Eine Frau mit langen Haaren und einem Stift in der Hand spricht gestikulierend mit einer weiteren Person in einem Büro.
Sicherheit und Recht

Datenschutzgesetz in der Schweiz: Was müssen Unternehmen beachten?

Das im September 2023 in Kraft getretene revidierte Schweizer Datenschutzgesetz brachte wichtige Bestimmungen über die Bearbeitung von Personendaten mit sich. Unternehmen müssen nun verschärfte Regeln beachten.

Das revidierte Schweizer Datenschutzgesetz (DSG)  stellt Unternehmen vor konkrete Herausforderungen. Seit seiner Einführung gelten strengere Anforderungen an die Transparenz, Sicherheit und Rechtskonformität bei der Bearbeitung von Personendaten. In diesem Beitrag erfahren Sie nicht nur, welche Änderungen das Gesetz mit sich gebracht hat, sondern auch, wie Sie mit praktischen Tipps und Vorlagen die Anforderungen erfolgreich umsetzen können.

Ich will meinen Betrieb rechtlich absichern

Worum geht es beim Schweizer Datenschutzgesetz?

Bei der Anpassung ging es zum einen darum, das Datenschutzgesetz an die veränderten technologischen und gesellschaftlichen Verhältnisse (Cloud Computing, Big Data, soziale Netzwerke, Internet der Dinge) anzupassen: Die Selbstbestimmung der betroffenen Personen über ihre Daten soll gestärkt werden. 

Zum anderen wurde mit dieser Revision das DSG auf die europäischen Datenschutzregeln abgestimmt: Es soll sichergestellt werden, dass die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt, und dass die unkomplizierte Datenübermittlung zwischen der Schweiz und der EU auch in Zukunft möglich bleibt. Andernfalls drohen Schweizer Unternehmen Wettbewerbsnachteile.

Wer ist vom Datenschutzgesetz betroffen?

Das Datenschutzgesetz betrifft alle Unternehmen und Organisationen, die in der Schweiz Personendaten bearbeiten – unabhängig davon, ob sie ihren Sitz in der Schweiz oder im Ausland haben. Besonders relevant ist das Gesetz für:

  • Schweizer Unternehmen, die Personendaten ihrer Kundinnen und Kunden, Mitarbeitenden oder Partnerinnen und Partner bearbeiten.
  • Ausländische Unternehmen, deren Datenbearbeitung sich auf Personen in der Schweiz auswirkt, etwa durch den Verkauf von Produkten oder Dienstleistungen oder durch Überwachungsmassnahmen.

Für Unternehmen im Ausland besteht zudem die Pflicht, eine Vertretung in der Schweiz zu benennen, wenn regelmässig grosse Mengen an Personendaten bearbeitet werden oder ein hohes Risiko für die Betroffenen besteht.

Was sind die wichtigsten Änderungen?

