Das noch aktuell g\u00fcltige Schweizer Datenschutzgesetz stammt aus dem Jahr 1992. Trotz verschiedener kleinerer Anpassungen entspricht es dem Grundgedanken vor drei\u00dfig Jahren. Durch technische und wirtschaftliche Ver\u00e4nderung ist es \u00fcberholt. Es umfasst nur gerade 39 Artikel, die in einer erg\u00e4nzenden Verordnung konkretisiert wurden. Diese umfasst nochmals 34 Artikel.<\/p>\n\n\n\n
Das Gesetz wurde komplett \u00fcberarbeitet, vom Parlament am 25. September 2020 angenommen und wird vermutlich 2022 in Kraft treten. Die Verordnung ist seit Juni in einem ersten Entwurf im Parlament.<\/p>\n\n\n\n
F\u00fcr viele Unternehmen stellt sich nun die Frage, was die Unterschiede zwischen dem alten und dem neuen Schweizer Datenschutzgesetz sind mit 74 Artikeln und welche Unterschiede es zur Europ\u00e4ischen Datenschutzgrundverordnung (DSGVO) mit 99 Artikeln gibt.<\/p>\n\n\n\n
Die Tabelle enth\u00e4lt einen vereinfachten Vergleich des aktuell g\u00fcltigen, dem neuen schweizerischen Datenschutzgesetz und der DSGVO. Vereinfacht deshalb, weil es bei fast jedem Artikel ein \u201eJa, aber \u2026\u201c gibt. Das \u201eAber\u201c bezieht sich auf verschiedene Ausnahmebestimmungen, beispielsweise m\u00fcssen beim Auskunftsrecht Journalisten ihre Quellen nicht bekannt geben. Diese Ausnahmen habe ich nicht ber\u00fccksichtigt, ebenso wenig alle Gesetzesartikel, die ausschlie\u00dflich f\u00fcr \u00f6ffentliche Verwaltung und Regierung gedacht sind und der Entwurf der Verordnung zum neuen Schweizer Datenschutzgesetz.<\/p>\n\n\n\n <\/p>\n\n\n\n Die Tabelle ist als Orientierungshilfe gedacht, um erste Unterschiede zu erkennen und einen allf\u00e4lligen Anpassungsaufwand im Unternehmen zu identifizieren. Ich empfehle jedoch, rechtzeitig ein Projektteam zu bilden, das die Auswirkungen des neuen Gesetzes auf das eigene Unternehmen analysiert und Ma\u00dfnahmen umsetzt. Vermeiden sie die Wiederholung des Fehlers bei der Einf\u00fchrung der DSGVO. Hier haben viele Unternehmen erst kurz vor der Inkraftsetzung des Gesetzes am 25. Mai 2018 reagiert. Meistens zu sp\u00e4t.<\/p>\n","protected":false},"excerpt":{"rendered":" Das noch aktuell g\u00fcltige Schweizer Datenschutzgesetz stammt aus dem Jahr 1992. Trotz verschiedener kleinerer Anpassungen entspricht es dem Grundgedanken vor drei\u00dfig Jahren. Durch technische und wirtschaftliche Ver\u00e4nderung ist es \u00fcberholt. Es umfasst nur gerade 39 Artikel, die in einer erg\u00e4nzenden Verordnung konkretisiert wurden. Diese umfasst nochmals 34 Artikel. Das Gesetz wurde komplett \u00fcberarbeitet, vom Parlament […]<\/p>\n","protected":false},"author":2,"featured_media":47321,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[48],"tags":[],"plus":[],"content_typ":[209],"layoutvorlage":[],"class_list":["post-24716","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenmanagement","content_typ-artikel"],"acf":[],"_links":{"self":[{"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/posts\/24716","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/comments?post=24716"}],"version-history":[{"count":0,"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/posts\/24716\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/media\/47321"}],"wp:attachment":[{"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/media?parent=24716"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