Cortina Consult Logo

Neues Datenschutzgesetz fĂŒr die Schweiz (SDSG)

Ab 1. September 2023: Was das neue Datenschutzgesetz der Schweiz fĂŒr Sie bedeutet.

sdsg
Inhalt dieser Seite

Stichtag 1. September: Neues Schweizer Datenschutzgesetz tritt in Kraft

Mit dem 1. September 2023 tritt ohne Übergangszeit ein neues Datenschutzgesetz fĂŒr die Schweiz in Kraft. Es gilt nicht nur fĂŒr in der Schweiz ansĂ€ssige Unternehmen und Privatpersonen, sondern auch fĂŒr alle, deren (potenzielle) Kunden oder Nutzer sich in der Schweiz befinden und fĂŒr alle, die Daten Schweizer BĂŒrger oder Auftraggeber verarbeiten. So bereitet Sie sich vor.

Das neue Schweizer Datenschutzgesetz (SDSG) lehnt sich an die EU-Datenschutzvorgaben an und Àhnelt damit der deutschen Auslegung der Datenschutz-Grundverordnung (DSGVO) sehr, weicht jedoch in Nuancen davon ab oder nutzt andere Begriffe.

Wer muss das Schweizer Datenschutzgesetz beachten?

Das neue Schweizer Datenschutzgesetz ist fĂŒr alle Prozesse zu beachten, die sich in der Schweiz auswirken. Es ist also gleich, wo der Anbieter der Dienstleistung oder der Website-Betreiber angesiedelt ist oder wo der betreffende Datenverarbeitungsprozess angestoßen wird – wenn sich das Angebot, die Dienstleistung oder die Website auf Schweizer Territorium auswirkt, ist das SDSG zu beachten. Das betrifft

  • Personen mit Wohnsitz in der Schweiz 
  • Unternehmen mit Sitz in der Schweiz (neuerdings auch KMU)
  • Unternehmen mit Kunden oder Nutzern in der Schweiz („Marktort“)
  • Websitebetreiber, die Tracking- und Profilingtools verwenden und deren Seiten von Schweizer BĂŒrger aufgesucht werden (könnten),
  • Auftragsverarbeiter, die personenbezogene Daten von Schweizer BĂŒrgern verarbeiten.

Faktisch sind also auch alle Anbieter betroffen, deren Websites aus der Schweiz erreichbar sind und die personenbezogene Daten erheben oder erheben könnten. Wie auch das Internet selbst gilt das Gesetz nicht nur auf dem Schweizer Staatsgebiet, sondern fĂŒr alle dort ansĂ€ssigen Personen und Unternehmen. Es Ă€hnelt in diesem Punkt sehr stark der DSGVO, die im umgekehrten Fall bereits seit 2018 von Schweizer Unternehmen zu beachten ist. Generell werden alle Unternehmen, die die DSGVO einhalten, damit gleichzeitig auch die Vorgaben des SDSG einhalten.

Worin unterscheiden sich DSGVO und Schweizer Datenschutzgesetz?

Insgesamt ist das SDSG nicht ganz so ausfĂŒhrlich und auch nicht ganz so streng wie die DSGVO. Insbesondere mĂŒssen Datenverarbeiter nach dem SDSG nicht die genauen Rechtsgrundlagen der Datenverarbeitung angeben, wie es die DSGVO in Artikel 6 vorgibt. Laut Artikel 6 des SDSG ist nur die RechtmĂ€ĂŸigkeit, die Zweckbindung, die VerhĂ€ltnismĂ€ĂŸigkeit und die GrundsĂ€tze von Treu und Glauben zu beachten. Die Bestellung einer oder eines Datenschutzbeauftragten (dort „Datenschutzberater/in“) ist in der Schweiz außer bei Bundesorganen immer freiwillig.

