Datenschutzvertretung Schweiz

Das Schweizer Datenschutzgesetz entfaltet unter bestimmten Umständen eine extraterritoriale Wirkung. Das bedeutet, dass auch Unternehmen ohne Sitz in der Schweiz – also beispielsweise deutsche Unternehmen – eine Datenschutzvertretung benennen müssen, wenn sie Personendaten von Personen in der Schweiz bearbeiten und diese Bearbeitung bestimmte Kriterien erfüllt.

Eine Datenschutzvertretung in der Schweiz ist für deutsche Unternehmen kumulativ erforderlich, wenn:

1. Die Bearbeitung von Personendaten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an Personen in der Schweiz steht (unabhängig davon, ob eine Zahlung erfolgt).
2. Das Verhalten von Personen in der Schweiz beobachtet wird (z.B. durch Tracking auf Webseiten).
3. Die Bearbeitung einen grossen Umfang hat.
4. Die Bearbeitung regelmässig erfolgt.
5. Die Bearbeitung ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt.

Insbesondere der letzte Punkt, das "hohe Risiko", erfordert eine sorgfältige Prüfung der eigenen Datenverarbeitungsprozesse.

Obwohl das DSG dem Geist der DSGVO folgt, gibt es wichtige Abweichungen, die deutsche Unternehmen kennen sollten:

• Grundprinzip der Bearbeitung: Die DSGVO folgt dem Prinzip des "Verbots mit Erlaubnisvorbehalt" (jede Verarbeitung ist verboten, es sei denn, es gibt eine Rechtsgrundlage). Das DSG kehrt diesen Grundsatz um: Die Bearbeitung von Personendaten ist grundsätzlich erlaubt, solange sie nicht explizit gegen Prinzipien wie Rechtmässigkeit, Treu und Glauben oder Verhältnismässigkeit verstösst oder Persönlichkeitsrechte verletzt.
• Informationspflicht bei Datenweitergabe ins Ausland: Das DSG sieht eine erweiterte Informationspflicht vor, wenn Personendaten ins Ausland übermittelt werden, insbesondere hinsichtlich des Staates und der Garantien für ein angemessenes Datenschutzniveau.
• Sanktionen: Im Gegensatz zur DSGVO, wo Sanktionen primär das Unternehmen treffen, können nach dem DSG auch verantwortliche natürliche Personen (z.B. Geschäftsführer, Projektleiter) mit Bussen bis zu CHF 250'000 belegt werden. Dies stellt ein signifikantes persönliches Risiko dar.

Die Datenschutzvertretung dient als zentrale Anlaufstelle in der Schweiz. Ihre Hauptaufgaben umfassen:

• Kontaktstelle: Sie ist die primäre Ansprechpartnerin für betroffene Personen in der Schweiz sowie für den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).
• Auskunftserteilung: Sie informiert betroffene Personen auf Anfrage darüber, wie diese ihre Rechte gemäss dem Schweizer Datenschutzgesetz ausüben können.
• Verzeichnis der Bearbeitungstätigkeiten: Die Vertretung führt ein Verzeichnis der Bearbeitungstätigkeiten des ausländischen (deutschen) Unternehmens. Dieses Verzeichnis muss dem EDÖB auf Anfrage zur Verfügung gestellt werden.
• Publikation: Das deutsche Unternehmen muss den Namen und die Adresse seiner Datenschutzvertretung in der Schweiz veröffentlichen (z.B. in der Datenschutzerklärung auf der Webseite).

Das von der Datenschutzvertretung zu führende Verzeichnis der Bearbeitungstätigkeiten ist ein Kernelement der Rechenschaftspflicht. Es muss mindestens folgende Informationen enthalten:

• Identität des Verantwortlichen (des deutschen Unternehmens).
• Bearbeitungszweck.
• Beschreibung der Kategorien betroffener Personen und der bearbeiteten Personendaten.
• Kategorien der Empfängerinnen und Empfänger der Daten.
• Wenn möglich, die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer.
• Wenn möglich, eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit (geeignete technische und organisatorische Massnahmen).
• Falls die Daten ins Ausland bekanntgegeben werden: Angabe des Staates sowie der Garantien für ein angemessenes Datenschutzniveau.

