Das noch aktuell gültige Schweizer Datenschutzgesetz stammt aus dem Jahr 1992. Trotz verschiedener kleinerer Anpassungen entspricht es dem Grundgedanken vor dreißig Jahren. Durch technische und wirtschaftliche Veränderung ist es überholt. Es umfasst nur gerade 39 Artikel, die in einer ergänzenden Verordnung konkretisiert wurden. Diese umfasst nochmals 34 Artikel.
Das Gesetz wurde komplett überarbeitet, vom Parlament am 25. September 2020 angenommen und wird vermutlich 2022 in Kraft treten. Die Verordnung ist seit Juni in einem ersten Entwurf im Parlament.
Für viele Unternehmen stellt sich nun die Frage, was die Unterschiede zwischen dem alten und dem neuen Schweizer Datenschutzgesetz sind mit 74 Artikeln und welche Unterschiede es zur Europäischen Datenschutzgrundverordnung (DSGVO) mit 99 Artikeln gibt.
Die Tabelle enthält einen vereinfachten Vergleich des aktuell gültigen, dem neuen schweizerischen Datenschutzgesetz und der DSGVO. Vereinfacht deshalb, weil es bei fast jedem Artikel ein „Ja, aber …“ gibt. Das „Aber“ bezieht sich auf verschiedene Ausnahmebestimmungen, beispielsweise müssen beim Auskunftsrecht Journalisten ihre Quellen nicht bekannt geben. Diese Ausnahmen habe ich nicht berücksichtigt, ebenso wenig alle Gesetzesartikel, die ausschließlich für öffentliche Verwaltung und Regierung gedacht sind und der Entwurf der Verordnung zum neuen Schweizer Datenschutzgesetz.
Topic | DSG Schweiz 1992 (Revision 01.03.2019) | Neues DSG Schweiz (Stand 25.09.2020) | DSGVO (Stand 25.08.2018) | Anmerkungen |
Sachlicher Geltungsbereich | Natürliche und juristische Personen [Art. 2] | Natürliche Personen [Art. 1] | Natürliche Personen [Art. 1 und 2] | Juristische Personen sind zukünftig nicht mehr geschützt. Der Schutz gilt nur für natürliche, lebende Personen und ist somit identisch mit der DSGVO und weiteren Datenschutzgesetzen. Es müssen keine zusätzlichen Massnahmen umgesetzt werden. |
Geographischer Geltungsbereich | Standort-Prinzip | Standort-Prinzip und Marktort-Prinzip [Art. 3] | Standort-Prinzip und Marktort-Prinzip [Art. 3] | Der geographische Geltungsbereich wurde um das Marktort-Prinzip erweitert, identisch mit der DSGVO. Das bedeutet, dass das neue Gesetz auch für ausländische Unternehmen, ohne eigenen Standort in der Schweiz gilt.Alle Unternehmen, die ausserhalb des eigenen Landes tätig sind, müssen unbedingt die Pflicht der lokalen Vertretung berücksichtigen. |
Bearbeitungs-grundsätze | Grundsätze: Rechtmässigkeit, Verhältnismässigkeit und Zweckbezogen, … [Art. 4] | Grundsätze: Rechtmässigkeit, Verhältnismässigkeit und Zweckbezogen,… [Art. 6] | Grundsätze: Rechtmässigkeit, Verhältnismässigkeit und Zweckbezogen, … [Art. 5 und 6] | Die Bearbeitungsgrundsätze sind allen Gesetzen in etwa identisch. Es sind somit keine neuen Massnahmen notwendig. |
Bearbeitungs-grundsätze | Daten müssen durch angemessene technische und organisatorische Maßnahmen geschützt sein [Art. 7]Detaillierung der Maßnahmen in VDSG [Art. 8 und 9] | Privacy by design und privacy by default [Art. 7] | Privacy by design und privacy by default [Art. 25] | Die bisherige knappe Formulierung wurde in der Verordnung präzisiert.Das neue DSG definiert nun ebenfalls die Pflicht zur «privacy by design» und «privacy by default». Im Detail ist die gesetzliche Vorgabe etwas moderater als die DSGVO. |