Zudem sind die Strafen bei VerstĂ¶ĂŸen gegen das SDSG mit maximal 250.000 Franken niedriger als in der DSGVO. Strafzahlungen werden allerdings nicht wie bei der DSGVO gegen Unternehmen, sondern gegen die letztlich verantwortlichen Personen (z. B. GeschĂ€ftsfĂŒhrung) im Unternehmen verhĂ€ngt. Diese Abweichungen werden sich fĂŒr Unternehmen, die sowohl im Einflussbereich des SDSG und der DSGVO bewegen, nicht auswirken.

Die Regelungen des Schweizer Datenschutzgesetzes gelten auch außerhalb von Datensystemen. Dies ist ein großer Unterschied zur DSGVO. Das SDSG erstreckt sich auch auf eine rein manuelle Datenerfassung, etwas das handschriftliche Notieren einer Telefonnummer oder einer Adresse zu einer Bestellung vor Ort im LadengeschĂ€ft.

Der grĂ¶ĂŸte Unterschied jedoch liegt im Regelungsprinzip: In der EU und damit auch in der DSGVO ist die Verarbeitung personenbezogener Daten grundsĂ€tzlich verboten und nur unter Einhaltung der nationalen Vorgaben, wie etwa der DSGVO, reglementiert erlaubt. In der Schweiz hingegen ist die Datenverarbeitung unter Beachtung von RechtmĂ€ĂŸigkeit, Zweckbindung, VerhĂ€ltnismĂ€ĂŸigkeit und den GrundsĂ€tzen von Treu und Glauben erlaubt und muss nur bei einer Verletzung der Persönlichkeitsrechte begrĂŒndet werden.

Worin gleichen sich DSGVO und Schweizer Datenschutzgesetz?

  • Wie auch die DSGVO sieht das SDSG Ausnahmen fĂŒr einen rein privaten Gebrauch personenbezogener Daten vor. WĂ€hrend also die Weitergabe personenbezogener Daten unter engen Vertrauten z. B. in einem Verein noch als persönliche Nutzung mit kontrollierbaren Auswirkungen gelten kann, wird eine unkontrollierbare Veröffentlichung (in sozialen Medien oder auf einer Webseite, aber auch z. B. ĂŒber einen offenen E-Mail-Verteiler) als Datenschutzverstoß gelten mĂŒssen.
  • Beide Vorschriften gehen von einem Verantwortlichen aus, der ĂŒber die Erhebung und Verarbeitung personenbezogener Daten entscheidet.
  • Beide Vorschriften bestimmen die Pflicht, Personendaten nur unter Einhaltung von RechtmĂ€ĂŸigkeit, Zweckbindung, VerhĂ€ltnismĂ€ĂŸigkeit und den GrundsĂ€tzen von Treu und Glauben zu erheben und zu verarbeiten. Der Nutzer muss hierzu informiert werden und ausdrĂŒcklich seine Erlaubnis erteilen. DSGVO wie auch SDSG verlangen, dass Technik und eventuelle Voreinstellungen datenschutzorientiert erfolgen mĂŒssen.
  • Das SDSG sieht wie die DSGVO den Grundsatz der Datensparsamkeit
  • Das Schweizer Datenschutzgesetz kennt wie auch die DSGVO die Pflicht zur Datenschutz-FolgeabschĂ€tzung, wenn besonders schĂŒtzenswerte Daten erhoben werden, sowie zu TOM zur Sicherstellung des Datenschutzes und zum Verzeichnis der BearbeitungstĂ€tigkeiten.
  • Wie auch die DSGVO rĂ€umt das SDSG Betroffenen Auskunftsrechte VorgĂ€nge wie Widerruf, Löschung und Berichtigung werden hingegen nicht so detailliert ausgefĂŒhrt wie in der DSGVO.
  • Eine DatenschutzerklĂ€rung ist sowohl nach DSGVO als auch nach SDSG zwingend vorgeschrieben, ihr Fehlen kann mit einer hohen Geldbuße belegt werden.
  • Die Vorgaben fĂŒr Auftragsbearbeiter personenbezogener Daten sind vergleichbar, aber nicht ganz so streng wie in der DSGVO geregelt.
  • Die Übermittlung von personenbezogenen Daten in DrittlĂ€nder mit niedrigerem Datenschutzniveau – wie die USA – unterliegt im SDSG wie auch im Geltungsbereich der DSGVO Garantiekonstruktionen wie einem Angemessenheitsbeschluss, Standardvertragsklauseln oder Ă€hnlichem. Nunmehr entscheidet der Bundesrat und nicht mehr der EDÖB darĂŒber, welche Zusicherungen akzeptiert werden.
  • Datenschutzpannen mĂŒssen in der Schweiz der zustĂ€ndigen Behörde (EDÖP) „so schnell wie möglich“ mitgeteilt werden, eine konkrete Frist wie in der DS-GVO (max. 72 Stunden) fehlt aber.

