Das revidierte Datenschutzrecht der Schweiz
1. Weshalb das DSG revidiert wurde
Das schweizerische materielle Datenschutzrecht ist zersplittert: Für private Unternehmen und für Bundesorgane gilt in erster Linie das Bundesgesetz über den Datenschutz («DSG»), für Behörden auf kantonaler Ebene und in den Gemeinden gelten jeweils kantonale Datenschutzgesetze. Dazu kommt eine Vielzahl sektorieller Regelungen. Das in der Praxis aber wohl bedeutendste Gesetz bleibt das DSG. Es wird durch Verordnungen ergänzt und konkretisiert, vor allem durch die Datenschutzverordnung («DSV»).
Das alte DSG war Ende der 80er Jahre geschaffen worden und 1992 in Kraft getreten. Seither hat sich Welt verändert, die Digitalisierung und damit die Risiken schwer absehbarer Datenauswertungen sind explodiert. Die Instrumente des alten DSG waren dem nicht gewachsen: Weder sah es ausreichende Vollzugsinstrumente vor, noch kannte es eine eigentliche Governance. Die Einhaltung des DSG beruhte deshalb vor allem auf dem guten Willen der Unternehmen und ihren sehr unterschiedlich ausgeprägten Reputationsrisiken; der Ausdruck «Vollzugsdefizit» war sicher nicht falsch. Auch waren internationale Entwicklungen nachzuvollziehen. Das betrifft die Schengen-Bestimmungen und die Revision der Europaratskonvention 108 (ERK 108), die für die Schweiz verbindlich sind, aber natürlich auch die DSGVO. Die Sorge um die Angemessenheit des schweizerischen Rechts, die die EU-Kommission erst kürzlich bestätigt hat, und die Bedeutung der DSGVO als extraterritorial anwendbare Rechtsordnung, als Schrittmacher der internationalen Entwicklung und als Referenzrahmen der datenschutzrechtlichen Diskussion haben eine gewisse Angleichung unausweichlich gemacht.
Nach jahrelangen Vorarbeiten sind das totalrevidierte DSG und die ebenfalls totalrevidierte DSV am 1. September 2023 in Kraft getreten. Sie gelten seither, weitgehend ohne Übergangsfristen.
2. Was die Revision gebracht hat
Die Revision verfolgte im Wesentlichen drei Ziele: Sie sollte die Anwendung und Durchsetzung des DSG verbessern, die Transparenz der Datenbearbeitungen fördern (das DSG spricht von «bearbeiten» und von «Personendaten» statt von «verarbeiten» und «personenbezogenen Daten») und den Abstand zur DSGVO und zur ERK 108 verringern. Das ist zumindest teilweise gelungen, auch wenn das revidierte Recht, ähnlich wie die DSGVO, zu Rechtsunsicherheit führt.
Die schweizerische Aufsichtsbehörde auf Bundesebene ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte («EDÖB»; «Öffentlichkeitsbeauftragter» bezieht sich auf seine Aufgaben im schweizerischen Informationsfreiheitsrecht). Das neue DSG stattet ihn mit größeren Kompetenzen aus: Im privaten Bereich konnte er bisher nur Untersuchungen durchführen, wenn Verletzungen mit einer gewissen Breitenwirkung zur Diskussion standen, und er konnte Untersuchungen nur mit unverbindlichen Empfehlungen abschließen. Erst die Gerichte konnten verbindliche Anweisungen erlassen. Mit dem neuen Recht ist der EDÖB bei Untersuchungen etwas freier, und vor allem kann er nun – unter anderem – die Anpassung oder Einstellung von Datenbearbeitungen verfügen.
Neu sind ebenfalls Bestimmungen zur Informationspflicht. Das alte Recht kannte eine solche – über den Transparenzgrundsatz hinaus – nur bei bestimmten besonders riskanten Bearbeitungen. Nun gilt eine Informationspflicht, die mit jener von Art. 13 Abs. 1 f. DSGVO vergleichbar ist. Die Anforderungen sind allerdings etwas niedriger, die Ausnahmen etwas grosszügiger. Datenschutzerklärungen, die der DSGVO entsprechen, müssen für die Schweiz daher nur punktuell angepasst werden – in Details aber durchaus. Auch bei den weiteren Betroffenenrechten wirkt die Revision verschärfend: Das Auskunftsrecht kannte auch das alte DSG, es wurde aber etwas breiter angewendet, und neu ist das Recht auf Datenportabilität.
Für private Unternehmen ebenfalls neu sind Pflichten, die man der Governance und der Datensicherheit zuordnen kann: Sie müssen Bearbeitungsverzeichnisse führen (es gibt hier kaum Unterschiede zu Art. 12 DSGVO) und bei voraussichtlich hohen Risiken für Betroffene eine Datenschutzfolgenabschätzung durchführen (auch hier sind die Unterschiede zur Regelung in der DSGVO klein), und Da- tensicherheitsverletzungen müssen unter Umständen dem EDÖB oder den betroffenen Personen mitgeteilt werden.
