Neues-DSG-FAQ-Teil-1

DSG-Revision: FAQ Teil 1


Ihre Kontakte

Die Totalrevision des Schweizer Datenschutzgesetzes (DSG) tritt am 1. September 2023 in Kraft. Das neue DSG führt für sämtliche Unternehmen zahlreiche neue Pflichten ein und verschärft die Sanktionen für Gesetzesverstösse. Es lohnt sich deshalb, die Compliance-Projekte rechtzeitig zum Abschluss zu bringen. Im Hinblick darauf finden Sie nachfolgend FAQ mit den Antworten auf die wichtigsten Fragen zur DSG-Revision. Während in diesem ersten Teil Fragen allgemeiner Natur behandelt werden, wird sich ein zweiter Teil Fragen zu spezifischen Vorgaben des neuen DSG widmen.

Unser Unternehmen hat keinen Sitz in der Schweiz. Müssen wir uns dennoch an das DSG halten?

Ja, wenn Sie Daten von Personen mit Wohnsitz in der Schweiz bearbeiten, sollten Sie mit der Geltung des DSG rechnen. Denn im revidierten DSG bestimmt sich der räumliche Geltungsbereich neu ausdrücklich nach dem sog. Auswirkungsprinzip. Das heisst, dass das revidierte DSG auch für Unternehmen mit Sitz im Ausland anwendbar ist, wenn diese Personendaten bearbeiten und sich diese Datenbearbeitung in der Schweiz auswirkt. Damit weist das Schweizer Datenschutzrecht auch künftig einen weiten, extraterritorialen Anwendungsbereich auf. Dies gilt im Ergebnis auch für die zivil- und strafrechtliche Durchsetzung, für welche die bisherigen Grundsätze ebenfalls beibehalten wurden.

Neu können Unternehmen ohne Sitz in der Schweiz zudem dazu verpflichtet sein, eine Vertretung in der Schweiz zu bezeichnen, wenn sie Personendaten von Personen in der Schweiz bearbeiten. Diese Pflicht wird ausgelöst, wenn die Datenbearbeitung im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen oder der Verhaltensbeobachtung dieser Personen steht. Zudem muss es sich um eine umfangreiche und regelmässige Bearbeitung handeln, die ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt.

Unser Unternehmen hat bereits die Vorgaben der EU-DSGVO umgesetzt. Müssen wir trotzdem noch weitere Massnahmen für die DSG-Compliance ergreifen?

Ja, eine sorgfältige Prüfung der Compliance ist trotzdem dringend zu empfehlen. Es sind dabei die Besonderheiten jedes einzelnen Unternehmens und seiner Datenbearbeitungen zu berücksichtigen. Bei Unternehmen ohne Sitz in der Schweiz ist namentlich die Bestellung eines Vertreters in der Schweiz zu prüfen. Organisatorische Massnahmen können ferner angezeigt sein zum Umgang mit den drohenden Strafsanktionen und Strafverfahren gegen natürliche Personen. Obwohl mit dem neuen DSG eine Kompatibilität mit der DSGVO erreicht werden soll, werden trotzdem zahlreiche Unterschiede bestehen. So ist bspw. im Schweizer Recht – anders als unter der EU-DSGVO – für gewisse Bearbeitungen ein sog. Bearbeitungsreglement zu erstellen. Zudem ist etwa auch die Liste der Pflichtangaben, über welche die betroffenen Personen zu informieren sind, im DSG nicht abschliessend. Hier und bei anderen vermeintlich «kleinen» Unterschieden wird erst die Praxis zeigen, welche Bedeutung diesen zukommen wird. Insbesondere Schweizer Unternehmen ist deshalb eine erneute, genaue Prüfung sehr zu empfehlen. Dies gilt auch, wenn seit 2018 Anstrengungen zur schrittweisen Erfüllung der Vorgaben der EU-DSGVO unternommen wurden. Viele dieser Vorgaben, welche in zahlreichen Unternehmen nach wie vor nicht vollständig umgesetzt sind, werden mit der DSG-Revision ins Schweizer Recht überführt und gelten fortan unmittelbar für alle datenverarbeitenden Unternehmen mit Sitz in der Schweiz.

Was ist aus Unternehmenssicht insgesamt die wesentlichste Änderung?

Aufgrund der verschärften Sanktionen bei Verstössen wird der Umsetzungsdruck der im DSG auferlegten Pflichten klar ansteigen. Bei Verstössen sind als strafrechtliche Sanktion Bussen für natürliche Personen in Höhe von bis zu CHF 250’000 vorgesehen. Daneben gibt es zahlreiche neue Pflichten im Zusammenhang mit der Bearbeitung von Personendaten, von welchen insbesondere die Folgenden zu erheblichem Mehraufwand führen werden:

  • Pflicht zur Führung eines Verzeichnisses aller Personendatenbearbeitungen (siehe unten);
  • Data Breach Notification: Verletzungen der Datensicherheit (z.B. Datenverluste), die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen, sind unverzüglich dem Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) und gegebenenfalls der betroffenen Person zu melden.
  • Datenschutz-Folgenabschätzungen: Wenn eine beabsichtigte Datenbearbeitung ein hohes Risiko einer Verletzung der Persönlichkeit oder der Grundrechte einer betroffenen Person mit sich bringt, ist der Verantwortliche dazu verpflichtet, die Risiken einer solchen Bearbeitung in einer Datenschutz-Folgeabschätzung zu analysieren. Das E-DSG geht davon aus, dass insbesondere bei der Verwendung neuer Technologien und einer umfangreichen Bearbeitung besonders schützenswerter Personendaten oder bei der systematischen Überwachung umfangreicher öffentlicher Bereiche von einem hohen Risiko ausgegangen werden muss.

