63. Das Schweizer Datenschutzgesetz (DSG) – was bedeutet das für europäische Unternehmen?  

Foto von Jirsak

In der Schweiz gilt ab dem 01.09.2023 ein neues nationales Datenschutzgesetz. Nicht nur Unternehmen, die in der Schweiz ansässig sind, müssen die Regelungen umsetzen. Nach dem sog. Marktortprinzip können auch europäische Unternehmen sowie Unternehmen aus dem EU-Ausland in den Anwendungsbereich des DSG fallen. Insgesamt sind die Neuregelungen allerdings unternehmerfreundlicher ausgestaltet als die DSGVO.  

Für wen gelten die Vorschriften des DSG?   

Ebenso wie die DSGVO sieht das DSG das sog. Marktortprinzip vor. Das bedeutet, dass das nationale Datenschutzrecht der Schweiz gem. Art. 3 Abs. 1 DSG anzuwenden ist auf „Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden“. Die Schweiz gibt damit vor, dass neben Unternehmen mit Sitz in der Schweiz auch diejenigen Unternehmen die Regelungen des Schweizer DSG einhalten müssen, die Waren und Dienstleistungen für KundInnen in der Schweiz anbieten. Aber auch bei Verhaltensbeobachtungen, das heißt Tracking oder Profiling von Schweizer Bürgern auf der Webseite eines europäischen Anbieters müssen die Vorgaben des DSG beachtet werden. Wer also eine Trackingtechnologie auf der Webseite eingebunden hat und damit ein Profiling nach Art. 5 lit. f) DSG durchführt, fällt in den Anwendungsbereich des DSG.
Außerdem müssen Auftragsverarbeiter, die für einen Schweizer Auftraggeber tätig werden, die Pflichten des DSG beachten. 

Was müssen europäische Unternehmen jetzt wissen?  

Die wichtigsten Aspekte des DSG haben wir für Sie zusammengefasst:    

• Rechtmäßigkeit der Verarbeitung  

In der Praxis sind die Pflichten des DSG stark an den Regelungen der DSGVO angelehnt, sodass die Umsetzung für europäische Unternehmen keinen größeren Aufwand bedeuten sollte. Insbesondere muss die Bearbeitung der Daten nach Schweizer Recht zwar rechtmäßig, verhältnismäßig und zweckgebunden sein (siehe Art. 6 Abs. 1-3 DSG), jedoch gibt es keine Auflistung der verschiedenen Rechtmäßigkeitstatbestände wie in Art. 6 Abs. 1 DSGVO.  

• Datenschutzerklärungen  

Daraus folgt, dass beispielsweise Datenschutzerklärungen auf Websites europäischer Anbieter keine umfassungsreichen Anpassungen bedürfen. Grundsätzlich wird auch in der Schweiz gefordert, eine Datenschutzerklärung bereitzustellen. Jedoch sind die Pflichtinhalte sehr ähnlich, vom Umfang her jedoch geringer. Konsequenterweise müssen hier beispielsweise lediglich die Zwecke, nicht jedoch die Rechtsgrundlagen angegeben werden. Jedoch müssen nach Art. 19 Abs. 2 DSG alle Informationen bereitgestellt werden, die erforderlich sind, damit die betroffenen Personen ihre Rechte nach dem DSG geltend machen können.
Empfehlenswert ist daher, sich inhaltlich an den Anforderungen der DSGVO zu orientieren. Wer bereits eine DSGVO-konforme Datenschutzerklärung für betroffene Personen erstellt hat, kann davon ausgehen, dass diese jedenfalls auch den Anforderungen des Schweizer Rechts genügt.  

• Auftragsverarbeitung

Außerdem werden im Vergleich zur DSGVO weniger Pflichten für die Parteien bei der Auftragsverarbeitung statuiert. Dies bedeutet jedoch nicht, dass der Schutz personenbezogener Daten weniger priorisiert wird. Vielmehr wird den Unternehmen ein rechtlicher Rahmen durch Art. 9 DSG vorgegeben, der jedoch lediglich die wesentlichen Pflichten enthält: die „Bearbeitung durch einen Auftragsbearbeiter“ ist danach zulässig, wenn die Daten durch den Auftragnehmer so bearbeitet werden, wie es der Verantwortliche tun dürfte und keine gesetzlichen oder vertraglichen Geheimhaltungspflichten entgegenstehen. Außerdem muss sich der Verantwortliche vergewissern, dass der Auftragsverarbeiter die Datensicherheit gewährleisten kann und die Verarbeitung nur durch vorherige Genehmigung an Dritte (zB Unterauftragnehmer) übertragen werden darf.

• Datenschutzberater 

Ein weiterer Unterschied zur DSGVO findet sich in Artikel 10 DSG: Die Bestellung eines Datenschutzberaters ist hier nur auf freiwilliger Basis.

• Bußgelder  

Der Bußgeldrahmen ist im Vergleich zur DSGVO wesentlich geringer. Diese können in der Schweiz bis zu 250.000 Franken betragen. Die Regelungen sind damit wesentlich unternehmerfreundlich als die der DSGVO, welche Bußgelder von bis zu 4% des weltweit erzielten Jahresumsatzes bzw. 20 Millionen Euro vorsieht. Dabei handelt es sich nicht um leere Drohungen – ein Rekordbußgeld wurde zuletzt gegen Meta in Höhe von 1,2 Milliarden Euro verhängt.  

Die erfreuliche Nachricht ist damit: Bis auf einige sprachliche Unterschiede (z.B. Bearbeitung statt Verarbeitung) ist das DSG vergleichbar mit dem Datenschutzniveau in der EU.