SBS Firmengruppe Logos

| Datenschutzrecht

Neues Datenschutz-Gesetz: Schweiz nähert sich der EU an


Neues Bundesgesetz für Datenschutz gilt ab dem 01.09.2023

Mit dem bereits beschlossenen Datenschutz-Gesetz (DSG), das ohne eine Umsetzungsfrist bereits ab dem 01.09.2023 in Kraft tritt, nähert sich das Datenschutz-Niveau der Schweiz deutlich dem der Europäischen Union (EU) an. Das neue Gesetz verändert das bisherige Datenschutzrecht und legt besonderen Wert auf die Datensicherheit und Transparenz während der Verarbeitung von Daten, um einen umfassenden Datenschutz zu gewährleisten.  

Für wen gilt das neue Schweizer Datenschutz-Gesetz?

Das DSG ist der Datenschutzgrundverordnung (DSGVO) der EU hinsichtlich des räumlichen Geltungsbereichs sehr ähnlich. Es ist anzuwenden, wenn sich die fragliche Datenverarbeitung in der Schweiz auswirkt, selbst wenn sie im Ausland veranlasst wurde. Dieses Prinzip wird auch als Marktortprinzip bezeichnet und zeichnet sich dadurch aus, dass der Ort der Datenverarbeitung unerheblich ist, sondern die Ausrichtung der Verarbeitung ausschlaggebend ist. Dadurch ist das neue Gesetz auch für europäische Unternehmen relevant, die Daten von Schweizer:innen verarbeiten. 

Sachlich und personell ist das Gesetz für alle Datenverarbeitungsvorgänge, die natürliche Personen betreffen, relevant, unabhängig davon, ob sie manuell oder automatisch stattgefunden haben. Mit dem neuen Gesetz wird daher eine vorherige Regelung ausgehebelt, bei der auch die Daten juristischer Personen erfasst waren. 


Neu: Verzeichnis über Bearbeitungstätigkeiten der betroffenen Daten

Mit der Einführung des DSG müssen die Verantwortlichen und Auftragsbearbeiter im Gegensatz zu den bisherigen Regelungen ein Verzeichnis über die Verarbeitungstätigkeiten erstellen. Nach Artikel 12 des Datenschutz-Gesetzes muss das Verzeichnis die Identität des Verantwortlichen, den Bearbeitungszweck, eine Beschreibung der Kategorien der betroffenen und bearbeitenden Personen und Empfängern, die Aufbewahrungsdauer oder Kriterien zu ihrer Festlegung und eine allgemeine Beschreibung der Maßnahmen zur Datensicherheit enthalten. Werden die Daten ins Ausland bekanntgegeben, muss das Verzeichnis zudem die Angabe des Staates und eine Garantie, dass auch dort der Datenschutz gewährleisten wird, beinhalten. Die Erstellung des Verarbeitungsverzeichnisses kann mit einem erheblichen Aufwand einhergehen, weil zunächst sämtliche Datenverarbeitungen des Unternehmens erfasst werden müssen und das Verzeichnis anschließlich laufend aktualisiert werden muss. Die gängigen Verarbeitungsprozesse der Daten müssen dafür umfassend beschrieben werden. 

Risikoanalyse und Datenschutz-Folgenabschätzung

Ebenfalls neu eingeführt wurde die Pflicht zu einer Datenschutz-Folgenabschätzung und ein Konsultationsverfahren, das die Verantwortlichen bei Datenverarbeitungen mit hohem Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen durchführen müssen. In der Regel liegt ein solches Risiko vor allem bei dem Einsatz von künstlicher Intelligenz oder vieler Cloud-Anwendungen vor. Bei Datenverarbeitungsvorgängen können Risiken vor allem bei Betroffenenrechten, möglichen Bußgeldern, zivilrechtlichen Haftungsrisiken, arbeitsrechtlichen Aspekten, Reputationsschäden oder dem Umgang mit Aufsichtsbehörden auftreten. 

Datenschutz muss in Verarbeitung von Daten eingebunden werden

In der DSGVO und nun auch im Schweizer Datenschutzgesetz beginnt der Schutz personenbezogener Daten bereits mit der sogenannten Privacy by Design. Bei diesem Prinzip wird der Datenschutz durch die benutzte Technik und verbundenen datenschutzfreundlichen Voreinstellungen gesichert. Bereits bei der Konzeption der Datenverarbeitungsprozesse ist darauf zu achten, dass die stattfindenden Verarbeitungen auf ein Minimum beschränkt werden. Umfasst sind dafür zunächst die Bestimmung der erforderlichen Datenschutzmaßnahmen zu der Gewährleistung und dem Nachweis der Datensicherheit. Außerdem müssen die datenverarbeitenden Unternehmen die erfolgreiche Konzipierung, Entwicklung, Bereitstellung und Überwachung der Verarbeitung personenbezogener Daten zum Nachweis der Datensicherheit gewährleisten. 

Transparenz und Meldepflicht zum Schutz der Sicherheit der Daten

Die Transparenz im Datenschutz ist das primäre Ziel des neuen Gesetzes mit hohen Anforderungen, um erreicht und wegen der gesamten Bearbeitung und des ganzen Lebenszyklus der Daten erhalten zu bleiben. Durch das neue Datenschutzgesetz werden Unternehmen verpflichtet, Prozesse zu entwickeln, um die Rechte betroffener Personen während der Be- und Verarbeitung ihrer Daten zu schützen. Der effiziente Datenschutz erfordert starke Sicherheitsmaßnahmen vom Anfang bis zum Ende des Verarbeitungszyklus. Der Datenschutz soll während des gesamten Zyklus durch die durchgängige Sicherheit gewährleistet werden und benötigt die Erarbeitung und Dokumentation proaktiver Maßnahmen im Rahmen der neuen Nachweispflicht. Verletzungen der Datensicherheit müssen dem Schweizer Datenschutzbeauftragten so schnell wie möglich gemeldet werden, wobei es im Vergleich zu der unionsrechtlichen DSGVO keine 72-Stunden-Frist gibt. 

Welche neuen Compliance-Ansprüche müssen Unternehmen erwarten?

Je nach bisher ergriffenen Datenschutzmaßnahmen kann der Compliance-Aufwand zur Umsetzung der DSG stärker oder schwächer ausfallen. Wer seinen Datenschutz bereits an die Anforderungen der DSGVO angepasst hat, muss nur wenige neue Änderungen vornehmen. Haben sich Unternehmen allerdings zuvor nur an die Schweizer Datenschutzvoraussetzungen angepasst und die europäischen Regelungen unbeachtet gelassen, muss mit einem beachtlichen Umsetzungsaufwand gerechnet werden. 


SBS LEGAL - Ihre Anwälte für Datenschutzrecht 

Die Anpassung an den neuen Standard des Datenschutzes in der Schweiz können viele Unternehmen zunächst überfordern oder vor Probleme stellen. Wir können Sie bei sämtlichen neuen Aufgaben unterstützen - von Prozessbeschreibungen, über die Erarbeitung proaktiver Maßnahmen und der Ergreifung notwendiger Maßnahmen zur Datensicherheit. 

Haben Sie noch Fragen zu dem Datenschutz in der EU oder dem neuen Gesetz in der Schweiz?

Zögern Sie nicht, sich bei uns zu melden! Gemeinsam mit der fachlichen Expertise und jahrelangen Erfahrung unseres Teams können Sie optimale Lösungen und Wege finden, um sämtliche Fragen und Probleme aus dem Datenschutzrecht anzugehen. 

Der Erstkontakt zu SBS LEGAL ist immer kostenfrei. 

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Zurück zur Blog-Übersicht