  1. Geltungsbereich: Das Datenschutzgesetz in der Schweiz beschränkt sich seit der Revision – wie die DSGVO – lediglich auf den Datenschutz natürlicher Personen statt wie bisher auch auf Daten juristischer Personen.
  2. Erweiterter Umfang: Auch genetische und biometrische Daten gelten nun als besonders schützenswert.
  3. Verbesserte Transparenz: Für Unternehmen gelten umfassendere Informationspflichten. Diese müssen betroffene Personen über jede Datenbeschaffung angemessen informieren, und zwar auch dann, wenn die Daten nicht bei der Betroffenen oder beim Betroffenen selbst erhoben werden. Mitgeteilt werden müssen die Identität und die Kontaktdaten der oder des für die Datenbearbeitung Verantwortlichen, der Bearbeitungszweck, die Empfängerinnen und Empfänger bzw. Kategorien von Empfängerinnen und Empfängern und das Empfängerland bei Datenexport ins Ausland.
  4. Verzeichnis der Bearbeitungstätigkeiten: Unternehmen sind verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten mit den vorgeschriebenen Angaben zu führen. Dafür entfällt die Pflicht zur Führung eines Verzeichnisses der Datensammlungen. Es empfiehlt sich jedoch, beide Verzeichnisse intelligent miteinander zu verknüpfen, insbesondere wenn bei mehreren Datenbearbeitungstätigkeiten dieselbe Applikation bzw. Datenbank verwendet wird. Für Unternehmen mit bis zu 250 Beschäftigten kann der Bundesrat Ausnahmen vorsehen.
  5. Datenschutz-Folgenabschätzung: Unternehmen sind nun verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt. Diese muss dokumentiert sein.
  6. Profiling: Das Datenschutzgesetz in der Schweiz regelt auch das Profiling, das heisst die automatisierte Datenbearbeitung, um bestimmte persönliche Aspekte einer Person wie wirtschaftliche Lage, Gesundheit, Interessen, Verhalten, Aufenthaltsort usw. zu bewerten. Im Unterschied zur DSGVO sieht das DSG keine allgemeine Pflicht zur Einholung einer Einwilligung vor. 
  7. Schnelle Meldung an den EDÖB: Verletzungen der Datensicherheit – das heisst der unbeabsichtigte oder widerrechtliche Verlust, das Löschen, Vernichten oder Verändern von Personendaten oder gar das Verschaffen des Zugangs für unbefugte Dritte –, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit der betroffenen Person führen, müssen dem EDÖB gemäss DSG so rasch als möglich bzw. innerhalb von 72 Stunden gemeldet werden. In der Regel muss der Verantwortliche auch die betroffene Person informieren, wenn dies zu ihrem Schutz nötig ist oder der EDÖB es verlangt.
  8. Privacy-by-Design und Privacy-by-Default (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen): Sie verpflichten Unternehmen, die Datenbearbeitungsgrundsätze bereits bei der Planung und Ausgestaltung von Applikationen zu berücksichtigen und z. B. Einwilligungen von Betroffenen für Bearbeitungen, die über die unbedingt notwendige Datenbearbeitung hinausgehen, nicht durch entsprechende Voreinstellungen zu erlangen.    

Was bedeuten die Abkürzungen?

  • DSG ist das Datenschutzgesetz in der Schweiz. 
  • DSV ist die Verordnung des Bundesrats zum DSG. Sie enthält die Ausführungs- bzw. Detailbestimmungen. 
  • DSGVO ist die Datenschutz-Grundverordnung der EU vom 27.04.2016. Sie gilt für alle EU-Staaten seit dem 25.05.2018 unmittelbar. Obwohl es sich um eine europäische Verordnung handelt, ist sie unter gewissen Voraussetzungen auch auf Schweizer Unternehmen anwendbar.
  • EDÖB steht für den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten. Er ist die unabhängige Behörde der Schweiz, die für den Schutz der Persönlichkeitsrechte und die Überwachung der Einhaltung der Datenschutzgesetze zuständig ist.

Was bleibt unverändert?

Im Unterschied zur DSGVO, die für jede Datenbearbeitung eine Rechtsgrundlage verlangt, hat sich die Art und Weise der Datenbearbeitung nach dem Datenschutzgesetz in der Schweiz nicht grundlegend verändert. Wie bisher ist für die Bearbeitung von Personendaten durch private Unternehmen im Unterschied zur DSGVO keine Einwilligung oder ein anderer Rechtfertigungsgrund nötig, sofern:

  • die Bearbeitungsgrundsätze Transparenz – insbesondere die Erfüllung der Informationspflichten –, Zweckbindung, Verhältnismässigkeit und Datensicherheit eingehalten werden,
  • die betroffene Person der Bearbeitung nicht widersprochen hat
  • und Dritten keine besonders schützenswerten Personendaten mitgeteilt werden.
  • Ein Mann im Büro sitzt vor einem Computer und telefoniert
    AXA Cyberversicherung

    Hacking, Erpressung, Malware: Immer mehr Firmen werden Opfer von Cyberkriminellen. Die Cyberversicherung schützt Unternehmen vor finanziellen Schäden.