Welche neuen Vorschriften führen zum grössten Aufwand bei der Umsetzung?

Das Führen eines «Verzeichnisses der Bearbeitungstätigkeiten» wird für die meisten Unternehmen mutmasslich zum grössten Aufwand bei der Umsetzung führen, falls nicht bereits entsprechende Massnahmen für die DSGVO-Compliance getroffen wurden. Der grosse Aufwand folgt daraus, dass sämtliche Datenbearbeitungen des gesamten Unternehmens erfasst und genaue Angaben dazu gemacht werden müssen, wie z.B. zum Zweck der Bearbeitung sowie sämtlichen Kategorien von Datenempfängern. Darüber hinaus ist sicherzustellen, dass das Verzeichnis kontinuierlich aktualisiert wird.

Von der Pflicht zur Führung eines Verzeichnisses befreit sind Unternehmen, die am 1. Januar eines Jahres weniger als 250 Mitarbeitende beschäftigen. Dies gilt jedoch nur unter der Voraussetzung, dass das Unternehmen keine besonders schützenswerte Personendaten in grossem Umfang bearbeiten und kein Profiling mit hohem Risiko durchführen. Wer sich auf diese Ausnahme berufen will, ist deshalb gut beraten, sorgfältig abzuklären, ob diese Voraussetzungen tatsächlich erfüllt sind. Im Übrigen ist auch zu beachten, dass das Verzeichnis für die effiziente Erfüllung der weiteren Pflichten des neuen DSG sehr wichtig ist. Denn damit gewinnt ein Unternehmen einen Überblick über die Datenbearbeitungen, über die es z.B. in Datenschutzerklärungen informieren oder auf Anfrage von Kunden Auskunft erteilen muss.

Wie ist bei der Umsetzung der Massnahmen am besten vorzugehen?

In einem ersten Schritt sollten im Rahmen einer «Gap-Analyse» die Lücken in der datenschutzrechtlichen Compliance innerhalb des Unternehmens evaluiert werden, also gewissermassen die Differenz zwischen dem IST- und dem SOLL-Zustand. Um den SOLL-Zustand zu erreichen, müssen die konkreten Umsetzungsmassnahmen geplant und priorisiert werden. Anschliessend folgt die Umsetzung dieser Massnahmen entsprechend ihrer Priorität. Dies ist verbunden mit der Einführung neuer unternehmerischer Abläufe und Prozesse, die wiederkehrend zu evaluieren sind. Denn Datenschutz-Compliance ist kein einmaliges Projekt, welches abgeschlossen und beendet wird. Vielmehr handelt es sich dabei um ein «Work-in-Progress».

Welche Folgen hat ein Verstoss gegen die neuen Vorschriften?

Ein Verstoss kann strafrechtliche Sanktionen in Form einer Busse von bis zu CHF 250’000 zur Folge haben. Darüber hinaus kann auch der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ein verwaltungsrechtliches Untersuchungsverfahren eröffnen und Verfügungen erlassen. Auch wenn der EDÖB selbst keine Sanktionen anordnen kann, drohen auch bei Missachtung einer Anordnung des EDÖB, also bspw. bei der Weiterbearbeitung von Daten trotz Verbot, Strafsanktionen in der gleichen Höhe. Zuständig für die Durchsetzung der strafrechtlichen Sanktionen werden die Strafverfolgungsbehörden der Kantone sein, d.h. die Staatsanwaltschaften. Möglich sind schliesslich weiterhin auch zivilrechtliche Klagen auf Beseitigung, Unterlassung oder Schadenersatz.

Können Mitarbeiter persönlich (anstelle des Unternehmens) strafrechtlich verfolgt werden bei Verstössen gegen das DSG?

Ja, hierzu gilt es aber Folgendes zu beachten:

  • Im Gesetzgebungsverfahren wurde zum Ausdruck gebracht, dass die Sanktionen auf die Leitungspersonen und nicht auf die ausführenden Mitarbeiter abzielen. Zugleich wurde aber nicht gänzlich ausgeschlossen, dass es auch Fälle geben kann, in welchen die Sanktion Mitarbeitern ohne Leitungsfunktion auferlegt werden könnte.
  • Bei Widerhandlungen, bei denen höchstens eine Busse von CHF 50’000 in Betracht fällt und der Aufwand zur Ermittlung der strafbaren Person innerhalb des Geschäftsbetriebs unverhältnismässig wäre, kann schliesslich auch das Unternehmen anstelle der natürlichen Person zur Zahlung der Busse verurteilt werden.

Beide Punkte enthalten einen relativ hohen Interpretationsspielraum. Deshalb wird erst die Praxis zeigen, wie die neuen Vorschriften von den Staatsanwaltschaften und Gerichten angewendet werden.

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

 

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.