AKTUELLES
Welche Schweizer Datenschutzgesetze müssen wir kennen?
(DSG, DSB, EU DSGVO-Anpassung, ISG Informationssicherheitsgesetz, TCA, ESigA)
Die Schweizer Gesetzgebung im Bereich des Datenschutzes, der Privatsphäre und der IT ist umfassend und zielt auf eine enge Angleichung an internationale Standards ab, insbesondere an die Allgemeine Datenschutzverordnung der Europäischen Union (DSGVO). Hier sind einige Schlüsselaspekte:
Cybersecurity
Die Schweiz ist im Bereich der Cybersicherheit proaktiv:
- Das Bundesamt für Sicherheit im Internet (BACS), ehemals das Nationale Zentrum für Cybersicherheit (NCSC), koordiniert die nationalen Bemühungen im Bereich der Cybersicherheit, gibt Leitlinien vor und reagiert auf Cybervorfälle.
- Gesetze zur Cyberkriminalität: Das Schweizerische Strafgesetzbuch enthält Bestimmungen gegen Cyberkriminalität wie Hacking, Datenschutzverletzungen und Betrug.
Datenschutz und IT-Compliance
- Grenzüberschreitende Datenübermittlung: Das Schweizer Recht erlaubt Datenübertragungen in Länder mit einem angemessenen Datenschutzniveau. Übermittlungen in andere Länder erfordern zusätzliche Sicherheitsvorkehrungen.
- IT-Einhaltung: Organisationen müssen die Einhaltung der Datenschutzgesetze sicherstellen, einschliesslich regelmässiger Audits, Mitarbeiterschulungen und der Umsetzung von Datenschutzrichtlinien.
Im Folgenden sind die wichtigsten Schweizer Datenschutzbestimmungen aufgeführt:
Bundesgesetz über den Datenschutz (DSG)
Das wichtigste Gesetz zum Datenschutz in der Schweiz ist das Bundesgesetz über den Datenschutz (DSG). Das DSG stellt sicher, dass personenbezogene Daten so behandelt werden, dass die Persönlichkeitsrechte des Einzelnen gewahrt bleiben.
- Das DSG definiert den Begriff „Personendaten“ weit und umfasst alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.
- Die Datenverarbeitung muss rechtmässig, nach Treu und Glauben und unter Wahrung der Verhältnismässigkeit erfolgen.
- Einzelpersonen haben das Recht, auf ihre Daten zuzugreifen, Ungenauigkeiten zu korrigieren und die Löschung zu verlangen.
- Organisationen müssen geeignete technische und organisatorische Massnahmen zum Schutz der Daten ergreifen.
- Geltungsbereich: Das Gesetz gilt für alle Organisationen, die personenbezogene Daten in der Schweiz verarbeiten, sowie für bestimmte Datenverarbeitungstätigkeiten ausserhalb der Schweiz, die sich auf das Inland auswirken.
- Die Übermittlung von Personendaten in Länder ohne angemessenen Datenschutz erfordert besondere Garantien oder Bedingungen.
Das DSG wurde überarbeitet, um es enger an die EU-Datenschutz-Grundverordnung (DSGVO) anzupassen, die Datenschutzstandards zu verbessern und strengere Anforderungen für Unternehmen und Organisationen einzuführen. Das revidierte DSG, das am 1. September 2023 in Kraft getreten ist, führt robustere Garantien und strengere Durchsetzungsmechanismen ein, um den Schutz der Privatsphäre und die Sicherheit personenbezogener Daten in der Schweiz zu gewährleisten.
Datenschutzverordnung (DSV)
Die Datenschutzverordnung ist eine Reihe von Ausführungsbestimmungen zum DSG. Sie enthält detailliertere Verfahren und Klarstellungen dazu, wie die im DSG festgelegten Grundsätze in der Praxis anzuwenden sind.
Die Verordnung regelt unter anderem spezifische Anforderungen an die Datensicherheit, die Rolle und die Aufgaben des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie die Einzelheiten der Registrierung von Datensammlungen.
