Externer Datenschutzbeauftragter Schweiz

Im Vergleich zur DSGVO ist das Schweizer DSG weniger detailliert und streng. Es besteht keine Verpflichtung zur Angabe genauer rechtlicher Grundlagen für die Datenverarbeitung und die möglichen Strafen sind geringer. Ein wesentlicher Unterschied liegt im Regelungsprinzip: Während in der EU grundsätzlich eine Verbotsregelung für die Verarbeitung personenbezogener Daten gilt, ist diese unter bestimmten Bedingungen in der Schweiz erlaubt.

Die folgende Übersicht zeigt die Unterschiede des nDSG und entsprechenden Handlungsbedarf:

Die Bestellung eines Datenschutzbeauftragten (DSB) oder Datenschutzberater ist in der Schweiz, mit Ausnahme von Bundesorganen, immer freiwillig. Im Gegensatz zu den strengeren EU-Anforderungen gibt es hier keine Verpflichtung dazu. Dennoch kann die Beauftragung für schweizerische Unternehmen von großem Nutzen sein:

• Expertise und Fachwissen: Ein externer DSB bringt spezifisches Fachwissen und Erfahrung mit sich, was bei der Einhaltung der Datenschutzbestimmungen von Vorteil ist.
• Mobilität: Da ein externer DSB nicht direkt im Unternehmen angestellt ist, agiert er unvoreingenommen und objektiv ohne interne Interessenkonflikte.
• Ökonomische Aspekte: Die Beauftragung eines externen DSB ist oftmals kostengünstiger als die Ausbildung und das Gehalt eines internen Mitarbeiters für diese Position.
• Flexibilität: Ein externe DSB kann flexibel auf die individuellen Bedürfnisse und Anforderungen des Unternehmens reagieren sowie maßgeschneiderte Lösungen anbieten.

Unternehmen, die bereits die DSGVO umgesetzt haben, müssen nur kleine Anpassungen vornehmen, um den Bestimmungen des SDSG zu entsprechen. Es ist erforderlich, ihre Datenschutzerklärung an schweizerische Begriffe anzupassen und gegebenenfalls ihre Richtlinien zu aktualisieren sowie eine Ansprechperson in der Schweiz zu benennen.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat hierbei die oberste Aufsichtsfunktion. Bei diesen Prozessen kann ein externer Datenschutzbeauftragter für die Schweiz unterstützend tätig sein.

keine zeitliche Verzögerung

keine Ausbildung eigener Mitarbeiter nötig

fachkundiges Wissen durch Praxiserfahrung

flexible Vertragslaufzeit

rechtliches Risiko bei externem Auftragnehmer

unternehmensrelevante Informationen immer auf dem aktuellen Stand

Wenn ein Verantwortlicher mit Sitz im Ausland personenbezogene Daten von Personen in der Schweiz verarbeitet und dies im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens dieser Personen steht, muss eine Vertretung in der Schweiz benannt werden (Art. 14 DSG). Ebenso ist es erforderlich, eine Vertretung zu benennen, wenn die Datenverarbeitung umfangreich oder regelmäßig in der Schweiz erfolgt oder ein hohes Risiko für die Persönlichkeit der betroffenen Personen besteht.

Gemäß der DSGVO ist auch ein schweizerisches Unternehmen dazu verpflichtet, einen Vertreter in der EU zu benennen, wenn das Unternehmen Daten von Personen verarbeitet, die sich in Europa befinden und entweder Waren oder Dienstleistungen angeboten bekommen oder deren Verhalten beobachtet wird.

Die Prinzipien, die in Artikel 6 des Schweizer Datenschutzgesetzes (DSG) genannt werden, sind vergleichbar mit denen des Artikels 5 der Datenschutz-Grundverordnung (DSGVO). Das DSG nennt die Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Zweckbindung, Speicherbegrenzung und Richtigkeit und folgt einem risikobasierten Ansatz wie die DSGVO.