Was wird vom neuen Schweizer Datenschutzgesetz abgedeckt?

Ähnlich wie die DSGVO umfasst das SDSG laut Artikel 2 personenbezogene Daten („dort „Personendaten“) in

  • automatisierten Datenverarbeitungen (z. B. Profiling) und
  • manuellen Datenverarbeitungen in und außerhalb von Dateisystemen

Mit „Personendaten“ werden alle Angaben bezeichnet, die sich auf eine bestimmte oder bestimmbare natĂŒrliche Person beziehen, also zu einer direkten oder indirekten Identifizierung fĂŒhren können. Ähnlich wie bei den „personenbezogenen Daten“ der DSGVO sind also neben Klarangaben auch IDs, IP-Adressen und andere technische Möglichkeiten der Identifizierung eingeschlossen. Daten von juristischen Personen (Stiftungen, GmbHs etc.) sind nicht vom SDSG umfasst – dies ist eine Neuerung gegenĂŒber dem bisherigen SDSG.

Die Verarbeitung, die in der Schweiz als „Bearbeitung“ bezeichnet wird, umfasst dieselben VorgĂ€nge wie im Geltungsbereich der DS-GVO: Beschaffen, Speichern, Verwenden, Verbinden, VerĂ€ndern, Archivieren, Löschen, Vernichten


Was gilt in der Schweiz fĂŒr besonders schĂŒtzenswerte persönliche Daten?

Als besonders schĂŒtzenswerte persönliche Daten gelten in der Schweiz laut Artikel 5c SDSG ebenso wie in der EU (z. B. besondere Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 DSGVO) Daten zu

  • religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder TĂ€tigkeiten,
  • Gesundheit, IntimsphĂ€re oder zur Zugehörigkeit zu einer Rasse oder Ethnie,
  • Genetik,
  • Biometrie, die eine natĂŒrliche Person eindeutig identifizieren,
  • verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
  • Maßnahmen der sozialen Hilfe.

Wie die DSGVO sieht das SDSG die Verarbeitung von Daten aus dieser Kategorie nur erlaubt, wenn eine ausdrĂŒckliche Einwilligung der betroffenen Person vorliegt (Artikel 6 Absatz 7a SDSG).

Was gilt in der Schweiz fĂŒr besonders schĂŒtzenswerte persönliche Daten?

Die Betroffenenrechte des SDSG sind weniger detailliert vorgegeben als in der DS-GVO. AusdrĂŒcklich erwĂ€hnt sind nur das Recht auf Auskunft (Artikel 25 SDSG) und die Herausgabe/DatenĂŒbertragbarkeit (Artikel 28 SDSG). Die ĂŒbrigen Betroffenenrechte auf Berichtigung, Löschung, EinschrĂ€nkung der Bearbeitung, Widerspruch und Beschwerde ergeben sich allerdings aus Artikel 32 DS-GVO und Artikel 6 SDSG.

Nach Artikel 25 SDSG muss die Auskunft an Betroffene folgende Informationen umfassen:

  1. die IdentitÀt und die Kontaktdaten des Verantwortlichen;
  2. die bearbeiteten Personendaten als solche;
  3. der Bearbeitungszweck;
  4. die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
  5. die verfĂŒgbaren Angaben ĂŒber die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;
  6. gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht;
  7. gegebenenfalls die EmpfÀngerinnen und EmpfÀnger oder die Kategorien von EmpfÀngerinnen und EmpfÀngern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 19 Absatz 4.