Bearbeitungs-grundsätze | Pflicht zur Führung eines Registers der Datensammlungen [Art. 11a] | Pflicht zur Führung eines Bearbeitungsregisters mit inhaltlichen Mindestanforderungen [Art. 12] | Pflicht zur Führung eines Verarbeitungsregister mit allen Tätigkeiten und mit inhaltlichen Mindestanforderungen [Art. 30] | Bisher galt nur die Pflicht eines Registers der Datensammlungen. Neu wird ein Bearbeitungsregister gefordert. Die inhaltlichen Mindestanforderungen sind in etwa identisch mit der DSGVO.Hier besteht Handlungsbedarf. |
Profiling | Begriff Persönlichkeitsprofile [Art. 3] | Begriff der bestimmbaren natürlichen Person. (a)Profiling wird als jede Art der automatisierten Bearbeitung definiert um Verhalten, Interessen, usw. analysieren oder vorhersagen zu können. (f)Als Profiling mit hohem Risiko gilt, wenn aus einer Einschätzung wesentliche Einschränkungen für die betroffene Personen resultieren. (g)[Art. 5] | Einwilligung notwendig für automatisches Profiling [Art. 22] | Das bestehende DSG kannte nur den Begriff der Persönlichkeitsprofile. Das heißt, wenn eine Person aufgrund verschiedener Merkmale eindeutig identifiziert werden konnte.Das Profiling, also die automatisierte Analyse und Beurteilung wurde erst im neuen DSG aufgenommen, wobei zwischen Profiling und Profiling mit hohem Risiko unterschieden wird. Die Definition ist allerdings noch etwas schwammig. Eine Informationspflicht besteht nur bei Profiling mit hohem Risiko.Diese Unterscheidung macht die DSGVO nicht. Jedoch wird eine Einwilligung verlangt.Sämtliche Analyseverfahren müssen hier überprüft und angepasst, oder sollten zumindest deklariert werden, um der Informationspflicht zu genügen. |
Definition besonders schützenswerter Daten | Definition besonders schützenswerter Daten:religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder TätigkeitenGesundheit, die Intimsphäre oder RassenzugehörigkeitMaßnahmen der sozialen Hilfeadministrative oder strafrechtliche Verfolgungen und Sanktionen[Art. 3c] | Definition besonders schützenswerter Daten:religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder TätigkeitenGesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethniegenetische Datenbiometrische Daten, die eine natürliche Person eindeutig identifizierenDaten über verwaltungs- und strafrechtliche Verfolgungen oder SanktionenDaten über Maßnahmen der sozialen Hilfe[Art. 5c] | Die Verarbeitung folgender Daten ist untersagt:Rassische und ethische HerkunftPolitische MeinungenReligiöse oder weltanschauliche ÜberzeugungenGewerkschaftszugehörigkeitGenetische oder biometrische DatenSexualleben oder sexuelle Orientierung[Art. 9 Abs. 1] | Das neue DSG hat genetische und biometrische Daten in den Katalog der besonders schützenswerten Daten aufgenommen.Die DSGVO kennt diesen Begriff nicht, jedoch verbietet Sie ausdrücklich die Verarbeitung dieser Daten, mit verschiedenen begründeten Ausnahmen. Die schweizerischen Gesetze verlangen nur einen entsprechenden Umgang. Durch den Verarbeitungsgrundsatz der Verhältnismäßigkeit kann die Verarbeitung untersagt werden. Beispielsweise sind Gesundheitsdaten für den Abschluss einer Krankenversicherung wichtig, jedoch nicht für eine Hausrats- oder Autoversicherung.Die Aufzählung von besonders schützenswerten Daten weicht von der DSGVO ab. |