Gemäß Artikel 6 DSG müssen personenbezogene Daten rechtmäßig verarbeitet werden. Im Gegensatz zur DSGVO ist im DSG grundsätzlich jede Datenverarbeitung erlaubt und bedarf keiner Erlaubnis oder Einwilligung. Jedoch legt das Schweizer Datenschutzgesetz strenge Anforderungen an die Verarbeitung personenbezogener Daten fest. Insbesondere darf keine widerrechtliche Persönlichkeitsverletzung durch die Datenverarbeitung erfolgen (Artikel 30 DSG). Eine Persönlichkeitsverletzung tritt beispielsweise auf, wenn gegen datenschutzrechtliche Grundprinzipien wie Zweckbindung, Speicherbegrenzung, Datensicherheit oder Richtigkeit verstoßen wird. Eine Persönlichkeitsverletzung ist dann unrechtmäßig, wenn sie nicht durch Einwilligung der betroffenen Person legitimiert ist oder ein überwiegendes privates oder öffentliches Interesse besteht bzw. diese gesetzlich gerechtfertigt ist (Artikel 31 DSG). Durch diese Bestimmungen wird der offene Ansatz erheblich eingeschränkt und demjenigen ähnlicher gemacht, den die DSGVO bei jeder Verarbeitung personenbezogener Daten erfordert (Artikel 6 DSGVO). Es kann davon ausgegangen werden, dass eine rechtmäßige Datenverarbeitung gemäß der DSGVO auch die Kriterien des DSG erfüllen wird.

Gemäß dem Datenschutzgesetz (DSG) müssen der Verantwortliche und der Auftragsbearbeiter ein "Verzeichnis der Bearbeitungstätigkeiten" erstellen (Art. 12 DSG). Dieses Verzeichnis ähnelt dem Verarbeitungsverzeichnis gemäß der Datenschutz-Grundverordnung (DSGVO). Das Bearbeitungsverzeichnis sollte mindestens folgende Informationen enthalten:

• Identität des Verantwortlichen
• Zweck der Bearbeitung
• Beschreibung von betroffenen Personenkategorien und bearbeiteten Personendatenkategorien
• Kategorien von Empfängern
• Falls möglich, Aufbewahrungsdauer für die personenbezogenen Daten oder Kriterien zur Festlegung dieser Dauer
• Falls möglich, allgemeine Beschreibung von Maßnahmen zur Gewährleistung der Datensicherheit (geeignete technische und organisatorische Maßnahmen zur Vermeidung von Sicherheitsverletzungen)
• Angabe des Landes sowie Garantien für einen angemessenen Datenschutz, falls die Daten ins Ausland übermittelt werden.

Unternehmen mit weniger als 250 Mitarbeitern und geringem Risiko für betroffene Personen sind von dieser Pflicht befreit.

Die Bestimmungen zur Datenschutz-Folgeabschätzung (DSFA) und zur Konsultation des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ähneln ebenso im Wesentlichen denen der Datenschutz-Grundverordnung (DSGVO).

Verantwortliche sind verpflichtet, eine DSFA durchzuführen, wenn die Datenverarbeitung ein erhebliches Risiko für die Persönlichkeitsrechte oder Grundfreiheiten einer Person darstellt. Ein solches hohes Risiko kann sich aus verschiedenen Faktoren wie Art, Umfang, Umständen und Zweck der Verarbeitung ergeben, insbesondere bei Einsatz neuer Technologien. Im Rahmen der DSFA müssen sowohl die geplante Datenverarbeitung als auch die damit verbundenen Risiken für die betroffenen Personen beschrieben werden. Zudem sind Maßnahmen zum Schutz dieser Rechte aufzuzeigen.

Falls trotz der vorgesehenen Schutzmaßnahmen ein hohes Restrisiko bei der geplanten Datenverarbeitung besteht, muss eine Stellungnahme vom EDÖB eingeholt werden. Eine Ausnahme hiervon besteht jedoch dann, wenn ein Verantwortlicher stattdessen einen externen Datenschutzberater konsultiert hat.

Die Auskunft kann über die spezifischen Anforderungen der DSGVO hinausgehen, da vorgeschrieben ist, dass die betroffene Person "diejenigen Informationen erhält, die erforderlich sind, um ihre Rechte gemäß diesem Gesetz geltend zu machen und eine transparente Datenverarbeitung sicherzustellen". Während die DSGVO den Informationsumfang abschließend regelt, bleibt offen, welche zusätzlichen spezifischen Informationen notwendig sein können, um die Transparenz zu gewährleisten. Außerdem gibt es ein neues Betroffenenrecht auf Datenübertragbarkeit, ähnlich wie in der DSGVO.