/categories?post=24716"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/tags?post=24716"},{"taxonomy":"plus","embeddable":true,"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/plus?post=24716"},{"taxonomy":"content_typ","embeddable":true,"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/content_typ?post=24716"},{"taxonomy":"layoutvorlage","embeddable":true,"href":"https:\/\/barc.com\/de\/wp-json\/wp\/v2\/layoutvorlage?post=24716"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Topic<\/strong><\/td> DSG Schweiz 1992 (Revision 01.03.2019)<\/strong><\/td> Neues DSG Schweiz (Stand 25.09.2020)<\/strong><\/td> DSGVO (Stand 25.08.2018)<\/strong><\/td> Anmerkungen<\/strong><\/td><\/tr> Sachlicher Geltungsbereich<\/td> Nat\u00fcrliche und juristische Personen [Art. 2]<\/td> Nat\u00fcrliche Personen [Art. 1]<\/td> Nat\u00fcrliche Personen [Art. 1 und 2]<\/td> Juristische Personen sind zuk\u00fcnftig nicht mehr gesch\u00fctzt. Der Schutz gilt nur f\u00fcr nat\u00fcrliche, lebende Personen und ist somit identisch mit der DSGVO und weiteren Datenschutzgesetzen. Es m\u00fcssen keine zus\u00e4tzlichen Massnahmen umgesetzt werden.<\/td><\/tr> Geographischer Geltungsbereich<\/td> Standort-Prinzip<\/td> Standort-Prinzip und Marktort-Prinzip [Art. 3]<\/td> Standort-Prinzip und Marktort-Prinzip [Art. 3]<\/td> Der geographische Geltungsbereich wurde um das Marktort-Prinzip erweitert, identisch mit der DSGVO. Das bedeutet, dass das neue Gesetz auch f\u00fcr ausl\u00e4ndische Unternehmen, ohne eigenen Standort in der Schweiz gilt.Alle Unternehmen, die ausserhalb des eigenen Landes t\u00e4tig sind, m\u00fcssen unbedingt die Pflicht der lokalen Vertretung ber\u00fccksichtigen.<\/td><\/tr> Bearbeitungs-grunds\u00e4tze<\/td> Grunds\u00e4tze: Rechtm\u00e4ssigkeit, Verh\u00e4ltnism\u00e4ssigkeit und Zweckbezogen, \u2026 [Art. 4]<\/td> Grunds\u00e4tze: Rechtm\u00e4ssigkeit, Verh\u00e4ltnism\u00e4ssigkeit und Zweckbezogen,… [Art. 6]<\/td> Grunds\u00e4tze: Rechtm\u00e4ssigkeit, Verh\u00e4ltnism\u00e4ssigkeit und Zweckbezogen, \u2026 [Art. 5 und 6]<\/td> Die Bearbeitungsgrunds\u00e4tze sind allen Gesetzen in etwa identisch. Es sind somit keine neuen Massnahmen notwendig.<\/td><\/tr> Bearbeitungs-grunds\u00e4tze<\/td> Daten m\u00fcssen durch angemessene technische und organisatorische Ma\u00dfnahmen gesch\u00fctzt sein [Art. 7]Detaillierung der Ma\u00dfnahmen in VDSG [Art. 8 und 9]<\/td> Privacy by design und privacy by default [Art. 7]<\/td> Privacy by design und privacy by default [Art. 25]<\/td> Die bisherige knappe Formulierung wurde in der Verordnung pr\u00e4zisiert.Das neue DSG definiert nun ebenfalls die Pflicht zur \u00abprivacy by design\u00bb und \u00abprivacy by default\u00bb. Im Detail ist die gesetzliche Vorgabe etwas moderater als die DSGVO.<\/td><\/tr> Bearbeitungs-grunds\u00e4tze<\/td> Pflicht zur F\u00fchrung eines Registers der Datensammlungen [Art. 11a]<\/td> Pflicht zur F\u00fchrung eines Bearbeitungsregisters mit inhaltlichen Mindestanforderungen [Art. 12]<\/td> Pflicht zur F\u00fchrung eines Verarbeitungsregister mit allen T\u00e4tigkeiten und mit inhaltlichen Mindestanforderungen [Art. 30]<\/td> Bisher galt nur die Pflicht eines Registers der Datensammlungen. Neu wird ein Bearbeitungsregister gefordert. Die inhaltlichen Mindestanforderungen sind in etwa identisch mit der DSGVO.Hier besteht Handlungsbedarf.