Dies entspricht dem Katalog der DS-GVO, der zudem noch eine elektronische Kopie einschließt. Diese kann aber auch nach Artikel 25 SDSG notwendig werden, um die verlangte Transparenz zu gewĂ€hrleisten.

Was mĂŒssen Unternehmen mit Sitz in der Schweiz beachten?

Wenn Sie sich mit Ihrem Unternehmen bereits an der DSGVO orientiert haben, brauchen Sie nur verhĂ€ltnismĂ€ĂŸig wenige Feinjustierungen im System vorzunehmen.

Deutlich aufwĂ€ndiger wird es, wenn Sie bisher ausschließlich in der Schweiz tĂ€tig waren und sich ausschließlich am bisherigen SDSG orientiert haben. Sie benötigen zum 1. September 2023 beispielsweise

  • PrĂŒfung, welche personenbezogenen Datentypen aktuell verarbeitet werden und ob sich darunter besonders schĂŒtzenswerte Daten befinden (z. B. biometrische oder genetische Daten),
  • Eine Aufstellung, welche Mitarbeitenden Zugriff auf welche Daten haben, mit dem Ziel der Minimierung,
  • ein Verzeichnis der BearbeitungstĂ€tigkeiten,
  • eine PrĂŒfung der Bearbeitungszwecke nach Artikel 6, 30 und 31 SDSG,
  • eine grĂŒndliche PrĂŒfung auf Datentransfers in unsichere DrittlĂ€nder in Ihrer gesamten Infrastruktur,
  • technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten und deren Dokumentation,
  • Eine Aufstellung und EinschĂ€tzung aller Auftragsbearbeitungsverfahren,
  • AuftragsverarbeitungsvertrĂ€ge mit Datenverarbeitern im Ausland, ggf. deren Aktualisierung,
  • AbklĂ€rung, ob ein Profiling, also eine automatisierte ZusammenfĂŒhrung und Bewertung von Daten vorgenommen wird, und wie eine ÜberprĂŒfung einer solchen Entscheidung durch eine natĂŒrliche Person gewĂ€hrleistet werden kann
  • Eine Datenschutz-FolgenabschĂ€tzung fĂŒr risikoreiche Bearbeitungsverfahren (mit dem neuen Gesetz auch fĂŒr alle Privatunternehmen Pflicht) – ggfs. unter Einholung einer Stellungnahme des EDÖB, wenn im Unternehmen kein Datenschutzberater bestellt ist,
  • Einen Workflow fĂŒr die Erteilung von BetroffenenauskĂŒnften,
  • Einen Workflow fĂŒr die Bearbeitung von BetroffenenwĂŒnschen,
  • Einen Workflow bei Datenpannen, v. a. die Meldeverfahren,
  • Anpassung der Schulungen und Weisungen („policies“) fĂŒr die Belegschaft,
  • Datenreduzierung innerhalb von Aufbewahrungsfristen, Entsorgung von doppelter Datenhaltung und veralteten Backups, wo möglich, Löschung nicht mehr benötigter BestĂ€nde und Anwendungen,
  • PrĂŒfung der physischen Sicherheitssysteme,
  • Eine Datenschutzinformation fĂŒr die Datenerhebung und eine angepasste DatenschutzerklĂ€rung.

Die Bedingungen fĂŒr KreditwĂŒrdigkeitsprĂŒfungen wurden durch das neue SDSG in Artikel 31 Absatz 2 verschĂ€rft, sie dĂŒrfen nur noch durchgefĂŒhrt werden, wenn

  • es sich weder um besonders schĂŒtzenswerte Personendaten noch um ein Profiling mit hohem Risiko handelt,
  • die Daten Dritten nur bekanntgegeben werden, wenn diese die Daten fĂŒr den Abschluss oder die Abwicklung eines Vertrags mit der betroffenen Person benötigen,
  • die Daten nicht Ă€lter als zehn Jahre sind und

die betroffene Person volljÀhrig ist.

