Aktuelle Situation und Entwicklung
Datenschutz in der Schweiz
Der Artikel ist schon etwas älter. Seidem ist einiges passiert. Wir überarbeiten den Artikel derzeit.
Überblick in Stichpunkten
- Schweiz passt die datenschutzrechtlichen Regelungen an die Datenschutzgrundverordnung (DSGVO) an.
- Für Unternehmen in der Schweiz gilt die DSGVO, wenn sie ihre Angebote an natürliche Personen innerhalb der EU richten (vergl. Art. 3 DSGVO).
- Schweizer Unternehmen müssen daher in absehbarer Zeit ihre Prozesse usw. an den Datenschutzstandard der Europäischen Union angepassen (z.B. durch Etablierung eines Datenschutzmanagementsystems – DSMS).
- Die notwendigen Anpassungen sind anspruchsvoll und umfangreich. Es müssen z.B. Prozesse zur Sicherstellung der Erfüllung der rechtlichen Verpflichtungen (z.B. Auskunfts- und Informationspflichten bzw. ‑rechte für Kunden und Mitarbeiter) installiert werden.
- Es sind umfangreiche Dokumentationen und Prüfungen bzw. Audits notwendig (z.B. Verzeichnis aller Verarbeitungstätigkeiten, Datenschutzfolgenabschätzung, technische und organisatorische Maßnahmen).
- Im Falle von Verstößen können empfindliche Bußgelder verhängt werden. Zudem sind Schadensersatzforderungen der betroffenen Personen möglich (vergl. Art. 82 DSGVO).
- In Deutschland wird von Gerichten die Auffassung vertreten, dass Verstöße gegen datenschutzrechtliche Vorschriften zugleich einen Verstoß gegen wettbewerbsrechtliche Regelungen darstellen (z.B. gegen das Gesetz gegen den unlauteren Wettbewerb – UWG) mit der Folge, dass Unterlassungsansprüche, Auskunfts- und Schadensersatzansprüche des Wettbewerbers von diesem durchgesetzt werden können. Es bleibt abzuwarten, wie sich die Gerichte in der Schweiz auf der Grundlage des „Bundesgesetz gegen den unlauteren Wettbewerb (UWG) vom 19. Dezember 1986 (Stand am 1. Juli 2016) positionieren. Ggf. muss hier auch der EUGH entscheiden.
- Ein qualifizierter Datenschutzbeauftragter übernimmt die notwendigen Tätigkeiten der Anpassung. Er ist Ansprechpartner für das Unternehmen, die Mitarbeiter und Kunden für alle datenschutzrechtlichen Fragen. Soweit er zugelassener und in der Schweiz postulationsberechtigter Anwalt ist, kann und darf er individuell beraten und Verhandlungen mit Gerichten und Behörden führen.
Details — Aktueller Stand der Rechtslage
In der Schweiz ist das Datenschutzrecht derzeit im Bundesgesetz über den Datenschutz (DSG) vom 19.06.1992 (zuletzt geändert am 01.03.2019) und der Verordnung zum Bundesgesetz über den Datenschutz vom 14. Juni 1993 (Stand am 16. Oktober 2012) geregelt.
Das Datenschutzrecht in der Schweiz wird aktuell revidiert und der in Europa geltenden Datenschutzgrundverordnung angepasst.
Dieses ist notwendig, damit die Schweiz den Status des „Sicheren Drittlandes“ behält (vergl. Entscheidung der Kommission vom 26.07.2000, Aktenzeichen 2000/518/EG). Nach Art. 45 Abs. 9 DSGVO gelten diese sog. Angemessenheitsbeschlüsse (für die Schweiz seit 2000) solange fort, bis sie nicht aufgehoben oder geändert werden.
Derzeit prüft die Kommission alle Angemessenheitsbeschlüsse, die in der Vergangenheit ergangen sind (Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay und die USA (wenn der Empfänger dem Privacy Shield angehört).
Die Totalrevision des DSG wurde in zwei Teile aufgespalten. Im ersten Schritt wurden die Änderungen behandelt, die für die Übernahme des Schengen-Besitzstands erforderlich sind. Gestützt darauf wurde das „Bundesgesetz über die Umsetzung der Richtlinie (EU) 2016/680“ verabschiedet. Es ist am 1. März 2019 in Kraft getreten. Mit diesem Bundesgesetz wurde das Schengen-Datenschutzgesetz (SDSG) eingeführt und verschiedene Gesetze, welche im Bereich der Schengener Zusammenarbeit in Strafsachen anwendbar sind, angepasst (internationale Rechtshilfe in Strafsachen, Bundesamt für Polizei (fedpol), Bundesanwaltschaft usw.). Es soll im Zuge der Totalrevision des Datenschutzrechtes wieder aufgehoben werden.
Mit dem SDSG werden u.a. folgende Neuerungen eingeführt:
- genetische und biometrische Daten, die eine Person eindeutig identifizieren, werden als besonders schützenswerte Personendaten aufgeführt;
- Regelungen Profiling (vorher „Persönlichkeitsprofil“);
- Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen („privacy by design“ und „privacy by default“) sind als Grundsätze verankert;
- Regelungen zu automatisierten Einzelentscheidung;
- Durchführung von Datenschutz-Folgenabschätzungen und Konsultation des EDÖB;
- Meldung von Datenschutzverletzungen an den EDÖB;
- Verfügungen und (vorsorgliche) Maßnahmen des EDÖB.
Diese im SDSG enthaltenen Instrumente sind für die Totalrevision des Datenschutzrechts in der Schweiz vorgesehen, die zurzeit von den Räten behandelt wird.
Ziele der Totalrevision
Das neue Datenschutzrecht wird sich an den Zielen der DSGVO orientieren und auf dem DSG und dem SDSG aufbauen. Folgende Regelungsgegenstände werden enthalten sein:
- Regeln zur zulässigen Verarbeitung von personenbezogenen Daten
- Schutz von Grundrechten und Grundfreiheiten natürlicher Personen
- Schutz der Persönlichkeit der betroffenen natürlichen Person (Kunde, Mitarbeiter, Vertragspartner usw.) vor widerrechtlicher oder unverhältnismäßiger Bearbeitung von Personendaten
- Regelung der Verpflichtung zur Bestellung eines Datenschutzbeauftragten
- Verpflichtung zur Aus- und Fortbildung der mit der Verarbeitung personenbezogener Daten betrauten Beschäftigten zur Erhöhung der datenschutzrechtlichen Kompetenz
- Sicherstellung des Datenschutzes durch angemessene technische und organisatorische Maßnahmen
- Maßnahmen und Bußgelder der Aufsichtsbehörden
- Garantie der Rechte der betroffenen Personen (z.B. Auskunft, Löschung, Datenübertragbarkeit)
- Bußgelder und Strafen bei Verstößen gegen datenschutzrechtliche Bestimmungen
- …
Unsere Empfehlung
Wir empfehlen daher dringend die Umsetzung der datenschutzrechtlichen Standards der DSGVO, um angemessene und sicherer unternehmerische Prozesse zu etablieren und Pönalisierungen zu vermeiden.