Veröffentlicht von:

Rechtsanwalt Dr. Marc Maisch

Datenschutz in der Schweiz: Wie Geschäftsführer mit ihrem Privatvermögen haften (ein ziemlicher Hammer!)

26.02.2024
7 Minuten Lesezeit

Das neue Datenschutzrecht der Schweiz 2023

Die Schweiz hat am 1. September 2023 eine Neufassung des Schweizer Bundesgesetzes über Datenschutz (DSG) und der Datenschutzverordnung (DSV) erlassen. Es weist zwar grundlegende Ähnlichkeiten zur Datenschutz-Grundverordnung der Europäischen Union (DSGVO) auf, beinhaltet aber auch individuelle Besonderheiten, u.a. dass Geschäftsführer und Angestellte als natürliche Personen haften können. In Anbetracht dieses Datenschutz-Hammers ist es sehr erstaunlich, dass bisher nicht mehr über das DSG Schweiz veröffentlicht wurde.

Das Gesetz betrifft Datenschutzsachverhalte, die grundsätzlich Auswirkungen in der Schweiz haben, auch wenn sie im Ausland veranlasst wurden. Dies stellt ähnlich wie in der DSGVO das Marktortprinzip dar, bei der die Ausrichtung der Datenverarbeitung relevant ist. Somit ist es also auch für EU-Unternehmen relevant, die die Daten von Schweizern verarbeiten. Dieser Beitrag soll einen kurzen Überblick vermitteln.

DSG Schweiz: Der Vertreter für ausländische Unternehmen

Es wird vorgeschrieben, dass eine Vertretung in der Schweiz zu ernennen ist, wenn bei der Datenverarbeitung durch einen Verantwortlichen mit ausländischem Sitz, personenbezogene Daten in der Schweiz verarbeitet und die Datenverarbeitung im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz steht (Art. 14 DSG). Diese Pflicht besteht auch, wenn die Datenverarbeitung in der Schweiz umfangreich oder regelmäßig stattfindet oder ein hohes Risiko für die Persönlichkeit der betroffenen Personen besteht.

Im umgekehrten Fall verpflichtet die DSGVO Schweizer Unternehmen dazu, einen Vertreter in der EU zu benennen, wenn das Unternehmen Daten von Personen verarbeitet, die sich in der Union befinden und ihnen entweder Waren oder Dienstleistungen angeboten werden oder das Verhalten beobachtet wird.

DSG Schweiz: Grundprinzipien bei der Datenbearbeitung

Die Grundprinzipien des DSG sind mit dem risikobasierten Ansatz der DSGVO zu vergleichen und umfasst Rechtmäßigkeit, Zweckbindung, Speicherbegrenzung, Verarbeitung nach Treu und Glauben und Richtigkeit. Im Unterschied zur DSGVO ist im DSG die Datenbearbeitung grundsätzlich erlaubt. Es bedarf also keiner zusätzlichen Erlaubnis oder Einwilligung, jedoch werden sehr strenge Anforderungen an die Verarbeitung personenbezogener Daten gestellt.

Beispielsweise darf die Datenbearbeitung nicht die Persönlichkeit der betroffenen Person widerrechtlich verletzen (Art. 30 DSG). Eine solche Verletzung liegt dann vor, wenn gegen eine der zuvor genannten Grundprinzipien verstoßen wird. Sie ist dann widerrechtlich, wenn sie weder durch Einwilligung der betroffenen Person, noch durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist (Art. 31 DSG).

Der offene Ansatz der DSG wird erheblich eingeschränkt und nähert sich insofern der DSGVO, die eine Rechtsgrundlage bei jeder Bearbeitung personenbezogener Daten erfordert (Art. 6 DSGVO). Es wird aber angenommen, dass eine, nach den Kriterien der DSGVO rechtmäßigen Datenverarbeitung, die Anforderungen des DSG erfüllen.

Die durch die DSGVO eingeführten Prinzipien Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen werden im DSG übernommen (Art. 7 DSG).

DSG Schweiz: Datenschutzerklärung: Zum Umfang der Informationspflichten

Der Verantwortliche für die Verarbeitung personenbezogener Daten ist gem. des DSG stets verpflichtet die betroffene Person darüber zu informieren (Art. 19 DSG). Der Katalog mitzuteilender Informationen ist im Unterschied zur DSGVO nicht abschließend formuliert, jedoch muss der Verantwortliche immer seine Identität, seine Kontaktdaten, den Verarbeitungszweck und die Empfänger der Daten offenbaren. Die betroffene Person muss derart informiert werden, dass sie ihre Recht nach dem DSG geltend machen kann und eine transparente Datenverarbeitung gesichert ist.

Auch in der DSGVO wird auf eine transparente Datenverarbeitung wertgelegt. Dabei dient die Informationspflicht, die in Art. 13 und 14 DSGVO festgehalten ist, zur Orientierung des Umfangs der Informationen im DSG. Zusätzlich zu diesen Auskünften müssen aber auch sämtliche Empfängerstaaten und die möglicherweise genutzten Garantien angegeben werden, wenn die Daten ins Ausland übermittelt werden sollten.