Im Wesentlichen legt das DSG den rechtlichen Rahmen und die Grundprinzipien fest, während der DSB detaillierte Richtlinien und Verwaltungsverfahren vorgibt, um die Einhaltung des Gesetzes zu gewährleisten. Gemeinsam sorgen sie für den Schutz personenbezogener Daten und regeln, wie diese in der Schweiz zu behandeln sind.
Anpassung an die EU-DSGVO
Obwohl die Schweiz nicht Mitglied der EU ist, ist das überarbeitete DSG eng an die Datenschutz-Grundverordnung angelehnt. Diese Angleichung hilft Schweizer Unternehmen, die EU-Standards einzuhalten, und erleichtert den Datentransfer und die internationale Geschäftstätigkeit.
Obwohl das schweizerische DSG und die EU-DSGVO ähnliche Ziele und Grundsätze verfolgen, gibt es einige wichtige Unterschiede zwischen den beiden:
DSG | DSGVO |
Geltungsbereich und Anwendbarkeit: | |
| Gilt für Privatunternehmen und Bundesorgane, die in der Schweiz Personendaten bearbeiten. Sie gilt auch für Datenverarbeitungstätigkeiten ausserhalb der Schweiz, die sich auf das Inland auswirken. | Gilt für jede Organisation, die personenbezogene Daten von Personen innerhalb der EU verarbeitet, unabhängig davon, wo sich die Organisation befindet. |
Datenschutzbeauftragter (DSB): | |
| Schreibt die Ernennung eines Datenschutzbeauftragten nicht ausdrücklich vor, empfiehlt sie aber als gute Praxis. | Verlangt die Bestellung eines DSB unter bestimmten Umständen, z. B. wenn die Verarbeitung von einer Behörde durchgeführt wird oder wenn die Kerntätigkeiten eine regelmässige und systematische Überwachung der betroffenen Personen in grossem Umfang beinhalten. |
Rechtsgrundlage für die Verarbeitung: | |
| Es wird verlangt, dass personenbezogene Daten rechtmässig, nach Treu und Glauben und in angemessener Weise verarbeitet werden. Im Gegensatz zur Datenschutz-Grundverordnung werden die Rechtsgrundlagen nicht ausdrücklich aufgeführt. | Sie bietet sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten: Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigte Interessen. |
Benachrichtigung bei Datenschutzverletzungen: | |
| Auch hier ist die Meldung von Datenschutzverletzungen vorgeschrieben, aber die Kriterien und der Zeitplan können weniger streng sein als in der DSGVO. | Organisationen müssen Verstösse gegen den Schutz personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden des Verstosses an die Aufsichtsbehörde melden, es sei denn, es ist unwahrscheinlich, dass der Verstoss ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. |
Rechte der betroffenen Personen: | |
| Gewährt ähnliche Rechte, enthält aber nicht ausdrücklich das Recht auf Datenübertragbarkeit. | Gewährt den betroffenen Personen mehrere spezifische Rechte, darunter das Recht auf Auskunft, Berichtigung, Löschung (Recht auf Vergessenwerden), Einschränkung der Verarbeitung, Datenübertragbarkeit und das Recht auf Widerspruch. |
Geldbussen und Sanktionen: | |
| Die Bussgelder im Rahmen des DSG sind in der Regel niedriger, wobei die Höchststrafen für bestimmte Verstösse bis zu 250.000 CHF betragen können. | Die Bussgelder für Verstösse sind beträchtlich und betragen bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. |
Profiling und automatisierte Entscheidungsfindung: | |
| Befasst sich mit der automatisierten Entscheidungsfindung, aber die Bestimmungen sind weniger detailliert als in der DSGVO. | Es werden spezifische Regeln für die Profilerstellung und die automatisierte Entscheidungsfindung festgelegt, einschliesslich des Rechts, keiner Entscheidung unterworfen zu werden, die ausschliesslich auf einer automatisierten Verarbeitung, einschliesslich der Profilerstellung, beruht und die rechtliche Auswirkungen hat oder die Person erheblich beeinträchtigt. |
