Seit dem Inkrafttreten des revidierten Bundesgesetzes über den Datenschutz (DSG) am 1. September 2023 sind fast zwei Jahre vergangen - ein wichtiger Meilenstein für den Datenschutz in der Schweiz. In dieser Artikelserie werfen wir einen praktischen Blick zurück auf die wichtigsten Erkenntnisse aus dem neuen Gesetz und seiner bisherigen Umsetzung.
Wir werden alle 3 bis 4 Tage einen neuen Artikel veröffentlichen, in dem wir die wichtigsten Punkte zu den folgenden Themen beleuchten:
- Welche Datenschutzgesetze gelten in der Schweiz?
- Was sind Personendaten im Sinne des DSG?
- Was sind die Grundprinzipien für die Bearbeitung von Personendaten in der Schweiz?
- Verlangt das DSG eine Rechtsgrundlage für die Datenbearbeitung?
- Muss ein Verzeichnis der Bearbeitungstätigkeiten geführt werden?
- Welche Datenschutzrechte haben betroffene Personen unter dem DSG?
- Muss unter dem DSG ein Datenschutzbeauftragter ernannt werden?
- Welche Regeln müssen beim Beizug von Auftragsbearbeitern beachtet werden?
- Braucht es für elektronisches Direktmarketing eine Einwilligung?
- Unterliegen Cookies und Tracking-Technologien einer Einwilligungspflicht?
- Können Personendaten ungehindert ins Ausland übermittelt werden, oder gibt es Einschränkungen?
- Wie viel Transparenz ist bei der Bearbeitung von Personendaten erforderlich?
- Welche Sicherheitsmassnahmen müssen getroffen werden, um Personendaten zu schützen und Sicherheitsvorfälle zu verhindern?
- Verletzungen der Datensicherheit – Was müssen Sie tun, und wie schnell?
- Welche Strafen drohen bei Verstössen gegen das Schweizer Datenschutzrecht?
FABIAN PRIVACY LEGAL GmbH hat eine Vielzahl von Mandanten - von multinationalen Konzernen und dynamischen Start-ups bis hin zu KMUs und Bundesbehörden - bei der Umsetzung der neuen Vorschriften begleitet. Wenn Sie auf der Suche nach fachkundiger Unterstützung in den Bereichen Datenschutz, Data Governance, Cybersicherheit, künstliche Intelligenz und verwandten Themen sind, sind wir für Sie da.
Für einen detaillierteren Überblick über das Schweizer Datenschutzrecht empfehlen wir Ihnen auch unseren Beitrag zum ICLG Data Protection Laws and Regulations Report 2024-2025, den Sie hier einsehen können (in englischer Sprache).
Beginnen wir mit Teil 1:
Welche Datenschutzgesetz
Im ersten Teil unserer Serie beleuchten wir die geltenden Datenschutzgesetze in der Schweiz: Auf wen finden sie Anwendung, und wer trägt die Verantwortung für deren Einhaltung?
Zentrale Datenschutzgesetze in der Schweiz
Das Herzstück des Schweizer Datenschutzrechts bildet das revidierte Bundesgesetz über den Datenschutz (DSG), das am 1. September 2023 in Kraft trat. Es regelt die Bearbeitung von Personendaten durch private Unternehmen und Bundesorgane. Ergänzt wird das DSG durch die Datenschutzverordnung (DSV) und die Verordnung über Datenschutzzertifizierungen (VDSZ). Für die Aufsicht über die Einhaltung des DSG ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) zuständig.
Die Bearbeitung von Personendaten durch kantonale und kommunale Behörden unterliegt hingegen den jeweiligen kantonalen Datenschutzgesetzen, deren Einhaltung von kantonalen Datenschutzbehörden überwacht wird.
Gilt das DSG auch für ausländische Unternehmen?
Ja, das DSG hat extraterritoriale Wirkung, d.h. es gilt auch für Aktivitäten, die sich in der Schweiz auswirken, selbst wenn die Datenbearbeitung im Ausland erfolgt. Unternehmen mit Sitz ausserhalb der Schweiz können daher ebenfalls dem DSG unterstellt sein, wenn sie Personendaten von Personen in der Schweiz bearbeiten.
Private Verantwortliche mit Sitz im Ausland müssen eine Vertretung in der Schweiz benennen, wenn die Datenbearbeitung von Personen in der Schweiz:
- im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an Personen in der Schweiz oder der Überwachung des Verhaltens von Personen in der Schweiz steht,
- in grossem Umfang erfolgt,
- regelmässig durchgeführt wird und
- ein hohes Risiko für die Persönlichkeit der betroffenen Personen darstellt.
Die Vertretung dient als Anlaufstelle für betroffenen Personen und den EDÖB. Name und Adresse der Vertretung müssen vom Verantwortlichen veröffentlicht werden, etwa in der Datenschutzerklärung.
Weitere Gesetze mit Auswirkungen auf den Datenschutz
Das Bundesgesetz über die Informationssicherheit beim Bund (Informationssicherheitsgesetz, ISG) gilt für Bundes – und Kantonalbehörden sowie für private Betreiber kritischer Infrastrukturen wie Energie- und Wasserversorgung, Abfallentsorgung, Finanzen, Gesundheitswesen, Information und Kommunikation, Lebensmittel und Getränke, Transport und Verkehr sowie Sicherheit und Rettung.
Bestimmte allgemeine Gesetze wirken sich ebenfalls auf den Datenschutz aus, wie z. B. das Bundesgesetz über den unlauteren Wettbewerb (UWG), mit Vorschriften zum Direktmarketing, und das Fernmeldegesetz (FMG), das die Verwendung von Cookies regelt.
Darüber hinaus bestehen branchenspezifische Vorschriften, etwa im Gesundheitsbereich (zum Beispiel Humanforschungsgesetz, Gesetz über das elektronische Patientendossier usw.) oder im Finanzsektor (Bankengesetz, Finanzinstitutsgesetz).
In Teil 2 unserer Serie werden wir uns mit der Definition von Personendaten im Rahmen des DSG befassen.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