Einwilligung, Informationspflicht | Informationspflicht beim beschaffen von besonders Schützenswerten Daten und Persönlichkeitsprofilen [Art. 14] | Informationspflicht gegenüber betroffenen Personen. Durch die vielen Ausnahmeregelungen kann von einer eingeschränkten Informationspflicht gesprochen werden. Keine Einwilligung notwendig. [Art. 19 und 20]Informationspflicht nur bei der Erhebung von besonders schützenswerten Daten.Keine Datenschutzerklärung notwendig. | Das neue DSG ist hier weniger streng als die DSGVO. Es gibt zwar eine Informationspflicht, eine Einwilligung zur Datenerhebung ist in der Schweiz nicht notwendig.Ebenso wenig verlangt das neue Gesetz eine Datenschutzerklärung, während die DSGVO diese vorschreibt und Mindestanforderungen an den Inhalt definiert.Wir empfehlen trotzdem eine Datenschutzerklärung, gemäß den Anforderungen der DSGVO zu erstellen. | |
AuskunftsrechVt | In der Regel schriftlich und kostenlos. Umfang wenig definiert. [Art. 89Innerhalb von 30 Tagen in Art. 1 VDSG. Auskunft ist auf Wunsch auch elektronisch möglich. [Art. 1 VDSD] | Kostenfreie schriftliche Auskunft innerhalb von 30 Tagen. Mindestinhalt ist definiert. [Art. 25] | Kostenlose detaillierte Auskunftspflicht auf Verlangen. [Art. 15] | Die Auskunft ist in der Regel kostenlos, innerhalb von 30 Tagen zu erstellen, wie bisher.Der Inhalt dieser Auskunft wurde klar definiert und erweitert.Der Auskunftsprozess sollte überprüft und angepasst werden. |
Verantwortlichkeiten (Rollen und Vertretungen) | Keine Rollen vorgeschrieben | keine Pflicht eines Datenschutzbeauftragten, jedoch empfohlen. [Art. 10]Vertretung in der Schweiz für Gesellschaften ohne Geschäftsstandort in der Schweiz. [Art. 14] | Datenschutzbeauftragter ist Pflicht, insbesondere wenn Art. 9 oder 10 erfüllt sind. [Art. 37]Vertretung in EU für Gesellschaften ohne Geschäftsstandort in der EU. [Art. 27] | Das neue DSG geht hier etwas weniger weit als die DSGVO. |
Data breach notifications | Keine Meldepflicht | Meldepflicht so rasch als möglich [Art. 24] | Meldepflicht innerhalb von 72 Stunden nach bekanntwerden. [Art. 33 und 34] | Neu wird eine Meldepflicht eingeführt, ähnlich der DSGVO. Das heißt, dass entsprechende Notfallpläne und Kommunikations- und Informationskonzepte erstellt werden müssen. |
Berufsgeheimnis | Beruflich Schweigepflicht nur für besonders schützenswerte Personendaten [Art. 35] | Berufliche Schweigepflicht [Art. 62] | Die bisherige Schweigepflicht für besonders schützenswerte Daten, wurde auf eine generell berufliche Schweigepflicht erweitert. Hier ist die schweizerische Gesetzgebung deutlich strenger als die DSGVO. | |
Strafe und Verjährungsfrist | Bußen bis CHF 10.000.- für verantwortliche Personen bei Vorsätzlichkeit [Art. 34] | Bußen bis CHF 250‘000.- für verantwortliche Personen, Verjährungsfrist 5 Jahre [Art. 60-66] | Bußen bis EUR 10/20 Mio. oder 2/4% des Jahresumsatzes für Unternehmen [Art. 83] | Die Bußen wurden deutlich erhöht und eine Verjährungsfrist definiert. Bisher halt die Strafbestimmung nur bei Vorsätzlichkeit.Die Schweiz bestraft verantwortliche Personen, im Gegensatz dazu gelten die Bußenbestimmungen der EU für verantwortliche Unternehmen. |
Die Tabelle ist als Orientierungshilfe gedacht, um erste Unterschiede zu erkennen und einen allfälligen Anpassungsaufwand im Unternehmen zu identifizieren. Ich empfehle jedoch, rechtzeitig ein Projektteam zu bilden, das die Auswirkungen des neuen Gesetzes auf das eigene Unternehmen analysiert und Maßnahmen umsetzt. Vermeiden sie die Wiederholung des Fehlers bei der Einführung der DSGVO. Hier haben viele Unternehmen erst kurz vor der Inkraftsetzung des Gesetzes am 25. Mai 2018 reagiert. Meistens zu spät.