<\/td><\/tr> Profiling<\/td> Begriff Pers\u00f6nlichkeitsprofile [Art. 3]<\/td> Begriff der bestimmbaren nat\u00fcrlichen Person. (a)Profiling wird als jede Art der automatisierten Bearbeitung definiert um Verhalten, Interessen, usw. analysieren oder vorhersagen zu k\u00f6nnen. (f)Als Profiling mit hohem Risiko gilt, wenn aus einer Einsch\u00e4tzung wesentliche Einschr\u00e4nkungen f\u00fcr die betroffene Personen resultieren. (g)[Art. 5]<\/td> Einwilligung notwendig f\u00fcr automatisches Profiling [Art. 22]<\/td> Das bestehende DSG kannte nur den Begriff der Pers\u00f6nlichkeitsprofile. Das hei\u00dft, wenn eine Person aufgrund verschiedener Merkmale eindeutig identifiziert werden konnte.Das Profiling, also die automatisierte Analyse und Beurteilung wurde erst im neuen DSG aufgenommen, wobei zwischen Profiling und Profiling mit hohem Risiko unterschieden wird. Die Definition ist allerdings noch etwas schwammig. Eine Informationspflicht besteht nur bei Profiling mit hohem Risiko.Diese Unterscheidung macht die DSGVO nicht. Jedoch wird eine Einwilligung verlangt.S\u00e4mtliche Analyseverfahren m\u00fcssen hier \u00fcberpr\u00fcft und angepasst, oder sollten zumindest deklariert werden, um der Informationspflicht zu gen\u00fcgen.<\/td><\/tr> Definition besonders sch\u00fctzenswerter Daten<\/td> Definition besonders sch\u00fctzenswerter Daten:religi\u00f6se, weltanschauliche, politische oder gewerkschaftliche Ansichten oder T\u00e4tigkeitenGesundheit, die Intimsph\u00e4re oder Rassenzugeh\u00f6rigkeitMa\u00dfnahmen der sozialen Hilfeadministrative oder strafrechtliche Verfolgungen und Sanktionen[Art. 3c]<\/td> Definition besonders sch\u00fctzenswerter Daten:religi\u00f6se, weltanschauliche, politische oder gewerkschaftliche Ansichten oder T\u00e4tigkeitenGesundheit, die Intimsph\u00e4re oder die Zugeh\u00f6rigkeit zu einer Rasse oder Ethniegenetische Datenbiometrische Daten, die eine nat\u00fcrliche Person eindeutig identifizierenDaten \u00fcber verwaltungs- und strafrechtliche Verfolgungen oder SanktionenDaten \u00fcber Ma\u00dfnahmen der sozialen Hilfe[Art. 5c]<\/td> Die Verarbeitung folgender Daten ist untersagt:Rassische und ethische HerkunftPolitische MeinungenReligi\u00f6se oder weltanschauliche \u00dcberzeugungenGewerkschaftszugeh\u00f6rigkeitGenetische oder biometrische DatenSexualleben oder sexuelle Orientierung[Art. 9 Abs. 1]<\/td> Das neue DSG hat genetische und biometrische Daten in den Katalog der besonders sch\u00fctzenswerten Daten aufgenommen.Die DSGVO kennt diesen Begriff nicht, jedoch verbietet Sie ausdr\u00fccklich die Verarbeitung dieser Daten, mit verschiedenen begr\u00fcndeten Ausnahmen. Die schweizerischen Gesetze verlangen nur einen entsprechenden Umgang. Durch den Verarbeitungsgrundsatz der Verh\u00e4ltnism\u00e4\u00dfigkeit kann die Verarbeitung untersagt werden. Beispielsweise sind Gesundheitsdaten f\u00fcr den Abschluss einer Krankenversicherung wichtig, jedoch nicht f\u00fcr eine Hausrats- oder Autoversicherung.Die Aufz\u00e4hlung von besonders sch\u00fctzenswerten Daten weicht von der DSGVO ab.<\/td><\/tr> Einwilligung, Informationspflicht<\/td> Informationspflicht beim beschaffen von besonders Sch\u00fctzenswerten Daten und Pers\u00f6nlichkeitsprofilen [Art. 14]<\/td> Informationspflicht gegen\u00fcber betroffenen Personen. Durch die vielen Ausnahmeregelungen kann von einer eingeschr\u00e4nkten Informationspflicht gesprochen werden. Keine Einwilligung notwendig. [Art. 19 und 20]Informationspflicht nur bei der Erhebung von besonders sch\u00fctzenswerten Daten.Keine Datenschutzerkl\u00e4rung notwendig.