{"id":1652,"date":"2023-05-31T11:07:48","date_gmt":"2023-05-31T09:07:48","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=1652"},"modified":"2023-05-31T11:07:49","modified_gmt":"2023-05-31T09:07:49","slug":"neues-datenschutzgesetz-in-der-schweiz-auswirkungen-fuer-deutsche-und-oesterreichische-unternehmen","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=1652&lang=de","title":{"rendered":"Neues Datenschutzgesetz in der Schweiz \u2013 Auswirkungen f\u00fcr deutsche und \u00f6sterreichische Unternehmen"},"content":{"rendered":"\n<p><strong>Am 1. September 2023 tritt in der Schweiz ein neues Datenschutzgesetz (hier: \u00abDSG\u00bb) samt dazugeh\u00f6riger Datenschutzverordnung in Kraft<\/strong><\/p>\n\n\n\n<p><br>Ziel der Revision war eine Angleichung des Datenschutzniveaus an die DSGVO. Was bedeutet das neue Datenschutzgesetz konkret f\u00fcr deutsche und \u00f6sterreichische Unternehmen, die gesch\u00e4ftliche Aktivit\u00e4ten in der Schweiz haben?<\/p>\n\n\n\n<p>Achtung: Das neue Recht sieht Bussen vor (bis zu CHF 250&#8217;000), die im Gegensatz zum EU-Recht nicht das Unternehmen betreffen, sondern die Leitungspersonen (Verwaltungsrat, Gesch\u00e4ftsf\u00fchrung).<\/p>\n\n\n\n<p>In der Schweiz gilt der Grundsatz, dass jede Bearbeitung von Daten erlaubt ist, solange sie datenschutzkonform ist und die Bearbeitungsgrunds\u00e4tze von Art. 6 und 8 DSG eingehalten werden. Es bedarf nicht f\u00fcr jede Bearbeitung von Personendaten einen Rechtfertigungsgrund.<\/p>\n\n\n\n<p>Was bedeutet das neue Datenschutzgesetz konkret f\u00fcr deutsche und \u00f6sterreichische Unternehmen, die gesch\u00e4ftliche Aktivit\u00e4ten in der Schweiz haben?<br>Es sind folgende Konstellationen zu unterscheiden:<\/p>\n\n\n\n<ul><li>Tochterunternehmen in der Schweiz (AG; GmbH)<\/li><li>Zweigniederlassungen in der Schweiz<\/li><li>Bearbeitung des schweizerischen Marktes aus Deutschland oder aus \u00d6sterreich<\/li><\/ul>\n\n\n\n<p>Auf Tochterunternehmen oder Zweigniederlassungen in der Schweiz ist das neue Datenschutzgesetz uneingeschr\u00e4nkt anwendbar. Um die Compliance rechtzeitig sicherzustellen empfehlen wir folgende Schritte:<\/p>\n\n\n\n<ul><li>Gap-Analyse, danach Umsetzung der erforderlichen Massnahmen und allenfalls Erstellung von Dokumenten. Unternehmensgruppen, die sich gem\u00e4ss DSGVO-Standards organisiert haben, m\u00fcssen in aller Regel sehr wenig anpassen bzw. \u00abhelvetisieren\u00bb.<\/li><li>Typischerweise sind folgende Massnahmen erforderlich:<ul><li>Anpassung der Datenschutzerkl\u00e4rung (erweiterte Informationspflichten, z.B. bez\u00fcglich L\u00e4nder, in welche Daten \u00fcbermittelt werden)<\/li><li>Erstellung des Verzeichnisses der Bearbeitungst\u00e4tigkeiten nach Art. 12 DSG<\/li><li>Sicherstellung der Meldepflicht bei Verletzungen der Datensicherheit nach schweizerischem Recht (inklusive Meldepflicht des Auftragsbearbeiters an den Verantwortlichen)<\/li><li>Abkl\u00e4rung, ob ein Profiling vorliegt (automatisieren Bearbeitung von Personendaten). Wenn ein Profiling vorliegt, ist f\u00fcr die Bearbeitung eine Einwilligung notwendig.