ohne die aktive Zustimmung des Datensubjektes gesammelt und/oder verarbeitet werden. Im Rahmen der DSGVO aber auch schon vorher bestehender deutscher Datenschutzgesetze hat sich im digitalen Raum dabei das Double Opt-In-Verfahren bewährt (Diese Methode wird allerdings nicht konkret in der DSGVO genannt oder vorgeschlagen).

Während beim Opt-In-Verfahren lediglich eine einmalige Anmeldung, beispielsweise mit der E-Mail-Adresse sowie die aktive Zustimmung der Datenschutzbestimmung, notwendig ist, um eine Einwilligung zur Verwendung der Daten zu signalisieren, wird beim Double Opt-In mit einer anschließenden E-Mail inklusive eines Bestätigungslinks noch einmal geprüft, ob der Empfänger der E-Mail-Adresse sich wirklich für den Dienst angemeldet hat. Damit kann eindeutig ausgeschlossen werden, dass die Anmeldung via E-Mail durch andere Personen erfolgt ist.

Im 2. Abschnitt Art.4, Absatz 6 des E-DSG-Entwurfes steht (nachzulesen im PDF):

“Ist für die Bearbeitung die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie nach angemessener Information freiwillig und eindeutig erfolgt. Für die Bearbeitung von besonders schützenswerten Personendaten und das Profiling muss die Einwilligung zudem ausdrücklich erfolgen.

Aufgrund dieser Grundlage müssen Schweizer Unternehmen auch im Kontext der E-DSG nachweisen können, dass eine Einwilligung aktiv, eindeutig und freiwillig erfolgt ist.

Ob DSGVO oder E-DSG: Daten müssen neu strukturiert werden

Unabhängig davon, ob sich ein Schweizer Unternehmen an die DSGVO oder zukünftig an die E-DSG halten muss, ist es notwendig, die eigenen Datenströme im Unternehmen neu zu strukturieren. Insbesondere unstrukturierte Daten können langfristig zu einem großen Risiko für Unternehmen werden, da so auch ungewollt Datenschutzverstöße entstehen können.

Im Grunde müssen Unternehmen bereits in der Planung von Systemen und Prozessen zur Datenaufbewahrung, -verarbeitung und -archivierung berücksichtigen, dass die Daten bereits bei der Dokumentation durch vorzugsweise automatisierte Prozesse gespeichert, kategorisiert und verarbeitet werden.

Diese Prozesse müssen auch Drittanbieter einbeziehen, um so den Weg jedes Datensatzes jederzeit nachvollziehen zu können. Mit der Digitalisierung häufen sich die gesammelten Daten, aber auch die Verwendungszwecke. Um hier rechtlich sicher und verantwortungsvoll zu gewährleisten, dass personengebundene Daten nicht missbraucht werden, muss es Systeme geben, die Daten zu einer bestimmten Person jederzeit vollständig abbilden, bearbeiten und löschen können. Ist das gewährleistet, können Systeme sehr viel einfacher an jedwede rechtlichen Vorgaben angepasst werden.

Erfahren Sie mehr zum Thema auf LinkedIn, dort haben wir unterschiedliche Materialien zur Datenschutz-Grundverordnung zusammengesammelt.

Print Friendly, PDF & Email
0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.