3. Wie sich das DSG weiterhin von der DSGVO unterscheidet
Da die DSGVO für die Schweiz nicht verbindlich ist, kann die entsprechende Praxis nicht unbesehen übernommen werden. Das DSG verfolgt auch einen auffallend anderen Regelungsansatz als die DSGVO. Es beruht nicht auf dem Verbotsprinzip, sondern erlaubt eine Bearbeitung von Personendaten grundsätzlich, solange die allgemeinen Grundsätze der Bearbeitung (die weitgehend Art. 5 Abs. 1 DSGVO entsprechen) eingehalten werden. In der Praxis bedeutet dies nicht nur mehr Realismus, sondern vor allem, dass häufiger auf Einwilligungen verzichtet werden darf.
Allgemein ist die DSGVO formalistischer als das DSG. Letzteres kennt etwa keinen allgemeinen «Accountability»-Grundsatz – es kommt also weder zu einer Beweislastumkehr noch stellt fehlende Nachweisbarkeit einen eigenständigen Verstoss gegen das DSG dar.
Auch anderswo bestehen Unterschiede, etwa beim Kopplungsverbot, das in der Schweiz bewusst nicht übernommen wurde, bei den Betroffenenrechten, die kein eigentliches Erleichterungsgebot kennen, bei der Meldepflicht von Sicherheitsverletzungen, deren Schwelle höher angesetzt ist, oder beim Datenschutzberater – dem Äquivalent zum Datenschutzbeauftragten –, dessen Bestellung im Privatbereich in allen Fällen freiwillig ist.
Ein weiterer Unterschied besteht in der Behördenpraxis. Aufsichtsbehörden in der EU agieren zwar mit unterschiedlichem Impetus, sind aber erheblich aktiver und meist auch strenger als der EDÖB. Letzterer sieht sich in der Praxis erfahrungsgemäss weniger als Regulator und mehr als pragmatische Aufsichts- und Beratungsbehörde. Entsprechend fallen seine Stellungnahmen meist lebensnäher aus; dafür sind sie teilweise nur lose ans DSG angelehnt. In letzter Zeit lässt sich allerdings eine gewisse Verschärfung seiner Praxis beobachten.
Strenger als die DSGVO ist das DSG nur in wenigen Punkten, etwa bei der Informationspflicht (bei einer Übermittlung ins Ausland sind die Empfängerstaaten zu nennen, selbst bei Angemessenheit) oder bei der Protokollierung hochriskanter Datenbearbeitungen.
4. Wann das DSG anwendbar ist
Es ist nicht ganz einfach den räumlichen Anwendungsbereich des DSG zu bestimmen, weil abhängig von der Rechtsnatur unterschiedliche kollisionsrechtliche Regeln gelten. Für Bestimmungen privatrechtlicher Natur wie beispielsweise jene über die Bearbeitungsgrundsätze oder Betroffenenrechte besitzt die betroffene Person ein Wahlrecht, sofern ein Gericht in der Schweiz zuständig ist. Sie kann – vereinfacht ausgedrückt – wählen, ob sie ihr Heimatrecht zur Anwendung bringen oder sich auf das Recht des Verantwortlichen oder Auftragsbearbeiters berufen will, dem sie eine Datenschutzverletzung vorwirft. Unternehmen außerhalb der Schweiz müssen deshalb damit rechnen, dem DSG unterstellt zu sein, soweit sie Personendaten von Personen in der Schweiz nicht nur zufällig oder ganz vereinzelt bearbeiten.
Andere Regelungen sind öffentlich-rechtlicher Natur, so die Bestimmungen über den EDÖB, aber auch die Informationspflicht oder die Governance-Pflichten. Das DSG gilt hier, wenn eine Datenbearbeitung von einer Niederlassung in der Schweiz veranlasst wurde (etwa von einer Tochter oder Zweigniederlassung) oder wenn eine Bearbeitung eine aus- reichende Auswirkung auf die Schweiz hat. Im Sinne einer Faustregel trifft letzteres zu, wenn der Verantwortliche oder Auftragsbearbeiter seine Tätigkeit auf die Schweiz ausrichtet.
Im Ergebnis ist also maßgeben, ob eine Datenbearbeitung mit einer gewissen Ausrichtung auf die Schweiz verbunden ist. Ist das DSG in diesem Sinne anwendbar, können es auch die strafrechtlichen Bestimmungen sein.
