Wir alle erwarten, dass das neue Schweizer Datenschutzgesetz (nDSG) am 1. September 2023 in Kraft tritt. Es ist ein grosser Schritt in Richtung einer Angleichung der EU- und der Schweizer Gesetzgebung im Bereich des Datenschutzes. Dennoch handelt es ich bei den beiden Regelungen nicht um Dubletten, da sie sich in einigen Punkten erheblich unterscheiden.

Schauen wir uns zunächst an, was die DSGVO und das nDSG gemeinsam haben.

• Die Definition des Begriffs "personenbezogene Daten" stimmt in beiden Gesetzen im Wesentlichen überein. Dabei betreffen die Vorgaben nur Daten, die sich auf natürliche Personen beziehen.
• Ein Unternehmen muss einen Nutzer in einer Datenschutzerklärung über die Verarbeitung seiner Daten informieren und darf die Daten erst nach ausdrücklicher Zustimmung des Nutzers verarbeiten (die Bedingungen der DSGVO sind jedoch viel strenger).
• Analog zum Recht auf Zugang zu den Daten nach der DSGVO gibt die nDSG einem Nutzer das Recht, innerhalb von 30 Tagen, nach der Anfrage beim Unternehmen, Zugang zu den personenbezogenen Daten des Nutzers zu verlangen, die das Unternehmen verarbeitet. Darüber hinaus umfasst das Widerspruchsrecht des nDSG die Rechte auf Widerspruch, Löschung und Einschränkung, welche nach der DSGVO Datenverarbeitung eingeschränkt sind.
• Ein Unternehmen muss ein Verzeichnis der Verarbeitungstätigkeiten führen, welches auch eine Liste der Länder bzw. Dritten enthält, an die Nutzerdaten weitergegeben werden.
• Beide Gesetze verpflichten ein Unternehmen, geeignete technische und organisatorische Massnahmen zu treffen, um ein angemessenes Niveau der Datensicherheit zu gewährleisten.
• Nutzerdaten sollten nur in Länder mit einem angemessenen Datenschutzniveau übermittelt werden (darüber hinaus können Daten auch dann übermittelt werden, wenn ausreichende Sicherheitsvorkehrungen getroffen wurden, um die Lücke im Datenschutz auszugleichen).
• Die für die Datenverarbeitung Verantwortlichen und die Auftragsverarbeiter sind verpflichtet, Datenschutzverletzungen zu melden (obwohl das Schweizer Gesetz keine spezifische Frist festlegt, sondern die Formulierung "so bald wie möglich" verwendet).

Wie wir sehen können, sind die allgemeinen Regelungen recht ähnlich. Und die gute Nachricht ist: Wenn Ihr Unternehmen bereits Daten von Nutzern aus der Europäischen Union verarbeitet, muss es die DSGVO ohnehin bereits einhalten. In diesem Fall muss Ihr IT-System nicht in grossem Umfang verbessert werden.

Allerdings gibt es auch erhebliche Unterschiede in den Gesetzen, darunter:

• Die DSGVO zählt 9 Arten sensibler personenbezogener Daten auf, und die nDSG fügt 2 weitere hinzu: Daten über Verwaltungs- oder Strafverfahren und Sanktionen sowie Daten über Massnahmen der sozialen Sicherheit.
• Der nDSG basiert auf dem Grundsatz, dass eine Privatperson personenbezogene Daten verarbeiten darf, während die DSGVO einer Privatperson dieses Recht nur dann einräumt, wenn es eine besondere Rechtfertigung dafür gibt.
• Aufgrund des oben genannten Grundsatzes richten sich die Bussgelder nach dem nDSG an natürliche Personen (nicht an Unternehmen, wie in der DSGVO) und haben eine Obergrenze von 250.000 CHF. Ist es nicht möglich, die verantwortliche Person zu identifizieren, kann das Unternehmen mit einer Geldstrafe von bis zu CHF 50'000 belegt werden. Die Gültigkeit dieses Ansatzes muss noch geprüft werden, sobald das Gesetz in Kraft tritt.
• Der territoriale Geltungsbereich der Gesetze ist unterschiedlich, wobei das schweizerische Gesetz weiter gefasst ist und sich auf die "Auswirkungsdoktrin" bezieht, die kurz gesagt als eine Datenverarbeitung erklärt werden kann, die sich in der Schweiz auswirkt, unabhängig davon, wo sie stattgefunden hat.
• Die DSGVO verlangt eine Rechtfertigung für die Verarbeitung personenbezogener Daten und verpflichtet den für die Verarbeitung Verantwortlichen, die Zustimmung des Nutzers einzuholen, während die nDSG einen informierten und expliziten Benutzer für die Verarbeitung sensibler Daten und die Profilerstellung verlangt.
• Die nDSG sieht keine Verpflichtung zur Ernennung eines Datenschutzbeauftragten vor; diese Position ist freiwillig und wird als "Datenschutzberater" bezeichnet.
• Schliesslich ist die DSGVO eine supranationale Verordnung, die in der gesamten EU umgesetzt wird, wobei unabhängige Behörden für die Überwachung ihrer Anwendung in jedem Mitgliedstaat zuständig sind. Das nDSG ist ein Bundesgesetz, das die Bundesbehörden und die Unternehmen des Privatsektors verpflichtet, nicht aber die kantonalen Behörden. Die Zusammenarbeit zwischen den Datenschutzbehörden des Bundes und der Kantone ist jedoch gut etabliert und effizient.

Offensichtlich sind die Unterschiede spürbar. Trotz der Tatsache, dass die DSGVO als Grundlage für das nDSG diente, machten die Unterschiede zwischen dem schweizerischen und dem europäischen System die Umsetzung vieler Punkte einzigartig. Wir werden nach dem Inkrafttreten des Gesetzes sicherlich eine turbulente Zeit erleben, nach der wir die Vor- und Nachteile beurteilen können.

Unser Unternehmen hat sich verpflichtet, bei seinen Aktivitäten und Produkten die Datenschutzgesetze bestmöglich einzuhalten. Wir verfügen bereits über umfangreiche Erfahrungen bei der Umsetzung dieser Praktiken im eigenen Umfeld sowie bei der Unterstützung anderer Unternehmen bei der Bewertung und Neukonfiguration ihrer IT-Systeme und im Einklang mit dem Gesetz.

Für eine Beratung zu IT- und Datenschutzfragen können Sie uns gerne über das Formular auf der Website kontaktieren. Unsere Experten helfen Ihnen gerne weiter.

Quellen:

https://www.netzwoche.ch/news/2023-06-21/das-sagt-der-edoeb-zum-neuen-datenschutzgesetz

https://www.netzwoche.ch/news/2023-06-07/neues-datenschutzgesetz-sind-sie-bereit

https://www.rosenthal.ch/downloads/VISCHER-revDPA-GDPR-Comparison.pdf

https://www.fedlex.admin.ch/eli/cc/2022/491/de

https://gdpr-info.eu/