Am 25. September 2020 haben die Bundeskammern die Revision des Bundesgesetzes über den Datenschutz verabschiedet, die am 15. September 2017 begonnen hat. Da die Ausführungsverordnungen jedoch noch in die Vernehmlassung geschickt werden müssen, wird die neue Fassung voraussichtlich nicht vor dem 1. Januar 2022 in Kraft treten, so dass die Unternehmen rund ein Jahr Zeit haben, um die Einhaltung der Vorschriften sicherzustellen.
Da die Schweiz nicht Mitglied der Europäischen Union ist, kann die Übermittlung personenbezogener Daten aus der Schweiz in einen Mitgliedstaat der Europäischen Union nur dann ohne besondere Garantien erfolgen, wenn die Europäische Kommission anerkennt, dass die schweizerische Gesetzgebung ein angemessenes Schutzniveau gewährleistet (Art. 45 DSGVO), d.h. ein Schutzniveau, das mehr oder weniger demjenigen entspricht, das heute durch die EU Datenschutz Grundverordnung (DSGVO) gewährleistet wird.
Um die Wettbewerbsfähigkeit der Schweizer Unternehmen zu gewährleisten und den freien Datenfluss von der Schweiz in die Mitgliedstaaten der Europäischen Union zu ermöglichen, hat sich der Gesetzgeber deshalb zum Ziel gesetzt, der neuen Gesetzesfassung ein Niveau zu geben, das dem des DSGVO so nahe kommt, dass die Europäische Kommission es auch weiterhin als angemessenes Schutzniveau betrachtet.
Die DSGVO war daher der Maßstab, an dem diese Revision vorgenommen wurde. Was sollen wir daraus lernen?
- Das neue Gesetz wird nicht nur für Schweizer Unternehmen gelten, sondern auch für Unternehmen mit Sitz im Ausland, die „in der Schweiz Wirkungen entfalten“ (Art. 3), d.h. unseres Erachtens für Unternehmen, deren Tätigkeit ebenfalls in der Schweiz stattfindet (auch durch E-Commerce). In diesem Fall muss die ausländische Gesellschaft einen Vertreter in der Schweiz bestellen (Art. 14). Damit übernimmt der Schweizer Gesetzgeber das Pendant der DSGVO gegenüber Schweizer Unternehmen (Art. 3 Abs. 2 und 27 DSGVO).
- Der Inhaber der Datensammlung muss ein Register der Akten führen (Art. 12) und übernimmt damit die Inventarisierungspflicht von Art. 30 DSGVO.
- Der für die Verarbeitung Verantwortliche kann einen Datenschutzbeauftragten (DSB) bestellen, ist dazu aber nicht verpflichtet (Artikel 10). Das Schweizer Recht ist daher in dieser Hinsicht breiter und flexibler als die Artikel 37 und 38 der DSGVO, die eine solche Ernennung unter bestimmten Bedingungen vorschreiben.
- Jede Inanspruchnahme eines Unterauftragnehmers muss zu einem Vertrag über die Verarbeitung der Daten führen (Art. 9), eine Situation, die mit der in Art. 28 der DSGVO vergleichbaren Situation vergleichbar ist, die verlangt, dass sich jeder Verantwortliche im Umgang mit seinen Unterauftragnehmern über die bestehenden Vertragsklauseln erkundigen muss, auch wenn eine Anlage zu diesem Thema erforderlich ist.
- Der für die Verarbeitung Verantwortliche muss eine Folgenabschätzung in Bezug auf den Schutz personenbezogener Daten durchführen, wenn die geplante Verarbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person(en) darstellt (Art. 22), eine Situation, die mit der in Art. 35 DSGVO genannten vergleichbar ist.
- Der für die Verarbeitung Verantwortliche muss den Eidgenössischen Datenschutzbeauftragten über jeden Sicherheitsvorfall informieren, der eine hohe Gefahr für die Persönlichkeit oder die Grundrechte der betroffenen Person darstellen könnte (Art. 24). Damit ähnelt das schweizerische Recht dem der DSGVO, ohne jedoch die Pflichten des Kontrolleurs so genau zu regeln (Art. 33-34 DSGVO).
- Die Rechte der Personen, deren Daten verarbeitet werden und die von den Inhabern der Datenverarbeitung umgesetzt werden müssen, werden nun erweitert, und zwar in Bezug auf: die Transparenz- und Informationspflichten des Inhabers der Datenverarbeitung (Art. 19), die Möglichkeit, bei jeder automatisierten Entscheidung, die auf der Verarbeitung personenbezogener Daten beruht, die Umsetzung einer natürlichen Person zu verlangen (Art. 21), das Auskunftsrecht (Art. 25-27), das Recht auf Lieferung oder Übermittlung der personenbezogenen Daten (Art. 28-29). Obwohl das Schweizer Recht in dieser Hinsicht dem der DSGVO ähnelt, ist die angebotene Granularität geringer als die der Art. 16 ff DSGVO.
- Der Bundesbeauftragte wird über erweiterte Ermittlungs- und Sanktionsbefugnisse verfügen, darunter die Einstellung der betreffenden Bearbeitung und die Verhängung einer Busse von bis zu 250’000 Franken bei vorsätzlicher Verletzung der Pflichten des betroffenen Inhabers der Datensammlung (Art. 49-51, 60-63), wobei die Kantone für die Verfolgung und Beurteilung von Widerhandlungen zuständig sind (Art. 65). Damit geht das Schweizer Recht in dieser Hinsicht deutlich weniger weit als die DSGVO, deren Verletzung mit Strafen von bis zu 20 Millionen Euro bzw. im Falle eines Unternehmens mit bis zu 4% seines weltweiten Jahresumsatzes geahndet wird.
Letztendlich werden die Schweizer Unternehmen, die bereits den Schritt unternommen haben, die von der DSGVO auferlegten Anforderungen zu erfüllen, kaum zusätzliche Anstrengungen unternehmen müssen, um der neuen Fassung des Bundesgesetzes über den Datenschutz nachzukommen. Es wird jedoch an der Zeit sein, dass alle anderen sich intensiv mit dieser neuen Regelung befassen, was zweifellos dazu führen wird, dass der Bundesbeauftragte die ihm übertragenen neuen Vorrechte mit größerem Eifer wahrnehmen wird, wie der jetzt von den europäischen Behörden in diesem Bereich verfolgte Ansatz zeigt.
Sofern sie nicht das Risiko eingehen wollen, geändert zu werden oder, schlimmer noch, eine Datenverarbeitung auszusetzen, di