<\/td> Das neue DSG ist hier weniger streng als die DSGVO. Es gibt zwar eine Informationspflicht, eine Einwilligung zur Datenerhebung ist in der Schweiz nicht notwendig.Ebenso wenig verlangt das neue Gesetz eine Datenschutzerkl\u00e4rung, w\u00e4hrend die DSGVO diese vorschreibt und Mindestanforderungen an den Inhalt definiert.Wir empfehlen trotzdem eine Datenschutzerkl\u00e4rung, gem\u00e4\u00df den Anforderungen der DSGVO zu erstellen.<\/td> <\/td><\/tr> AuskunftsrechVt<\/td> In der Regel schriftlich und kostenlos. Umfang wenig definiert. [Art. 89Innerhalb von 30 Tagen in Art. 1 VDSG. Auskunft ist auf Wunsch auch elektronisch m\u00f6glich. [Art. 1 VDSD]<\/td> Kostenfreie schriftliche Auskunft innerhalb von 30 Tagen. Mindestinhalt ist definiert. [Art. 25]<\/td> Kostenlose detaillierte Auskunftspflicht auf Verlangen. [Art. 15]<\/td> Die Auskunft ist in der Regel kostenlos, innerhalb von 30 Tagen zu erstellen, wie bisher.Der Inhalt dieser Auskunft wurde klar definiert und erweitert.Der Auskunftsprozess sollte \u00fcberpr\u00fcft und angepasst werden.<\/td><\/tr> Verantwortlichkeiten (Rollen und Vertretungen)<\/td> Keine Rollen vorgeschrieben<\/td> keine Pflicht eines Datenschutzbeauftragten, jedoch empfohlen. [Art. 10]Vertretung in der Schweiz f\u00fcr Gesellschaften ohne Gesch\u00e4ftsstandort in der Schweiz. [Art. 14]<\/td> Datenschutzbeauftragter ist Pflicht, insbesondere wenn Art. 9 oder 10 erf\u00fcllt sind. [Art. 37]Vertretung in EU f\u00fcr Gesellschaften ohne Gesch\u00e4ftsstandort in der EU. [Art. 27]<\/td> Das neue DSG geht hier etwas weniger weit als die DSGVO.<\/td><\/tr> Data breach notifications<\/td> Keine Meldepflicht<\/td> Meldepflicht so rasch als m\u00f6glich [Art. 24]<\/td> Meldepflicht innerhalb von 72 Stunden nach bekanntwerden. [Art. 33 und 34]<\/td> Neu wird eine Meldepflicht eingef\u00fchrt, \u00e4hnlich der DSGVO. Das hei\u00dft, dass entsprechende Notfallpl\u00e4ne und Kommunikations- und Informationskonzepte erstellt werden m\u00fcssen.<\/td><\/tr> Berufsgeheimnis<\/td> Beruflich Schweigepflicht nur f\u00fcr besonders sch\u00fctzenswerte Personendaten [Art. 35]<\/td> Berufliche Schweigepflicht [Art. 62]<\/td> <\/td> Die bisherige Schweigepflicht f\u00fcr besonders sch\u00fctzenswerte Daten, wurde auf eine generell berufliche Schweigepflicht erweitert. Hier ist die schweizerische Gesetzgebung deutlich strenger als die DSGVO.<\/td><\/tr> Strafe und Verj\u00e4hrungsfrist<\/td> Bu\u00dfen bis CHF 10.000.- f\u00fcr verantwortliche Personen bei Vors\u00e4tzlichkeit [Art. 34]<\/td> Bu\u00dfen bis CHF 250\u2018000.- f\u00fcr verantwortliche Personen, Verj\u00e4hrungsfrist 5 Jahre [Art. 60-66]<\/td> Bu\u00dfen bis EUR 10\/20 Mio. oder 2\/4% des Jahresumsatzes f\u00fcr Unternehmen [Art. 83]<\/td> Die Bu\u00dfen wurden deutlich erh\u00f6ht und eine Verj\u00e4hrungsfrist definiert. Bisher halt die Strafbestimmung nur bei Vors\u00e4tzlichkeit.Die Schweiz bestraft verantwortliche Personen, im Gegensatz dazu gelten die Bu\u00dfenbestimmungen der EU f\u00fcr verantwortliche Unternehmen.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n