Das DSG beinhält zudem einen Katalog von Ausnahmetatbeständen, bei denen die Informationspflicht entfällt. Als Beispiel müssen keine Informationen angegeben werden, wenn die Datenverarbeitung gesetzlich vorgesehen ist oder überwiegende Interessen des Verantwortlichen oder Dritter dies erfordern.

DSG Schweiz: Pflicht der Führung eines Verzeichnisses der Bearbeitungstätigkeiten

Das DSG erfordert ähnlich wie die DSGVO mit ihrem „Verzeichnis der Verarbeitungstätigkeiten“ von dem Verantwortlichen und den Auftragsbearbeitern die Erstellung eines „Verzeichnisses der Bearbeitungstätigkeiten“ (Art. 12 DSG). Dieses muss mindestens folgende Angaben beinhalten:

Die Identität des Verantwortlichen
Der Bearbeitungszweck
Die Beschreibung der Kategorien betroffener Personen und der bearbeiteten Personendaten
Die Kategorien der Empfänger:innen
Ggf. die Aufbewahrungsdauer der Personendaten oder Kriterien zur Feststellung der Dauer
Allg. Beschreibung der Maßnahmen der Gewährleistung der Datensicherheit (technische und organisatorische Maßnahmen)
Falls die Daten ins Ausland bekanntgegeben werden, muss der Staat sowie die Garantien, durch die ein geeigneter Datenschutz gewährleistet wird, angegeben werden

Unternehmen die weniger als 250 Angestellte beschäftigen und deren Datenverarbeitung nur ein geringes Risiko für die betroffenen Personen darstellt, sind von der Pflicht der Führung eines solchen Verzeichnisses befreit.

Sowohl für die Beratung in der DSGVO, als auch im DSG Schweiz vertrauen wir dem Datenschutzmanagement-Tool "DSM-Online", die diese Software auch für den Schweizer Markt bereitgestellt haben.

DSG Schweiz: Die Datenschutz-Folgenabschätzung

Die in der DSG festgehaltenen Regelungen der Datenschutz Folgenabschätzung (DSFA) und zur Konsultation des Eidgenössischem Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), gleichen denen der DSGVO.

Sie besagen, dass der Verantwortliche eine DSFA durchführen muss, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit und Grundrechte einer Person darstellt. Ein derartiges Risiko kann sich aus Art, Umfang, Umständen und Zweck der Bearbeitung ergeben. Die DSFA muss die geplante Bearbeitung und die Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen beschreiben und Maßnahmen zu deren Schutz aufweisen.

DSG Schweiz: Die Rechte der Betroffenen

Die Regelungen besagen, dass die betroffene Person „diejenigen Informationen [erhält], die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenverarbeitung gewährleistet ist“. Der Umfang der Auskünfte kann aber über die Anforderungen der DSGVO hinausgehen. Es ist nämlich nicht genau geregelt, welche Informationen notwendig sind, um diese Transparenz herzustellen.

Wie auch in der DSGVO, gibt es ein neues Betroffenenrecht auf Datenübertragbarkeit.

DSG Schweiz: Verletzungen der Datensicherheit erfordern eine Meldung

Verletzungen der Datensicherheit müssen umgehend dem EDÖB gemeldet werden (Art. 24 DSG). Dafür müssen die Verantwortlichen funktionierende Prozesse im Unternehmen etablieren. Eine derartige Meldung ist jedoch, anders als bei der DSGVO, nur bei einem festgestellten hohen Risiko und auch nicht nur innerhalb einer 72 Std. Frist verpflichtend.

DSG Schweiz: Sicherheit bei der Datenverarbeitung

Um die Sicherheit der Datenverarbeitung zu gewährleisten, müssen durch den Verantwortlichen und den Auftragsbearbeitenden, geeignete technische und organisatorische Maßnahmen ergriffen werden. Diese Maßnahmen werden in Art. 3 der Datenschutzverordnung konkretisiert. Die genannten Schutzbereiche sind ähnlich schon aus der DSGVO bekannt.

DSG Schweiz: Die Auftragsbearbeitung

„Auftragsbearbeiter“ ist ein Begriff, der bei ausgelagerten Datenverarbeitungen verwendet wird und entspricht dem Auftragsverarbeiter der DSGVO, wobei die Anforderungen hierbei im direkten Vergleich geringer ausfallen. Für die Übertragung einer Bearbeitung an einen Auftragsverarbeiter ist lediglich eine gesetzliche oder vertragliche Grundlage notwendig (Art. 9 DSG). Die Auslagerung darf erfolgen, soweit es dem Verantwortlichen gestattet ist und kein rechtlicher oder vertraglicher Grund die Datenweitergabe untersagt. Dabei darf sich der Auftragsbearbeiter auf dieselben Rechtfertigungsgründe berufen, wie der Verantwortliche.