Das DSG kennt eine Pflicht ausländischer Unternehmen einen Vertreter in der Schweiz zu bestimmen. Man hat sich hier an Art. 3 und 27 DSGVO angelehnt. Sie gilt allerdings nur, wenn eine Bearbeitung von Personendaten Personen in der Schweiz betrifft, im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz steht, umfangreich und regelmässig ist und zu einem hohen Risiko für die Betroffenen führt. Diese Bedingungen sind reichlich vage, und bisher ist kaum geklärt, wie weit die Vertreterpflicht reicht. Es wurden jedenfalls erst wenige Vertretungen bestellt.
5. Welche Rechtsrisiken bestehen
Die Risiken im Fall einer Verletzung des Datenschutzrechts sind nicht nur rechtlichen Ursprungs – im Vordergrund stehen weiterhin Reputationsrisiken und die Sorge um das Kundenvertrauen. Die Rechtsrisiken haben sich mit der Revision des DSG aber deutlich erhöht.
Wie bereits erwähnt hat der EDÖB nun die Möglichkeit Datenbearbeitungen zu untersagen oder eine Anpassung zu verfügen. Bisher ist er nicht allzu aktiv. Es wurden zwar Untersuchungen nach neuem Recht eingeleitet, aber – soweit bekannt – noch nicht durch Verfügungen abgeschlossen. Aber natürlich steht der EDÖB unter einem gewissen Druck von den erweiterten Kompetenzen auch Gebrauch zu machen, und in letzter Zeit ist eine gewisse Verschärfung zu beobachten.
Dazu kommen strafrechtliche Sanktionen. Der Gesetzgeber hat bewusst davon Abstand genommen Unternehmensbußen vorzusehen. Stattdessen können bestimmte Verletzungen mit Buße bis zu CHF 250’000 bestraft werden (fak- tisch sind diese Bußen nicht versicherbar), und zudem droht ein Eintrag im Strafregister. Dabei sind es nicht etwa die Unternehmen, die gebüßt würden, sondern diejenigen Personen, die innerhalb des Unternehmens für den Verstoß verantwortlich sind.
Nur ausnahmsweise kann eine Buße dem Unternehmen auferlegt werden: Wenn sie den Betrag von 50.000 CHF nicht übersteigt und der Aufwand zur Ermittlung der verantwortlichen Person unverhältnismässig wäre. Die Risiken treffen daher in erster Linie Business-Funktionen (etwa Marketingleiter oder Personen im Bereich HR, die beispielsweise die Korrektheit einer Datenschutzerklärung prüfen), aber auch jede andere Person, solange die entsprechende Entscheidung von ihr getroffen wurde. Auch ein Datenschutzberater ist nicht vor Bußen gefeit, sofern er für einen Verstoß verantwortlich ist – ist er tatsächlich unabhängig, sollte dies aber eine Ausnahme sein.
Jedenfalls setzt eine Buße voraus, dass die entsprechende Verletzung strafbedroht ist. Das trifft zum Beispiel auf falsche Angaben in Datenschutzerklärungen oder in einer Auskunft zu, ebenso wie für eine unzulässige Übermittlung ins Ausland oder eine Auftragsbearbeitung ohne entsprechende Vereinbarung, nicht aber auf eine unterlassene DSFA, eine unterlassene Meldung einer Sicherheitsverletzung oder eine zu Unrecht verweigerte Auskunft. Unklar ist die Lage im Bereich der Datensicherheit: Zwar ist eine Verletzung der Mindestanforderungen an die Datensicherheit grundsätzlich strafbar, aber es ist offen, ob es dem Gesetzgeber tatsächlich gelungen ist solche Mindestanforderungen zu formulieren; die Anforderungen an die Sicherheit sind weitgehend programmatischer Natur.
Strafbar sind nur vorsätzliche Verstöße. Das schließt zwar den Eventualvorsatz ein, die bewusste Inkaufnahme der Verletzung, aber nicht schon Nachlässigkeiten. Und schließlich setzt die Verfolgung einer Verletzung in fast allen Fällen einen Strafantrag voraus. Die Strafverfolgung liegt dabei bei den Kantonen, nicht beim EDÖB, und bisher sind keine Strafverfahren wegen Verletzungen des DSG bekannt. Es bleibt dennoch ein Unbehagen, besonders wegen der sehr offen formulierten Tatbestände.
Nicht ausgeschlossen ist ferner eine zivilrechtliche Haftung gegenüber den Betroffenen. Das DSG kennt allerdings keinen immateriellen Schadenersatz, und der erforderliche, konkrete Nachweis eines Schadens ist oft nicht möglich. Schadenersatzrisiken sind deshalb meist niedrig. Aber selbstverständlich kann eine Datenschutzverletzung zugleich eine Vertrags- verletzung bedeuten, mit den entsprechenden Folgen.