Jede Verletzungen der Datensicherheit muss unverzüglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden, wie es in Artikel 24 des Datenschutzgesetzes vorgesehen ist. Um dies zu gewährleisten, sollten Unternehmen geeignete Prozesse etablieren, sofern sie dies noch nicht getan haben.

Im Gegensatz zur DSGVO gibt es jedoch keine strikte Frist von 72 Stunden für die Meldung solcher Vorfälle. Eine Benachrichtigung muss nur erfolgen, wenn ein erhebliches Risiko festgestellt wurde.

Die Grundsätze des Datenschutzes durch Technik und datenschutzfreundlicher Standardeinstellungen (Privacy by design/default), die mit der DSGVO in das EU-Recht aufgenommen wurden, werden nun auch im DSG verankert (Art. 7 DSG). Es ist erforderlich, dass bereits bei der Planung technischer Datenverarbeitungsprozesse eine Begrenzung auf ein Minimum erfolgt.

Um sicherzustellen, dass die Datenverarbeitung geschützt ist, sind der Verantwortliche und der Auftragsbearbeiter dazu verpflichtet, angemessene technische und organisatorische Maßnahmen (TOM) zu ergreifen (Art. 8 DSG). Diese Maßnahmen werden in Artikel 3 der Datenschutzverordnung genauer beschrieben und umfassen verschiedene Schutzbereiche, die auch aus der DSGVO bekannt sind.

Der Begriff "Auftragsbearbeiter" wird eingeführt, um ausgelagerte Datenverarbeitungen zu beschreiben. Dies entspricht dem Auftragsverarbeiter in der DSGVO, jedoch sind die Anforderungen geringer.

Gemäß Artikel 9 der DSG ist eine gesetzliche oder vertragliche Grundlage erforderlich, um eine Bearbeitung an einen Auftragsverarbeiter zu übertragen. Im Gegensatz zum Artikel 28 Absatz 3 der DSGVO werden keine weiteren inhaltlichen Anforderungen an die Vereinbarung zwischen Verantwortlichem und Auftragsbearbeiter gestellt. Die Auslagerung ist zulässig, solange die Daten so verarbeitet werden wie vom Verantwortlichen erlaubt und es keinen rechtlichen oder vertraglichen Grund gibt, der den Datenaustausch verbietet. Unterauftragnehmer dürfen nur mit Zustimmung des ursprünglichen Verantwortlichen eingesetzt werden.

Es wird explizit klargestellt, dass sich der Auftragsverarbeiter auf dieselben Rechtfertigungsgründe wie der Verantwortliche berufen kann.

Die Regelungen bezüglich der Übertragung von Daten ins Ausland sind in den Artikeln 16 bis 18 des Datenschutzgesetzes (DSG) zu finden.

Wenn das Bundesratsgremium ein angemessenes Schutzniveau im Empfängerland oder bei der internationalen Organisation festgestellt hat, ist eine Übertragung ins Ausland möglich. Eine Liste mit Staaten, Gebieten, spezifischen Sektoren innerhalb eines Landes und internationalen Organen, die ein angemessenes Datenschutzniveau haben, wird als Anhang 1 der Datenschutzverordnung aufgeführt.

Falls keine Entscheidung vom Bundesrat vorliegt, können auch Standarddatenschutzklauseln verwendet werden oder Vertragsklauseln genutzt werden, die vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) genehmigt wurden. Der EDÖB veröffentlicht eine Liste mit solchen Klauseln. Darin enthalten sind auch EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländern; möglicherweise müssen diese jedoch angepasst werden. Weitere Informationen dazu finden Sie auf der Website des EDÖB.

Im Datenschutzgesetz (DSG) wird in Artikel 10 die Rolle eines Datenschutzberaters definiert, dessen Aufgaben denen des Datenschutzbeauftragten gemäß der DSGVO ähneln. Diese umfassen Beratung, Schulung und Unterstützung bei der Anwendung von Vorschriften. Der Datenschutzberater muss unabhängig handeln und darf keine Interessenkonflikte haben.