Was ist Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen?

Die Vorgabe zum Datenschutz per design/default wurde erst mit Artikel 7 des neuen SDSG eingefĂŒhrt. Es ist bereits bei der Konzeption von Datenerhebungstechnik darauf zu achten, dass diese so datensparsam und sicher wie irgend möglich gestaltet wird. Es dĂŒrfen auch technisch nur Daten erhoben werden, die fĂŒr den vorgesehenen und in der Datenschutzinformation aufgefĂŒhrten Zweck dieser Datenerhebung erforderlich sind. So ist beispielsweise eine Postadresse oder eine Telefonnummer fĂŒr den Versand eines elektronischen Newsletters nicht erforderlich und soll bei der Anmeldung fĂŒr diesen Service daher auch nicht erhoben werden (Datenschutz per design). Und auch die höchste technisch erreichbare Sicherheitsstufe sollte von vornherein eingerichtet werden. Werden teilweise vorausgefĂŒllte Formulare, Banner etc. eingeblendet, so mĂŒssen die Voreinstellungen entweder ganz unterbleiben oder aber die datenschutzorientierte Auswahl (und nicht die im Interesse des Werbenden liegende) anzeigen (Datenschutz per default).

Brauche ich fĂŒr die Schweiz ein Cookie Banner?

Nicht notwendige Cookies erfordern nach der DSGVO zum einen die Einwilligung, damit sie auf dem NutzergerĂ€t gespeichert werden dĂŒrfen, und zum anderen die Einwilligung, bestimmte Daten zu erheben.

WĂ€hrend die DSGVO fĂŒr die Speicherung nicht notwendiger Cookies eine ausdrĂŒckliche Einwilligung fordert, genĂŒgt nach dem SDSG ein Hinweis auf ihren Einsatz und eine Information, wie die Cookies gelöscht werden können – zum Beispiel ĂŒber den Browser.

Auch beim Datenschutz sind die Vorgaben der DSGVO strenger als die des Schweizer Datenschutzgesetzes. Der Nutzer muss spĂ€testens wenn durch die Cookies ein Nutzerprofil geschaffen wird, in die Cookiesetzung einwilligen („Opt-In-Verfahren“). In der Schweiz ist das nur notwendig, wenn die Anlage des Nutzerprofils gegen die Persönlichkeitsrechte des Nutzers verstĂ¶ĂŸt („Profiling mit hohem Risiko“). Das grenzĂŒberschreitende Internet macht jedoch in fast allen FĂ€llen die engere Auslegung der Cookiesetzung nach DSGVO notwendig.

Wann brauche ich nach Schweizer Datenschutzgesetz eine DatenschutzerklÀrung?

Die DatenschutzerklĂ€rung muss vorliegen, sobald auf einer Webseite – egal ob privat oder nicht – personenbezogene Daten erhoben werden. Das kann ein privater Blog mit Kommentarfunktion sein, ein LadengeschĂ€ft (auch ohne Internetseite), in dem z. B. Bestellungen aufgenommen werden, ein Verein mit einem Kontaktformular auf der Webseite oder auch ein Unternehmen mit Webseite, das sowohl gegenĂŒber Kunden als auch gegenĂŒber seinen Mitarbeitenden je eine ErklĂ€rung zum Datenschutz zur VerfĂŒgung stellen muss. Dies gilt nicht nur bei besonders schĂŒtzenswerten, sondern bei allen personenbezogenen Daten. In der ErklĂ€rung muss zwingend eine Person angegeben werden, die fĂŒr den Datenschutz verantwortlich ist, sowie Kontaktmöglichkeiten zu ihr, um sich mit Auskunfts-Korrektur- und Löschanfragen an sie zu wenden.

