
Datenschutzgesetz in der Schweiz: Was müssen Unternehmen beachten?
Das im September 2023 in Kraft getretene revidierte Schweizer Datenschutzgesetz brachte wichtige Bestimmungen über die Bearbeitung von Personendaten mit sich. Unternehmen müssen nun verschärfte Regeln beachten.
Das revidierte Schweizer Datenschutzgesetz (DSG) stellt Unternehmen vor konkrete Herausforderungen. Seit seiner Einführung gelten strengere Anforderungen an die Transparenz, Sicherheit und Rechtskonformität bei der Bearbeitung von Personendaten. In diesem Beitrag erfahren Sie nicht nur, welche Änderungen das Gesetz mit sich gebracht hat, sondern auch, wie Sie mit praktischen Tipps und Vorlagen die Anforderungen erfolgreich umsetzen können.
Worum geht es beim Schweizer Datenschutzgesetz?
Bei der Anpassung ging es zum einen darum, das Datenschutzgesetz an die veränderten technologischen und gesellschaftlichen Verhältnisse (Cloud Computing, Big Data, soziale Netzwerke, Internet der Dinge) anzupassen: Die Selbstbestimmung der betroffenen Personen über ihre Daten soll gestärkt werden.
Zum anderen wurde mit dieser Revision das DSG auf die europäischen Datenschutzregeln abgestimmt: Es soll sichergestellt werden, dass die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt, und dass die unkomplizierte Datenübermittlung zwischen der Schweiz und der EU auch in Zukunft möglich bleibt. Andernfalls drohen Schweizer Unternehmen Wettbewerbsnachteile.
Wer ist vom Datenschutzgesetz betroffen?
Das Datenschutzgesetz betrifft alle Unternehmen und Organisationen, die in der Schweiz Personendaten bearbeiten – unabhängig davon, ob sie ihren Sitz in der Schweiz oder im Ausland haben. Besonders relevant ist das Gesetz für:
- Schweizer Unternehmen, die Personendaten ihrer Kundinnen und Kunden, Mitarbeitenden oder Partnerinnen und Partner bearbeiten.
- Ausländische Unternehmen, deren Datenbearbeitung sich auf Personen in der Schweiz auswirkt, etwa durch den Verkauf von Produkten oder Dienstleistungen oder durch Überwachungsmassnahmen.
Für Unternehmen im Ausland besteht zudem die Pflicht, eine Vertretung in der Schweiz zu benennen, wenn regelmässig grosse Mengen an Personendaten bearbeitet werden oder ein hohes Risiko für die Betroffenen besteht.
Was sind die wichtigsten Änderungen?
- Geltungsbereich: Das Datenschutzgesetz in der Schweiz beschränkt sich seit der Revision – wie die DSGVO – lediglich auf den Datenschutz natürlicher Personen statt wie bisher auch auf Daten juristischer Personen.
- Erweiterter Umfang: Auch genetische und biometrische Daten gelten nun als besonders schützenswert.
- Verbesserte Transparenz: Für Unternehmen gelten umfassendere Informationspflichten. Diese müssen betroffene Personen über jede Datenbeschaffung angemessen informieren, und zwar auch dann, wenn die Daten nicht bei der Betroffenen oder beim Betroffenen selbst erhoben werden. Mitgeteilt werden müssen die Identität und die Kontaktdaten der oder des für die Datenbearbeitung Verantwortlichen, der Bearbeitungszweck, die Empfängerinnen und Empfänger bzw. Kategorien von Empfängerinnen und Empfängern und das Empfängerland bei Datenexport ins Ausland.
- Verzeichnis der Bearbeitungstätigkeiten: Unternehmen sind verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten mit den vorgeschriebenen Angaben zu führen. Dafür entfällt die Pflicht zur Führung eines Verzeichnisses der Datensammlungen. Es empfiehlt sich jedoch, beide Verzeichnisse intelligent miteinander zu verknüpfen, insbesondere wenn bei mehreren Datenbearbeitungstätigkeiten dieselbe Applikation bzw. Datenbank verwendet wird. Für Unternehmen mit bis zu 250 Beschäftigten kann der Bundesrat Ausnahmen vorsehen.
- Datenschutz-Folgenabschätzung: Unternehmen sind nun verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt. Diese muss dokumentiert sein.
- Profiling: Das Datenschutzgesetz in der Schweiz regelt auch das Profiling, das heisst die automatisierte Datenbearbeitung, um bestimmte persönliche Aspekte einer Person wie wirtschaftliche Lage, Gesundheit, Interessen, Verhalten, Aufenthaltsort usw. zu bewerten. Im Unterschied zur DSGVO sieht das DSG keine allgemeine Pflicht zur Einholung einer Einwilligung vor.
- Schnelle Meldung an den EDÖB: Verletzungen der Datensicherheit – das heisst der unbeabsichtigte oder widerrechtliche Verlust, das Löschen, Vernichten oder Verändern von Personendaten oder gar das Verschaffen des Zugangs für unbefugte Dritte –, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit der betroffenen Person führen, müssen dem EDÖB gemäss DSG so rasch als möglich bzw. innerhalb von 72 Stunden gemeldet werden. In der Regel muss der Verantwortliche auch die betroffene Person informieren, wenn dies zu ihrem Schutz nötig ist oder der EDÖB es verlangt.