Im DSG besteht keine Verpflichtung zur Benennung eines Datenschutzberaters, jedoch kann die Benennung beispielsweise bei einer Datenverarbeitung mit hohem Risiko für die Persönlichkeitsrechte oder Grundrechte betroffener Personen zu Erleichterungen führen. In solchen Fällen kann anstelle des Schweizer Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ein benannter Datenschutzberater konsultiert werden, um geeignete Maßnahmen zur Kompensation hoher Risiken zu erarbeiten.

Die Rechte eines Datenschutzberaters finden sich auch in der Datenschutzverordnung wieder und beinhalten das Recht auf ausreichende Ressourcen sowie den Zugang zu allen erforderlichen Dokumenten zur Erfüllung seiner Aufgaben. Zudem hat er Anspruch auf direkten Kontakt zur obersten Leitungsebene eines Unternehmens für wichtige Angelegenheiten.

Team

Frank Müns

Dipl. Wirtschaftsingenieur

Gemeinsam mit meinem Team stehe ich Ihnen bei allen Fragen rund um Datenschutz und IT-Sicherheit zur Seite.

• Datenschutzbeauftragter TÜV Nord
• Datenschutzauditor TÜV Rheinland
• IT Securiy Auditor TÜV Rheinland
• IT Grundschutz Praktiker Firebrand
• IT Risk Manager Bitkom
• Beauftragter nach HinSchG

Klicken um zu vergrößern

Erika Hagspiel

Zertifizierte Datenschutzbeauftragte

Als zertifizierte Datenschutzbeauftragte und Steuerfachangestellte unterstützt Erika Hagspiel Frank Müns bei allen Kundenprojekten rund um Datenschutzfragen.

• Datenschutzbeauftragte TÜV Rheinland
• Hinweisgeberbeauftragte

Klicken um zu vergrößern

Bei Verstößen gegen die Vorschriften des DSG besteht die Gefahr, dass eine Person dazu verpflichtet wird, eine Geldstrafe von bis zu 250.000 CHF zu zahlen. Die Verjährungsfrist beträgt dabei 5 Jahre. Im Gegensatz zur DSGVO ist diese Sanktion nicht auf das Unternehmen als solches beschränkt, sondern gilt explizit für die verantwortliche natürliche Person.

Dadurch ergibt sich ein hohes persönliches Risiko für diese Person. Nur in Fällen, in denen höchstens eine Strafe von 50.000 CHF infrage kommt und es unverhältnismäßig wäre, den Täter innerhalb des Geschäftsbetriebs ausfindig zu machen, kann auch das Unternehmen anstatt der natürlichen Person zur Zahlung der Strafe verurteilt werden (Artikel 64 DSG).

Eine Besonderheit stellt das sogenannte "kleine Berufsgeheimnis" gemäß Artikel 62 DSG dar. Gemäß dieser Regelung kann vorsätzliche Offenbarung geheimer personenbezogener Daten mit einer Geldstrafe von bis zu 250.000 Franken belegt werden - selbst dann, wenn diese erst nach Beendigung der beruflichen Tätigkeit offenbart wurden. Jede Person unterliegt der Schweigepflicht, sobald sie im Rahmen ihrer beruflichen Tätigkeit Kenntnis von geheimen personenbezogenen Daten erlangt hat. Eine so strenge Regelung existiert weder in der DSGVO noch im deutschen Recht."

Das überarbeitete Datenschutzgesetz (DSG) und seine begleitenden Vorschriften, insbesondere die Datenschutzverordnung, stellen ein zeitgemäßes Datenschutzrecht für die Schweiz dar.

Die Anforderungen an private Unternehmen ähneln weitgehend denen der DSGVO, sind jedoch nicht identisch. Wenn Sie auf dem schweizerischen Markt tätig sind, sollten Sie sich daher mit den spezifischen Bestimmungen des schweizerischen Datenschutzrechts vertraut machen und entsprechende Maßnahmen zur Umsetzung ergreifen.