Kann ich meine DSGVO-DatenschutzerklĂ€rung auch fĂŒr die Schweiz nutzen?

Ja, denn die inhaltlichen Überschneidungen sind sehr groß. Die Positionen sind zwar teils unterschiedlich benannt, aber inhaltlich gleich. Wenn Sie ĂŒber eine vollstĂ€ndige DatenschutzerklĂ€rung nach Artikel 13 und 14 der DSGVO verfĂŒgen, ergĂ€nzt um unternehmensspezifische Zusatzangaben, sind auch die Vorgaben des Artikel 19 Absatz 2 SDSG erfĂŒllt. Unbedingt muss die DatenschutzerklĂ€rung ausfĂŒhrliche Informationen ĂŒber eventuelles Profiling, also die vollautomatische ZusammenfĂŒhrung und Bewertung von personenbezogenen Daten, und die Einwilligungspflicht sowie das Widerspruchsrecht hierzu enthalten.

TIPP: Wenn Sie eine gemeinsame DatenschutzerklĂ€rung nutzen wollen, stellen Sie eine ErlĂ€uterung zu den Begriffsentsprechungen im SDSG voran. Gilt Ihre DatenschutzerklĂ€rung nur fĂŒr die Schweiz, nutzen Sie nur die Begriffe aus dem SDSG.

Wann muss nach Schweizer Datenschutzgesetz ein Auftragsbearbeitungsvertrag vorliegen?

Ein AuftragsverarbeitungsverhĂ€ltnis (im Schweizer Recht AuftragsbearbeitungsverhĂ€ltnis) liegt vor, wenn die Regelungen des Artikels 9 SDSG, die Artikel 4 Nummer 8 DSGVO entsprechen, erfĂŒllt sind. Das bedeutet:

  • Der Auftragsverarbeiter ist weisungsgebundener Subunternehmer/Dienstleister im Auftrag des Verantwortlichen, der personenbezogene Daten nach bestimmten Vorgaben nutzt,
  • Der Verantwortliche beim Auftraggeber muss sich von der Datensicherheit beim Auftragsverarbeiter ĂŒberzeugen
  • Die Auslagerung der Datenbearbeitung muss berechtigt sein, ihr dĂŒrfen keine gesetzliche Vorgaben entgegenstehen.
  • Eine Unterbeauftragung ist nur nach Information des ursprĂŒnglichen Auftraggebers erfolgen.

WÀhrend das SDSG keinen Auftragsbearbeitungsvertrag vorschreibt, muss dieser nach DSGVO zwingend abgeschlossen werden.

Was muss das Verzeichnis der BearbeitungstÀtigkeiten nach Schweizer Datenschutzgesetz enthalten?

FĂŒr alle Verantwortlichen und Auftragsbearbeiter ist vorgeschrieben, je ein immer aktuell zu haltendes Verzeichnis ihrer BearbeitungstĂ€tigkeiten zu fĂŒhren (Artikel 12 SDSG). Darin mĂŒssen mindestens enthalten sein:

  • die IdentitĂ€t des Verantwortlichen;
  • den Bearbeitungszweck;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
  • die Kategorien der EmpfĂ€ngerinnen und EmpfĂ€nger;
  • wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
  • wenn möglich eine allgemeine Beschreibung der Maßnahmen zur GewĂ€hrleistung der Datensicherheit nach Artikel 8 SDSG;
  • falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Artikel 16 Absatz 2 SDSG.

Außerdem muss das Verzeichnis der BearbeitungstĂ€tigkeiten bei Auftragsbearbeitern enthalten:

  • Angaben zur IdentitĂ€t des Auftragsbearbeiters und des Verantwortlichen,
  • zu den Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgefĂŒhrt werden,
  • eine allgemeine Beschreibung der Maßnahmen zur GewĂ€hrleistung der Datensicherheit nach Artikel 8 SDSG und,
  • falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Artikel 16 Absatz 2 SDSG.