    Zur Cyberversicherung
  • Rechtstipps für Unternehmen
    Rechtstipps für Unternehmen

    Auf MyRight finden Sie aktuelle Infos rund um das Datenschutzgesetz. Ausserdem Tipps und Vorlagen sowie einen Arbeitszeugnisgenerator.

    Zu MyRight

Welche Daten schützt das Schweizer Datenschutzgesetz?

Das Datenschutzgesetz in der Schweiz schützt sämtliche Personendaten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen unter anderem:

  • Allgemeine Daten wie Name, Adresse, Telefonnummer oder E-Mail-Adresse
  • Besonders schützenswerte Personendaten, darunter genetische und biometrische Daten, Gesundheitsdaten, religiöse oder politische Ansichten sowie Daten zur ethnischen Herkunft
  • Daten zu Persönlichkeit und Verhalten, etwa über Interessen, Konsumgewohnheiten oder Aufenthaltsorte
  • Daten juristischer Personen, die vor der Revision ebenfalls geschützt waren, fallen nun nicht mehr unter das Datenschutzgesetz

Besondere Vorsicht bei der Nutzung von KI

Mit der zunehmenden Nutzung von Künstlicher Intelligenz (KI) entstehen neue Herausforderungen für den Datenschutz. Während KI viele Vorteile bietet, müssen Unternehmen sowie Nutzerinnen und Nutzer besondere Vorsicht walten lassen, um sensible Daten zu schützen und gesetzlichen Anforderungen gerecht zu werden. Im Folgenden finden Sie Beispiele für potenzielle Risiken und praktische Hinweise, wie Sie Datenschutzverstösse vermeiden können.

  • Der Einsatz von Künstlicher Intelligenz birgt Risiken für den Datenschutz. Geben Sie niemals sensible oder vertrauliche Daten in KI-Systeme wie ChatGPT ein. Solche Daten könnten auf Servern gespeichert und als zukünftige Trainingsdaten der KI verwendet werden. Dadurch besteht das Risiko, dass diese Informationen – wenn auch unbeabsichtigt – in öffentliche Ergebnisse gelangen oder von Dritten abgegriffen werden.
  • KI-Systeme, die automatisierte Entscheidungen treffen, wie z. B. Kreditvergaben oder Bewerbungsbewertungen, müssen besonders sorgfältig überprüft werden. Unternehmen sind verpflichtet, sicherzustellen, dass diese Systeme keine diskriminierenden Entscheidungen treffen und die Betroffenen über den Einsatz der KI informiert werden. Zudem besteht eine Dokumentationspflicht, um die Nachvollziehbarkeit der Entscheidungen zu gewährleisten.
  • Beim Training von KI-Modellen können enorme Mengen an Daten verarbeitet werden. Unternehmen müssen sicherstellen, dass die verwendeten Daten anonymisiert sind, bevor sie in KI-Systeme eingespeist werden. Andernfalls könnte es zu einem Verstoss gegen Datenschutzbestimmungen kommen, insbesondere wenn Rückschlüsse auf Einzelpersonen möglich sind.

Welche Strafen drohen bei Verstössen gegen das Datenschutzgesetz in der Schweiz?

Bei vorsätzlichen Verstössen gegen das DSG wie Verletzung von Informations-, Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten können Privatpersonen mit Bussen bis CHF 250'000 bestraft werden. 

Bei Widerhandlungen in Geschäftsbetrieben können die Unternehmen mit einer Busse bis CHF 50'000 bestraft werden, wenn die Ermittlung der fehlbaren Personen mit unverhältnismässigem Aufwand verbunden wäre – und eine Busse für diese von höchstens CHF 50'000 in Betracht fallen würde.

Hier liegt ein grosser Unterschied zur DSGVO vor, die nicht die natürlichen Personen, sondern die Unternehmen mit wesentlich höheren Bussen bestraft.

