Die EU-DSGVO gleich Schweizer DSG – oder etwa doch nicht?

Das revidierte Schweizer DSG ist am 1. September 2023 in Kraft getreten. Getrieben durch den technischen Fortschritt war das Gesetz zum einen ziemlich in die Jahre gekommen, zum anderen war das neue Datenschutzniveau, das die DSGVO mit sich gebracht hat, ein weiterer treibender Faktor für die Überarbeitung. Grundsätzlich lässt sich sagen, dass das Schweizer DSG und die DSGVO wohl gute Freunde sind – dennoch gibt es Unterschiede und diese werden im nachfolgenden Beitrag näher betrachtet.

Das Schweizer Bundesgesetz über den Datenschutz (DSG) gilt für private Verantwortliche sowie Bundesorgane. Die revidierte Version hat zwischenzeitlich auch den ersehnten Angemessenheitsbeschluss seitens der EU im Januar 2024 erhalten. Die jeweiligen Kantonalen Datenschutzgesetze, die für die öffentlichen Organe der Kantone und der Gemeinden eine Anwendung finden, ziehen ebenfalls nach und befinden sich derzeit größtenteils noch in der Revision. Wer jetzt jedoch davon ausgeht, dass das Schweizer DSG nur eine Kopie der DSGVO oder allenfalls die „kleine Schwester“ ist, irrt. In vielen Bereichen erfolgte zwar eine Annäherung an die DSGVO, jedoch sind die grundlegenden Prinzipien unterschiedlich. Während die DSGVO dem Leitsatz folgt „alles ist verboten, außer es ist erlaubt“, hat das Schweizer DSG einen anderen, pragmatischeren Blick auf die Dinge und folgt dem Ansatz „grundsätzlich ist alles erlaubt, außer es ist verboten“. Die wichtigsten Unterschiede werden nachfolgend erläutert, wobei diese nicht abschließend sind.

Ein großer Unterschied besteht bei den Sanktionen – in deren Höhe sowie beim Adressaten. Das neue Schweizer DSG hat die Bußen sowie die strafbewehrten Tatbestände deutlich ausgebaut, sodass nun Bußen von bis zu 250.000 CHF für private Verantwortliche möglich sind (früher max. 10.000 CHF). Nach dem aktuellen Meinungsstand richtet sich die Buße direkt gegen die handelnden Personen, also das Management, und sind auch nicht versicherbar. Die DSGVO hingegen sieht Bußen bis zu 20 Mio. EU oder 4 % des weltweiten Gesamtjahresumsatzes des Unternehmens vor und richtet diese direkt an die Organisation.

Einigkeit zwischen den beiden gesetzlichen Grundlagen besteht hingegen beim Thema Datenschutzverletzungen, also dass ein sog. „Data Breach“ gemeldet werden muss. Jedoch werden die Frist und der Meldungsempfänger unterschiedlich definiert. Die DSGVO sieht eine strikte Frist vor, d.h. die Meldungen müssen innerhalb von 72 Stunden erfolgen, und zwar an die jeweilige zuständige EU-Aufsichtsbehörde. Die Schweiz lässt die Leine etwas länger und schreibt vor, dass die Meldung schnellstmöglich erfolgen muss, und zwar an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Einen weiteren Unterschied gibt es beim Datenschutzbeauftragten: Gemäß der DSGVO ist die Bestellung unter der Erfüllung bestimmter Voraussetzungen eine Pflicht. Das Schweizer DSG nimmt eine Unterscheidung vor – private Verantwortliche können freiwillig entscheiden, ob sie einen Datenschutzbeauftragten einsetzen wollen, während diese bei Bundesorganen obligatorisch sind und gewisse fachliche Anforderungen erfüllen müssen. Um die beratende Rolle, die der Datenschutzbeauftragte einnimmt, zu unterstreichen, ist mit der Revision des Schweizer DSG der Fachbegriff auf „Datenschutzberater“ angepasst wurden.

Auch bei der Datenübermittlung ins Ausland bestehen Unterschiede. Dabei unterscheidet das Schweizer DSG zwischen den regulierten Drittländern, d.h. diejenigen die über ein angemessenes Datenschutzniveau aus Schweizer Sicht verfügen und den unregulierten Drittländern, welche die Datenschutzanforderungen nicht erfüllen. Die Entscheidungshoheit über diese Klassifizierung hat neu der Bundesrat. Die regulierten Drittländer sind im Anhang 1 der Verordnung über den Datenschutz abschliessend aufgezählt (sog. „Länderliste“). Bei der DSGVO entscheidet die Europäische Kommission. Werden Daten in unregulierte Drittländer übertragen sind die Standardvertragsklauseln der EU einzusetzen. Dies gilt im Wesentlichen auch für die Schweiz, da der EDÖB die Standardvertragsklauseln anerkannt hat, jedoch müssen diese noch um das sog. „Swiss Finish“ ergänzt werden, damit diese ihre Wirkung entfalten.

Auch bei der Datenschutzerklärung gibt es Unterschiede. Grundsätzlich entspricht das Transparenzgebot des DSG in seinen Zielsetzungen dem der DSGVO, jedoch ist es in der Schweiz weniger im Detail geregelt. Somit können bestehende Datenschutzerklärungen, die gemäß der DSGVO erstellt wurden, genutzt werden. Sie müssen jedoch noch um die jeweiligen Länder, in die Personendaten exportiert werden, sowie um die Angabe, auf welcher Grundlage der Export in einen unregulierten Drittstatt erfolgt, ergänzt werden. Hier ist es wichtig im Hinterkopf zu haben, dass die jeweiligen Länderlisten der DSGVO und des Schweizer DSG nicht deckungsgleich sind. Insoweit steckt auch beim Thema Datenschutz der Teufel häufig im Detail.

Anja Schmitz