Das Verzeichnis der BearbeitungstĂ€tigkeiten muss nicht veröffentlicht und auch nicht mehr dem EDÖB gemeldet werden, aber auf Verlagen der Datenschutzaufsicht zur VerfĂŒgung gestellt werden.

Wenn Sie bereits ein regelmĂ€ĂŸig aktualisiertes Verzeichnis der VerarbeitungstĂ€tigkeiten nach Artikel 30 DSGVO haben, reicht dies fĂŒr die genannten Anforderungen aus.

Was mache ich bei einer Datenpanne?

Unternehmen mĂŒssen nach dem neuen Schweizer Datenschutzgesetz Datenschutzverletzungen, die fĂŒr die betroffenen Personen ein hohes Risiko bergen, nach Artikel 24 SDSG „so rasch als möglich“ beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie allen potenziell vom Datenleck Betroffenen melden.

Das muss Ihre Meldung enthalten:

  • Die Art der Datenschutzverletzung.
  • Eine Darstellung, welche Konsequenzen der Datenabfluss fĂŒr die betroffenen Personen haben könnte.
  • Eine Information darĂŒber, wie Sie die Risiken fĂŒr die betroffenen Personen zu minimieren beabsichtigen.

Diese Inhaltsvorgaben entsprechen denen in Artikel 33 und 34 DSGVO, allerdings sind dort auch eine feste Meldefrist von max. 72 Stunden sowie eine Meldepflicht auch bei nur geringem Risiko fĂŒr die Betroffenen enthalten.

Was tue ich, wenn mein Unternehmen keinen Sitz in der Schweiz hat?

Wie auch in der DS-GVO (Artikel 27) ist im neuen Schweizer Datenschutzgesetz (Artikel 14) die Pflicht enthalten, einen Vertreter des verarbeitenden Unternehmens in der Schweiz zu benennen. Dieser dient als Kontaktperson fĂŒr den EDÖB sowie fĂŒr Betroffene, die ihre Rechte ausĂŒben möchten.

So machen Sie als deutsches Unternehmen Ihre Webseite fit fĂŒr das Schweizer Datenschutzgesetz

  • Passen Sie Ihre DatenschutzerklĂ€rung an die Schweizer Begriffe an.
  • Aktualisieren Sie die Richtlinien fĂŒr die Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
  • Richten Sie einen Meldeweg fĂŒr den EDÖB ein.
  • ÜberprĂŒfen Sie die Datentransfers Ihrer Infrastruktur in unsichere DrittlĂ€nder (USA; China).
  • Wenn Ihr Unternehmen keinen Sitz in der Schweiz hat, benennen Sie eine Ansprechperson vor Ort und statten Sie sie mit entsprechenden Rechten aus.

Welche Schweizer Aufsichtsbehörde ist zustÀndig?

Die oberste Aufsicht ĂŒber den Datenschutz und die Einhaltung des neuen Datenschutzgesetzes hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB). Er ist auch diejenige Stelle, die fĂŒr Datenschutz-FolgeabschĂ€tzungen, die auf risikoreiche Datennutzung hinweisen, zu konsultieren und die bei Datenschutzpannen zu informieren ist. Zudem fĂŒhrt er die Ermittlungen bei VerstĂ¶ĂŸen gegen das Datenschutzgesetz durch und kann auch Maßnahmen bei VerstĂ¶ĂŸen verhĂ€ngen (z. B. EinschrĂ€nkung oder Einstellung der Datenverarbeitung).

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Sie benötigen Hilfe bei der Umsetzung des neuen Datenschutzgesetzes?

Als ext. DSB unterstĂŒtzen wir Schweizer Unternehmen bei der Umsetzung der gesetzlichen Vorgaben.

Ihre Vorteile mit Cortina Consult

Cortina Consult hilft Unternehmen dabei, die Anforderungen des Schweizer Datenschutzgesetzes im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

Als Beratungsdienstleister und externer Datenschutzbeauftragter fĂŒhren sorgen wir die Einhaltung der gesetzlichen Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.

sdsg
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Unsere Lösungen
Cortina Consult Logo