Welche weiteren Konsequenzen drohen bei Verstössen gegen das Datenschutzgesetz?

Zur Durchsetzung des Datenschutzgesetzes in der Schweiz kann der EDÖB von Amtes wegen oder auf Anzeige eine Untersuchung gegen ein Unternehmen einleiten und weitreichende Massnahmen anordnen, wie etwa die Anpassung oder Unterbrechung der Datenbearbeitung oder gar die Datenlöschung. Zudem stehen den Betroffenen zivilrechtliche Rechtsbehelfe zur Verfügung, um ihre Ansprüche durchzusetzen.

Für Unternehmen bedeutet dies jedoch, dass sie sich verstärkt auf rechtliche Auseinandersetzungen einstellen müssen, insbesondere bei Datenschutzverletzungen oder Beschwerden. Eine Betriebsrechtsschutzversicherung kann hier wertvolle Unterstützung bieten, indem sie die Kosten für rechtliche Streitigkeiten abdeckt und den Zugang zu spezialisierten Anwältinnen und Anwälten ermöglicht. 

Welche Unternehmen sind einem besonders hohen Risiko ausgesetzt, gegen das Datenschutzgesetz der Schweiz zu verstossen?

Einem besonders hohen Risiko ausgesetzt sind Unternehmen, die grosse Mengen an Personendaten oder besonders schützenswerte Personendaten bearbeiten, Profiling durchführen, Webshops betreiben, automatisierte Einzelentscheide generieren oder Personendaten ins Ausland (ausserhalb der EU) übermitteln.

Expertentipps für Unternehmen: Das müssen Sie beachten!

  • Foto von Brigitte Imbach; DPO der AXA-ARAG
    Brigitte Imbach

    Brigitte Imbach, Legal & Data Privacy Officer der AXA-ARAG, beantwortet die wichtigsten Fragen zum Schweizer Datenschutzgesetz und gibt Tipps, wie Unternehmen die Datenschutzvorschriften umsetzen können.

Muss nun jedes Unternehmen eine Datenschutzberaterin oder einen Datenschutzberater ernennen oder einstellen?

Nein, die Ernennung einer Datenschutzberaterin oder eines Datenschutzberaters ist im Unterschied zur DSGVO freiwillig, bringt aber gewisse Vorteile:

  • Sie oder er ist Ansprechperson für Mitarbeitende, Kundinnen und Kunden (bei Ausübung ihrer Betroffenenrechte) und Behörden zu Datenschutzthemen. 
  • Werden die Kontaktdaten der Datenschutzberaterin oder des Datenschutzberaters veröffentlicht und dem EDÖB mitgeteilt, entfällt die obligatorische Konsultation des EDÖB im Zusammenhang mit Datenschutz-Folgenabschätzungen, bei welchen die geplante Bearbeitung trotz den vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit der betroffenen Personen zur Folge hat, wenn stattdessen die Datenschutzberaterin oder der Datenschutzberater konsultiert wird. 

Können KMU allein ein Datenschutzkonzept entwickeln? Gibt es Vorlagen?

Das hängt davon ab, ob im Unternehmen entsprechende Kompetenzen vorhanden sind, zum Beispiel eine kompetente Datenschutzfachperson oder eine Rechtsabteilung. Andernfalls empfehlen wir dringend, externe Unterstützung in Anspruch zu nehmen. 

Was muss eine Firma unternehmen, um die Datenschutzbestimmungen zu erfüllen?