- Privacy-by-Design und Privacy-by-Default (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen): Sie verpflichten Unternehmen, die Datenbearbeitungsgrundsätze bereits bei der Planung und Ausgestaltung von Applikationen zu berücksichtigen und z. B. Einwilligungen von Betroffenen für Bearbeitungen, die über die unbedingt notwendige Datenbearbeitung hinausgehen, nicht durch entsprechende Voreinstellungen zu erlangen.
Was bedeuten die Abkürzungen?
- DSG ist das Datenschutzgesetz in der Schweiz.
- DSV ist die Verordnung des Bundesrats zum DSG. Sie enthält die Ausführungs- bzw. Detailbestimmungen.
- DSGVO ist die Datenschutz-Grundverordnung der EU vom 27.04.2016. Sie gilt für alle EU-Staaten seit dem 25.05.2018 unmittelbar. Obwohl es sich um eine europäische Verordnung handelt, ist sie unter gewissen Voraussetzungen auch auf Schweizer Unternehmen anwendbar.
- EDÖB steht für den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten. Er ist die unabhängige Behörde der Schweiz, die für den Schutz der Persönlichkeitsrechte und die Überwachung der Einhaltung der Datenschutzgesetze zuständig ist.
Was bleibt unverändert?
Im Unterschied zur DSGVO, die für jede Datenbearbeitung eine Rechtsgrundlage verlangt, hat sich die Art und Weise der Datenbearbeitung nach dem Datenschutzgesetz in der Schweiz nicht grundlegend verändert. Wie bisher ist für die Bearbeitung von Personendaten durch private Unternehmen im Unterschied zur DSGVO keine Einwilligung oder ein anderer Rechtfertigungsgrund nötig, sofern:
- die Bearbeitungsgrundsätze Transparenz – insbesondere die Erfüllung der Informationspflichten –, Zweckbindung, Verhältnismässigkeit und Datensicherheit eingehalten werden,
- die betroffene Person der Bearbeitung nicht widersprochen hat
- und Dritten keine besonders schützenswerten Personendaten mitgeteilt werden.
Welche Daten schützt das Schweizer Datenschutzgesetz?
Das Datenschutzgesetz in der Schweiz schützt sämtliche Personendaten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen unter anderem:
- Allgemeine Daten wie Name, Adresse, Telefonnummer oder E-Mail-Adresse
- Besonders schützenswerte Personendaten, darunter genetische und biometrische Daten, Gesundheitsdaten, religiöse oder politische Ansichten sowie Daten zur ethnischen Herkunft
- Daten zu Persönlichkeit und Verhalten, etwa über Interessen, Konsumgewohnheiten oder Aufenthaltsorte
- Daten juristischer Personen, die vor der Revision ebenfalls geschützt waren, fallen nun nicht mehr unter das Datenschutzgesetz
Besondere Vorsicht bei der Nutzung von KI
Mit der zunehmenden Nutzung von Künstlicher Intelligenz (KI) entstehen neue Herausforderungen für den Datenschutz. Während KI viele Vorteile bietet, müssen Unternehmen sowie Nutzerinnen und Nutzer besondere Vorsicht walten lassen, um sensible Daten zu schützen und gesetzlichen Anforderungen gerecht zu werden. Im Folgenden finden Sie Beispiele für potenzielle Risiken und praktische Hinweise, wie Sie Datenschutzverstösse vermeiden können.
- Der Einsatz von Künstlicher Intelligenz birgt Risiken für den Datenschutz. Geben Sie niemals sensible oder vertrauliche Daten in KI-Systeme wie ChatGPT ein. Solche Daten könnten auf Servern gespeichert und als zukünftige Trainingsdaten der KI verwendet werden. Dadurch besteht das Risiko, dass diese Informationen – wenn auch unbeabsichtigt – in öffentliche Ergebnisse gelangen oder von Dritten abgegriffen werden.
- KI-Systeme, die automatisierte Entscheidungen treffen, wie z. B. Kreditvergaben oder Bewerbungsbewertungen, müssen besonders sorgfältig überprüft werden. Unternehmen sind verpflichtet, sicherzustellen, dass diese Systeme keine diskriminierenden Entscheidungen treffen und die Betroffenen über den Einsatz der KI informiert werden. Zudem besteht eine Dokumentationspflicht, um die Nachvollziehbarkeit der Entscheidungen zu gewährleisten.
- Beim Training von KI-Modellen können enorme Mengen an Daten verarbeitet werden. Unternehmen müssen sicherstellen, dass die verwendeten Daten anonymisiert sind, bevor sie in KI-Systeme eingespeist werden. Andernfalls könnte es zu einem Verstoss gegen Datenschutzbestimmungen kommen, insbesondere wenn Rückschlüsse auf Einzelpersonen möglich sind.
Fazit
Die revidierten Bestimmungen zum Datenschutz, die das Schweizer Gesetz vorschreibt, stellen Unternehmen vor neue Herausforderungen, bieten aber auch Chancen. Strengere Vorgaben zu Transparenz, Sicherheit und Verantwortlichkeit erfordern Anpassungen in Prozessen und Systemen. Gleichzeitig stärkt das Gesetz das Vertrauen von Kundinnen und Kunden sowie Partnerinnen und Partnern, was langfristig die Wettbewerbsfähigkeit erhöht.
Unternehmen, die sich frühzeitig mit den Anforderungen auseinandersetzen und diese konsequent umsetzen, minimieren nicht nur rechtliche Risiken, sondern positionieren sich als vertrauenswürdige Akteure in einer zunehmend digitalisierten Welt.