<\/li><li>Anpassung von Prozessen (Auskunftsrecht, Datenportabilit\u00e4t, Datenschutz-Folgenabsch\u00e4tzung)<\/li><li>Bearbeitungen von genetischen und biometrischen Daten sowie f\u00fcr nicht personenbezogene Zwecke und Kreditw\u00fcrdigkeit identifizieren, auf neue Vorgaben hin pr\u00fcfen und anpassen<\/li><li>Anpassung von Schulungen und Weisungen<\/li><li>Wenn die IT-Dienstleistungen f\u00fcr die schweizerischen Operationen aus Deutschland oder \u00d6sterreich (oder sonst von Dritten) erbracht werden, ist ein Auftragsdatenbearbeitungsvertrag mit dem Dienstleister abzuschliessen.<\/li><\/ul><\/li><li>Empfehlung: Benennung eines externen Datenschutzberaters nach Art. 10 DSG. Was in der DSGVO der Datenschutzbeauftragte ist, ist in der Schweiz der Datenschutzberater. Die Aufgaben des Datenschutzberaters sind jedoch enger gefasst. MME Compliance AG bietet diese Dienstleistungen an.<\/li><\/ul>\n\n\n\n<p>Wird der schweizerische Markt aus Deutschland oder aus \u00d6sterreich bearbeitet und kommt es dabei zur Bearbeitung von Personendaten, so ist zu analysieren, ob schweizerisches Recht anwendbar ist. Das ist in aller Regel der Fall. Das DSG gilt f\u00fcr Sachverhalte, die sich in der Schweiz auswirken, auch wenn Sie im Ausland veranlasst werden (Art. 3 Abs. 1 DSG). Zu pr\u00fcfen ist weiter, ob eine Vertretung in der Schweiz bezeichnet werden muss. Gem\u00e4ss Art. 14 DSG haben ausl\u00e4ndische Verantwortliche\/Controller mit Sitz im Ausland (also Deutschland oder \u00d6sterreich) eine Vertretung in der Schweiz zu bezeichnen, wenn die Datenbearbeitung die folgenden Voraussetzungen (kumulativ) erf\u00fcllt:<\/p>\n\n\n\n<ul><li>Die Bearbeitung steht im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz.<\/li><li>Es handelt sich um eine umfangreiche Bearbeitung.<\/li><li>Es handelt sich um eine regelm\u00e4ssige Bearbeitung.<\/li><li>Die Bearbeitung bringt ein hohes Risiko f\u00fcr die Pers\u00f6nlichkeit der betroffenen Personen mit sich.<\/li><\/ul>\n\n\n\n<p>Die Vertretung dient in erster Linie als Anlaufstelle f\u00fcr die betroffenen Personen und die schweizerische Aufsichtsbeh\u00f6rde (ED\u00d6B) und f\u00fchrt ein Verzeichnis der Bearbeitungst\u00e4tigkeiten. Weitere Pflichten sind in Art. 14 und 15 DSG festgehalten.<\/p>\n\n\n\n<p>MME Compliance AG agiert f\u00fcr deutsche und \u00f6sterreichische Unternehmen als Vertretung nach Art. 15 DSG.\u00a0<\/p>\n\n\n\n<p>(Dr. Martin Eckert, MME Compliance AG)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Am 1. September 2023 tritt in der Schweiz ein neues Datenschutzgesetz (hier: \u00abDSG\u00bb) samt dazugeh\u00f6riger Datenschutzverordnung in Kraft Ziel der Revision war<\/p>\n<p class=\"link-more\"><a class=\"myButt \" href=\"https:\/\/blog.eprivacy.eu\/?p=1652&#038;lang=de\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1652"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1652"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1652\/revisions"}],"predecessor-version":[{"id":1653,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1652\/revisions\/1653"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1652"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1652"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1652"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}