Die Nichteinhaltung der Regelungen des DSG, insbesondere die fehlende Benennung einer Datenschutzvertretung bei bestehender Pflicht, kann erhebliche Konsequenzen haben. Der EDÖB kann Untersuchungen einleiten und Massnahmen anordnen. Wie bereits erwähnt, sind Bussen bis zu CHF 250'000 möglich, die sich gegen die verantwortlichen Privatpersonen im Unternehmen richten können. Zudem drohen Reputationsschäden und der Verlust des Vertrauens von Kunden und Partnern in der Schweiz.

Die Handelskammer Deutschland-Schweiz versteht die Herausforderungen, vor denen deutsche Unternehmen im Kontext des neuen Schweizer Datenschutzgesetzes stehen. Wir bieten Ihnen umfassende Unterstützung und können die Funktion Ihrer Datenschutzvertretung in der Schweiz übernehmen. So stellen Sie sicher, dass Sie den gesetzlichen Anforderungen entsprechen und sich auf Ihr Kerngeschäft konzentrieren können.

Das neue Schweizer Datenschutzgesetz erfordert von deutschen Unternehmen eine proaktive Auseinandersetzung mit ihren Datenbearbeitungsprozessen in Bezug auf die Schweiz. Die Pflicht zur Ernennung einer Datenschutzvertretung ist eine der zentralen Neuerungen. Eine sorgfältige Prüfung und gegebenenfalls die Benennung einer solchen Vertretung sind unerlässlich, um rechtliche Risiken zu minimieren und die Privatsphäre und die Grundrechte von Personen in der Schweiz zu schützen.

Wann benötigt mein deutsches Unternehmen eine Datenschutzvertretung in der Schweiz?

Eine Datenschutzvertretung ist erforderlich, wenn Ihr Unternehmen Personendaten von Personen in der Schweiz umfangreich und regelmässig bearbeitet, dies im Zusammenhang mit Waren/Dienstleistungen oder Verhaltensbeobachtung steht und die Bearbeitung ein hohes Risiko für die Persönlichkeit der Betroffenen darstellt.

Was sind die Hauptaufgaben einer Datenschutzvertretung nach DSG?

Sie dient als Anlaufstelle für Betroffene und den EDÖB, führt das Verzeichnis der Bearbeitungstätigkeiten des ausländischen Unternehmens und informiert Betroffene über ihre Rechte.

Ist die Datenschutzvertretung in der Schweiz dasselbe wie ein Datenschutzbeauftragter (DSB) nach DSGVO?

Nein. Die Datenschutzvertretung ist eine externe Anlaufstelle in der Schweiz für ausländische Unternehmen. Ein Datenschutzbeauftragter (intern oder extern) berät das Unternehmen intern in Datenschutzfragen. Das DSG kennt zwar auch den "Datenschutzberater", dessen Rolle aber von der Vertretung zu unterscheiden ist.

Welche Konsequenzen drohen, wenn keine Datenschutzvertretung benannt wird, obwohl eine Pflicht besteht?

Es können Bussen bis zu CHF 250'000 gegen verantwortliche Privatpersonen verhängt werden. Zudem kann der EDÖB Untersuchungen einleiten und Massnahmen ergreifen.

Was sind die wichtigsten Unterschiede zwischen dem Schweizer DSG und der EU-DSGVO?

Die Hauptunterschiede liegen im Grundprinzip der Verarbeitung (Erlaubnis vs. Verbot mit Erlaubnisvorbehalt), der erweiterten Informationspflicht bei Datentransfers ins Ausland und der Tatsache, dass Sanktionen nach DSG Privatpersonen treffen können, während die DSGVO primär Unternehmen sanktioniert.

Muss ich als deutsches Unternehmen meine Datenschutzerklärung anpassen?

Ja, sehr wahrscheinlich. Die Datenschutzerklärung muss u.a. über die Datenbearbeitung informieren und gegebenenfalls die Kontaktdaten der Schweizer Datenschutzvertretung enthalten, um den Informationspflichten nach dem neuen Schweizer Datenschutzgesetz nachzukommen.