  • Überprüfen und Anpassen von Datenschutzerklärungen im Internet sowie von Datenschutzklauseln auf Werbe- und Vertragsdokumenten.
  • Erstellen oder Anpassen von internen Richtlinien zur Datenbearbeitung.
  • Erstellen eines Datenbearbeitungsverzeichnisses.
  • Implementieren eines Prozesses, der die fristgerechte Bearbeitung von Betroffenenrechten (z. B. Auskunfts- oder Löschbegehren) gewährleistet.
  • Implementieren eines Prozesses zur Meldung von Datenschutzverletzungen.
  • Implementieren eines Prozesses zur Datenschutz-Folgenabschätzung, insbesondere wenn eine umfangreiche Bearbeitung von besonders schützenswerten Daten stattfindet oder neue Bearbeitungstechnologien mit hohem Risiko zum Einsatz gelangen.
  • Die Verträge mit den Auftragsbearbeitenden(Dritten) überprüfen. Insbesondere ist die Aufnahme einer Meldepflicht bei Datenschutzverletzungen und bei der Weitergabe an Unterauftragnehmende empfohlen. Ausserdem muss sich die oder der Verantwortliche vergewissern, dass die Datensicherheit gewährleistet ist.  
  • Sicherstellen, dass Personendaten gelöscht oder anonymisiert werden, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
  • Abklären, in welchen Ländern Personendaten bekanntgegeben werden, und sicherstellen, dass dies nur in jenen Ländern erfolgt, die einen angemessenen Schutz gewährleisten. Dies gilt auch für die Speicherung auf ausländischen Systemen (Cloud). Der Bundesrat publiziert eine entsprechende Liste. Soweit die Länder nicht auf dieser Liste aufgeführt sind, dürfen Daten unter bestimmten Bedingungen dennoch exportiert werden, unter anderem mit dem ausdrücklichen Einverständnis der Betroffenen. 
  • Sicherstellen der Datensicherheit durch geeignete technische und organisatorische Massnahmen. Sprich: Verletzungen der Datensicherheit sollten vermieden werden. Da die Datenübermittlung per E-Mail unsicher ist, sollte zumindest bei besonders schützenswerten Personendaten eine E-Mail-Verschlüsselung zur Verfügung stehen. 
  • Sicherstellen der Datenportabilität, das heisst der Datenherausgabe in einem gängigen elektronischen Format (analog zur DSGVO), wenn die Daten elektronisch und vor allem in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags bearbeitet werden.
  • Ernennen einer Datenschutzberaterin oder eines Datenschutzberaters (empfohlen).  Gemäss DSGVO ist die Ernennung einer oder eines Datenschutzbeauftragten hingegen zwingend.

Wie können sich Unternehmen bei Datenschutzverstössen durch Cyberangriffe absichern?

Datenschutz ist in der Schweiz von grosser Bedeutung, und Cyberangriffe können schwerwiegende Verstösse gegen das Datenschutzrecht nach sich ziehen, etwa durch den Missbrauch sensibler Kundendaten. Unternehmen müssen in solchen Fällen nicht nur die gesetzlichen Meldepflichten einhalten, sondern auch mit hohen Kosten und rechtlichen Ansprüchen rechnen.

Eine Cyberversicherung schützt Ihr Unternehmen, indem sie berechtigte Forderungen übernimmt, ungerechtfertigte Ansprüche abwehrt und finanzielle Schäden durch Betriebsunterbrechungen oder Datenverlust minimiert. Zudem profitieren Unternehmen von Soforthilfe durch IT-Sicherheitsexpertinnen und -experten, die bei der Schadensbegrenzung und Wiederherstellung unterstützen.

Fazit

Die revidierten Bestimmungen zum Datenschutz, die das Schweizer Gesetz vorschreibt, stellen Unternehmen vor neue Herausforderungen, bieten aber auch Chancen. Strengere Vorgaben zu Transparenz, Sicherheit und Verantwortlichkeit erfordern Anpassungen in Prozessen und Systemen. Gleichzeitig stärkt das Gesetz das Vertrauen von Kundinnen und Kunden sowie Partnerinnen und Partnern, was langfristig die Wettbewerbsfähigkeit erhöht. 

Unternehmen, die sich frühzeitig mit den Anforderungen auseinandersetzen und diese konsequent umsetzen, minimieren nicht nur rechtliche Risiken, sondern positionieren sich als vertrauenswürdige Akteure in einer zunehmend digitalisierten Welt.