Am 1. September 2023 tritt in der Schweiz ein neues Datenschutzgesetz (hier: «DSG») samt dazugehöriger Datenschutzverordnung in Kraft
Ziel der Revision war eine Angleichung des Datenschutzniveaus an die DSGVO. Was bedeutet das neue Datenschutzgesetz konkret für deutsche und österreichische Unternehmen, die geschäftliche Aktivitäten in der Schweiz haben?
Achtung: Das neue Recht sieht Bussen vor (bis zu CHF 250’000), die im Gegensatz zum EU-Recht nicht das Unternehmen betreffen, sondern die Leitungspersonen (Verwaltungsrat, Geschäftsführung).
In der Schweiz gilt der Grundsatz, dass jede Bearbeitung von Daten erlaubt ist, solange sie datenschutzkonform ist und die Bearbeitungsgrundsätze von Art. 6 und 8 DSG eingehalten werden. Es bedarf nicht für jede Bearbeitung von Personendaten einen Rechtfertigungsgrund.
Was bedeutet das neue Datenschutzgesetz konkret für deutsche und österreichische Unternehmen, die geschäftliche Aktivitäten in der Schweiz haben?
Es sind folgende Konstellationen zu unterscheiden:
- Tochterunternehmen in der Schweiz (AG; GmbH)
- Zweigniederlassungen in der Schweiz
- Bearbeitung des schweizerischen Marktes aus Deutschland oder aus Österreich
Auf Tochterunternehmen oder Zweigniederlassungen in der Schweiz ist das neue Datenschutzgesetz uneingeschränkt anwendbar. Um die Compliance rechtzeitig sicherzustellen empfehlen wir folgende Schritte:
- Gap-Analyse, danach Umsetzung der erforderlichen Massnahmen und allenfalls Erstellung von Dokumenten. Unternehmensgruppen, die sich gemäss DSGVO-Standards organisiert haben, müssen in aller Regel sehr wenig anpassen bzw. «helvetisieren».
- Typischerweise sind folgende Massnahmen erforderlich:
- Anpassung der Datenschutzerklärung (erweiterte Informationspflichten, z.B. bezüglich Länder, in welche Daten übermittelt werden)
- Erstellung des Verzeichnisses der Bearbeitungstätigkeiten nach Art. 12 DSG
- Sicherstellung der Meldepflicht bei Verletzungen der Datensicherheit nach schweizerischem Recht (inklusive Meldepflicht des Auftragsbearbeiters an den Verantwortlichen)
- Abklärung, ob ein Profiling vorliegt (automatisieren Bearbeitung von Personendaten). Wenn ein Profiling vorliegt, ist für die Bearbeitung eine Einwilligung notwendig.
- Anpassung von Prozessen (Auskunftsrecht, Datenportabilität, Datenschutz-Folgenabschätzung)
- Bearbeitungen von genetischen und biometrischen Daten sowie für nicht personenbezogene Zwecke und Kreditwürdigkeit identifizieren, auf neue Vorgaben hin prüfen und anpassen
- Anpassung von Schulungen und Weisungen
- Wenn die IT-Dienstleistungen für die schweizerischen Operationen aus Deutschland oder Österreich (oder sonst von Dritten) erbracht werden, ist ein Auftragsdatenbearbeitungsvertrag mit dem Dienstleister abzuschliessen.
- Empfehlung: Benennung eines externen Datenschutzberaters nach Art. 10 DSG. Was in der DSGVO der Datenschutzbeauftragte ist, ist in der Schweiz der Datenschutzberater. Die Aufgaben des Datenschutzberaters sind jedoch enger gefasst. MME Compliance AG bietet diese Dienstleistungen an.
Wird der schweizerische Markt aus Deutschland oder aus Österreich bearbeitet und kommt es dabei zur Bearbeitung von Personendaten, so ist zu analysieren, ob schweizerisches Recht anwendbar ist. Das ist in aller Regel der Fall. Das DSG gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn Sie im Ausland veranlasst werden (Art. 3 Abs. 1 DSG). Zu prüfen ist weiter, ob eine Vertretung in der Schweiz bezeichnet werden muss. Gemäss Art. 14 DSG haben ausländische Verantwortliche/Controller mit Sitz im Ausland (also Deutschland oder Österreich) eine Vertretung in der Schweiz zu bezeichnen, wenn die Datenbearbeitung die folgenden Voraussetzungen (kumulativ) erfüllt:
- Die Bearbeitung steht im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz.
- Es handelt sich um eine umfangreiche Bearbeitung.
- Es handelt sich um eine regelmässige Bearbeitung.
- Die Bearbeitung bringt ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich.
Die Vertretung dient in erster Linie als Anlaufstelle für die betroffenen Personen und die schweizerische Aufsichtsbehörde (EDÖB) und führt ein Verzeichnis der Bearbeitungstätigkeiten. Weitere Pflichten sind in Art. 14 und 15 DSG festgehalten.
MME Compliance AG agiert für deutsche und österreichische Unternehmen als Vertretung nach Art. 15 DSG.
(Dr. Martin Eckert, MME Compliance AG)