6. Was Unternehmen im Ausland tun sollten
Unternehmen im Ausland sollten prüfen, wenn ihre Bearbeitungen einen Bezug zur Schweiz haben, ob diese in Zusammenhang mit einer gewissen Ausrichtung auf die Schweiz steht. Trifft dies zu und ist das DSG entsprechend anwendbar, kann das Unternehmen zunächst von den bestehenden Compliance-Maßnahmen ausgehen. Es wird kaum Dokumentation oder Prozesse benötigen, die nicht auch unter der DSGVO erforderlich wären.
Allerdings werden Anpassungen erforderlich sein. Das betrifft zunächst den Anwendungsbereich interner Vorgaben, Prozesse und Verzeichnisse international tätiger Unternehmen oder Gruppen, die nicht auf die DSGVO beziehungsweise das EWR-Gebiet beschränkt sind. Auch ihr Inhalt sollte die Schweiz einschliessen – so sollten Prozessbeschreibungen für den Umgang mit Sicherheitsverletzungen auch die Meldung an den EDÖB und an Betroffene in der Schweiz abdecken, und Bearbeitungsverzeichnisse sollten auch lokale Bearbeitungen abdecken. Es spricht aber nichts dagegen die Bearbeitungen schweizerischer Gesellschaften in einem übergreifenden Verzeichnis zu erfassen.
Auch inhaltlich werden sich gewisse Anpassungen aufdrängen. Datenschutzerklärungen etwa sind zu prüfen, weil das DSG hier in wenigen Punkten etwas strenger ist. Auch bei Prozessbeschreibungen sind Abweichungen des DSG zu berücksichtigen. Beispielsweise ist die Regelung des Auskunftsrechts etwas anders, und vor allem sind die Verweigerungsgründe weiter gefasst. Schliesslich sollte das DSG bei Richtlinien und Verträgen wie etwa bei ADV, der Vereinbarung gemeinsam Verantwortlicher oder den üblichen gruppenweiten Rahmenvereinbarungen abgedeckt werden – dies nicht nur, um formal die Schweiz zu berücksichtigen, sondern unter Umständen auch, um die etwas weiteren Spielräume des DSG zu nutzen (sofern ein international tätiges Unternehmen nicht weltweit denselben Standard aufrechterhalten will, was allerdings häufig zu beobachten ist). Die Anforderungen an Richtlinien und Verträge unterscheiden sich aber kaum; auch die Standardvertragsklauseln können für Exporte aus der Schweiz verwendet werden, mit kleineren Anpassungen.
In organisatorischer Hinsicht wird der Anpassungsaufwand niedrig sein, unter anderem weil das DSG nicht verlangt, einen Datenschutzberater zu bestellen. Entscheidet sich ein Unternehmen freiwillig für einen Datenschutzberater, kann dessen Funktion grundsätzlich auch von einem ausländischen Datenschutzverantwortlichen erfüllt werden, sofern dieser ausreichend mit dem DSG vertraut ist und bei Bedarf in die Schweiz reisen kann. Bei Schulungen schliesslich werden Mitarbeitende in der Schweiz oft besonders geschult (auch wenn das DSG dies nicht verlangt), häufig auch in Ergänzung zu einer bestehenden allgemeinen Schulung.
7. Was noch kommt
Die Revision des DSG ist abgeschlossen, aber nicht die Evolution des Datenschutzrechts. Es ist absehbar, dass sich die Praxis weiter dem europäischen Recht annähert, besonders der DSGVO, auch wenn sie für die Schweiz rechtlich betrachtet nicht maßgebend ist. Die Entscheidungen des EuGH werden stark beachtet, ebenso wie Leitlinien des EDSA oder Handlungsanweisungen ausländischer (besonders deutscher) Aufsichtsbehörden. Kaum eine datenschutzrechtliche Prüfung kommt ohne einen Blick auf die DSGVO aus – aus diesem Grund begleiten wir die Entwicklung des Europäischen Datenschutzrechts auf www.datenrecht.ch. Es ist absehbar, dass sich die Praxis des DSG jener der DSGVO bis zu einem gewissen Grad annähern wird, auch wenn man das bedauern muss.
Die weiteren Regulierungen der EU ziehen an der Schweiz nicht spurlos vorüber, sei es, weil sie einen extraterritorialen Anwendungsbereich haben wie etwa der Digital Services Act, die KI-Verordnung, DORA und andere Erlasse, sei es, weil die Schweiz mit parallelen Regelungen nachzieht. Sie plant beispielsweise die Regulierung großer Kommunikationsplattformen; bis Ende März 2024 will der Bundesrat einen Vorschlag unterbreiten. Bei der Regulierung der künstlichen Intelligenz ist die Schweiz kein Vorreiter, aber bis Ende 2024 soll auch hier mehr Klarheit über das weitere Vorgehen herrschen. Es wäre keine Überraschung, wenn sich die Schweiz an die KI-Verordnung anlehnt.