Mechanismen zur Datenübermittlung: | |
| Ähnliche Anforderungen für Datenübermittlungen in Drittländer, mit Schwerpunkt auf der Gewährleistung eines angemessenen Schutzes oder geeigneter Garantien. | Erlaubt Datenübermittlungen in Drittländer nur, wenn diese ein angemessenes Datenschutzniveau gewährleisten oder wenn besondere Garantien (wie Standardvertragsklauseln oder verbindliche unternehmensinterne Vorschriften) vorhanden sind. |
Aufsichtsbehörde: | |
| Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist für die Überwachung der Einhaltung der Vorschriften in der Schweiz zuständig. | Die Aufsichtsbehörden in den einzelnen EU-Mitgliedstaaten überwachen die Einhaltung der Vorschriften, wobei der Europäische Datenschutzausschuss (EDSA) Leitlinien vorgibt und eine einheitliche Anwendung gewährleistet. |
Während das DSG und die DSGVO in vielerlei Hinsicht übereinstimmen, insbesondere nach der Überarbeitung des DSG zur Harmonisierung mit der DSGVO, verdeutlichen diese Unterschiede die einzigartigen Aspekte und Anforderungen der beiden Regelwerke.
Die andere erwähnenswerte Verordnung:
Das Informationssicherheitsgesetz (ISG)
Es ist am 1. Januar 2024 in Kraft getreten. Ziel des ISG ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten, die von Bundesbehörden und Anbietern kritischer Infrastrukturen verarbeitet werden (Sektoren, die für die Gesellschaft, die Wirtschaft und den Staat von wesentlicher Bedeutung sind, wie Energie- und Trinkwasserversorgung, Abfallentsorgung, Finanzwesen, Gesundheitswesen, Information und Kommunikation, Lebensmittel und Getränke, Transport und Verkehr, Sicherheit und Schutz).
Die wichtigsten Aspekte des Gesetzes:
- Informationssicherheitsmanagement: Verlangt die Einführung von Informationssicherheits-Managementsystemen (ISMS), die auf anerkannten Standards basieren.
- Meldung von Vorfällen: Verlangt, dass bedeutende Sicherheitsvorfälle den zuständigen Behörden gemeldet werden müssen.
Mehrere Gesetze regeln die elektronische Kommunikation und die IT-Infrastruktur:
- Fernmeldegesetz (FMG): Regelt die Bereitstellung von Telekommunikationsdiensten und konzentriert sich auf Wettbewerb, Verbraucherschutz und Datensicherheit.
- Bundesgesetz über die elektronische Signatur (ZertES): Regelt elektronische Signaturen und verleiht ihnen die gleiche Rechtsgültigkeit wie handschriftlichen Unterschriften, wenn sie bestimmte Standards erfüllen.
Schlussfolgerung
Die Schweizer Gesetzgebung in den Bereichen Datenschutz, Privatsphäre und IT ist solide und zielt darauf ab, persönliche Daten zu schützen und den sicheren Umgang mit Informationen zu gewährleisten. Die Angleichung an die EU-Vorschriften trägt dazu bei, dass Schweizer Unternehmen reibungslos im internationalen Kontext agieren können und gleichzeitig hohe Standards für den Datenschutz und die Cybersicherheit aufrechterhalten.
Und wir erinnern Sie daran, dass unser Unternehmen seine eigenen Daten und die seiner Kunden ausschliesslich in der Schweiz hostet, wo sie sowohl physisch als auch rechtlich bestens geschützt sind!
Quellen:
DSG - https://www.fedlex.admin.ch/eli/cc/2022/491/de
DSV - https://www.fedlex.admin.ch/eli/cc/2022/568/de
https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen/bundesrat.msg-id-98497.html
NSCS – BACS – SEPOS - https://www.netzwoche.ch/news/2023-11-08/bund-legt-verantwortung-fuer-it-sicherheit-in-neue-haende
FMG - https://www.fedlex.admin.ch/eli/cc/1997/2187_2187_2187/de