Der Datenschutz in der Schweiz: Das neue DSG

Das neue Datenschutzgesetz (nDSG)

Das neue Bundesgesetz über den Datenschutz (nDSG) ist am 1. September 2023 in Kraft getreten und ersetzt das Gesetz von 1992, das angesichts der technologischen Entwicklungen veraltet war. Diese Totalrevision bringt das Schweizer Recht auf internationalen Standard, insbesondere die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union.

Die Grundsätze (Art. 6 DSG)

Art. 6 DSG legt die grundlegenden Bearbeitungsgrundsätze fest: Rechtmässigkeit – die Bearbeitung muss rechtskonform sein. Treu und Glauben – die Bearbeitung muss loyal und transparent sein. Verhältnismässigkeit – nur die für den angegebenen Zweck notwendigen Daten dürfen erhoben werden. Zweckbindung – die Daten dürfen nur zu dem bei der Erhebung angegebenen Zweck bearbeitet werden. Richtigkeit – die Daten müssen richtig und aktuell sein. Aufbewahrungsbeschränkung – die Daten müssen vernichtet oder anonymisiert werden, sobald sie nicht mehr benötigt werden.

Privacy by Design und by Default (Art. 7 DSG)

Art. 7 DSG führt zwei wesentliche Konzepte ein: Privacy by Design – der Verantwortliche muss den Datenschutz bereits bei der Konzeption seiner Systeme und Prozesse integrieren. Privacy by Default – die Standardeinstellungen müssen die geringstmögliche Bearbeitung gewährleisten. Konkret bedeutet dies, dass Anwendungen, Websites und IT-Systeme so konfiguriert sein müssen, dass die Datenerhebung standardmässig minimiert wird.

Die Informationspflicht (Art. 19–21 DSG)

Art. 19 DSG statuiert eine verstärkte Informationspflicht. Bei der Erhebung von Personendaten muss der Verantwortliche mitteilen: seine Identität und Kontaktdaten, den Bearbeitungszweck, die allfälligen Empfänger der Daten und bei Auslandsübermittlung das Zielland und die Schutzgarantien. Die Verletzung dieser Informationspflicht stellt eine Straftat dar.

Die Rechte der betroffenen Personen (Art. 25–27 DSG)

Das nDSG stärkt die Rechte der Betroffenen erheblich: Auskunftsrecht (Art. 25 DSG) – jede Person kann kostenlos beim Verantwortlichen anfragen, ob Personendaten über sie bearbeitet werden, und eine Kopie dieser Daten verlangen. Der Verantwortliche muss innert 30 Tagen antworten. Recht auf Datenportabilität (Art. 28 DSG) – die Betroffenen können verlangen, dass ihre Daten in einem gängigen elektronischen Format herausgegeben oder an einen anderen Verantwortlichen übertragen werden.

Die Strafsanktionen (Art. 60–66 DSG)

Eine der grossen Neuerungen des nDSG: Verstösse sind strafbewehrt. Art. 60 DSG sieht eine Busse von höchstens CHF 250'000 für Privatpersonen vor, die gegen die Informationspflicht verstossen, das Auskunftsrecht nicht einhalten, Daten gesetzwidrig ins Ausland übermitteln oder die Bearbeitung einem Auftragsbearbeiter übertragen, ohne die gesetzlichen Voraussetzungen einzuhalten. Im Gegensatz zur DSGVO richten sich die Sanktionen gegen natürliche Personen und nicht gegen das Unternehmen.

Vergleich mit der europäischen DSGVO

Das nDSG orientiert sich weitgehend an der DSGVO, weist aber bemerkenswerte Unterschiede auf: Sanktionen: Bussen bis CHF 250'000 (nDSG) vs. 4% des weltweiten Umsatzes (DSGVO). Zielgruppe: Natürliche Personen (nDSG) vs. Unternehmen (DSGVO). DSB: Keine Pflicht zur Ernennung eines Datenschutzbeauftragten (nDSG). Einwilligung: Keine systematische Einwilligung im nDSG erforderlich, wenn die Bearbeitung den Grundsätzen entspricht. Schweizer Unternehmen, die in der EU tätig sind, müssen beide Regelungen einhalten.