DSG Schweiz: Datenübertragungen ins Ausland

Auslandsübertragungen sind dann erlaubt, wenn der Bundesrat festgestellt hat, dass im Empfängerland oder der internationalen Organisation, an die die Daten bekanntgegeben werden, ein angemessenes Schutzniveau vorliegen. Die entsprechenden Empfängerländer und internationalen Organisationen sind im Anhang 1 der Datenschutzverordnung angeführt. Sollte keine Entscheidung des Bundesrates vorliegen, so können Standardklauseln oder dem EDÖB freigegebene, eigene Vertragsklauseln, spezifische Garantien oder Binding Corporate Rules genutzt werden.

DSG Schweiz: Der Datenschutzberater

Das DSG führt einen sog. Datenschutzberater ein (Art. 10 DSG), dessen Aufgaben mit denen des Datenschutzbeauftragten der DSGVO vergleichbar sind. Er soll weisungsfrei und ohne Interessenskonflikte beraten, schulen oder bei der Anwendung von Vorschriften mitwirken. Die Benennung eines Datenschutzberaters ist nicht verpflichtend, jedoch kann er zu Erleichterungen bei der Datenverarbeitung führen, bei der ein besonders hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person einhergehen. Die Rechte des Datenschutzberaters sind in der Datenschutzverordnung festgehalten.

DSG Schweiz: Sanktionen bei Verstößen

Bei Verstößen gegen die DSG können Buße bis zu 250.000 CHF erhoben werden mit einer Verjährungsfrist von 5 Jahren. Die Sanktion ist dabei an die natürliche Person geknüpft und nicht wie in der DSGVO an das verantwortliche Unternehmen. Sollte aber der Aufwand zur Ermittlung der strafbaren Person unverhältnismäßig sein, so kann auch das Unternehmen verurteilt werden. Geschäftsführer haften daher mit ihrem Privatvermögen - ebenso wie Angestellte, die einen Schaden z.B. durch einen falschen Mausklick verursacht haben. Das ist schon ein Hammer!

Das sog. „kleine Berufsgeheimnis“ des Art. 62 DSG stellt eine Besonderheit dar:

Die vorsätzliche Offenbarung von geheimen Personendaten kann mit Buße bis zu 250.000 Franken bestraft werden. Jede Person, die bei der Ausübung ihres Berufes Kenntnis von geheimen Personendaten erlangt, unterliegt einer Schweigepflicht.

Dies ist eine äußerst strenge Regelung, die in der Form weder in der DSGVO noch im deutschen Recht vorzufinden ist.

Foto(s): Unsplash

Rechtstipp aus dem Rechtsgebiet

Datenschutzrecht

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt Dr. Marc Maisch

Veröffentlicht von:

Rechtsanwalt Dr. Marc Maisch

Datenschutzrecht

IT-Recht • Strafrecht • Forderungseinzug & Inkassorecht • Allgemeines Vertragsrecht • Zivilprozessrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwalt Dr. Marc Maisch

DCPTG: So kann ein Anwalt bei Broker-Betrug helfen.

Wir vertreten viele Geschädigte, die auf die Machenschaften von DCPTG (dcptg.xyz und dcptg.com) hereingefallen und Geld verloren haben. Jetzt kostenlose Ersteinschätzung bei Betrugsverdacht ... Weiterlesen
BOSSA App Betrug mit eleganter App

Es begann als verlockendes Angebot, ein vermeintlich einfacher Weg, um unser Geld zu vermehren. Doch was als vielversprechende Investition begann, entpuppte sich als eine schmerzhafte Lektion über ... Weiterlesen
Anklage gegen GetFinancial-Gruppe erhoben: Jetzt mit Anwälten Geld wegen Broker-Betrug zurückholen

Broker-Betrug der GetFinancial-Gruppe Eine gut organisierte Gruppe steht im Verdacht, Investoren mittels gefälschter Online-Plattformen betrogen zu haben, was zu einem Großverfahren am Landgericht ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt Dr. Marc Maisch

Weitere

Beiträge zum Thema

Auftragsverarbeitung: Datenschutz bei der Verarbeitung personenbezogener Daten

17.01.2023

Auftragsverarbeitung: Was ist das? Eine Auftragsverarbeitung – früher Auftragsdatenverarbeitung genannt – liegt ... Weiterlesen
Personenbezogene Daten: Was Sie über Datenschutz wissen müssen!

26.08.2022

Sobald personenbezogene Daten erfasst werden – ob von Mitarbeitern, Website-Besuchern oder Kunden – handelt es ... Weiterlesen
VIVA Datenschutz – eine Interessengemeinschaft Datenschutz?

08.10.2022

VIVA Datenschutz – eine Interessengemeinschaft Datenschutz? VIVA Datenschutz soll die Interessengemeinschaft ... Weiterlesen

Weitere

Ihre Spezialisten

Rechtsanwalt München