Die Schweiz ist ein reines Binnenland ohne Meerzugang, aber aus wirtschaftlicher Perspektive ist die Schweiz eine Insel. Umschlossen von Mitgliedsstaaten der Europäischen Union: im Norden die Bundesrepublik, im Westen Frankreich, im Süden Italien und im Osten Österreich. Die Eidgenossen sind zwar wirtschaftlich von EU-Mitgliedsstaaten umgeben und in hohem Maße mit den 27 EU-Staaten ökonomisch verflochten, aber dennoch behält sich die Schweiz eine Eigenständigkeit in vielen gesetzlichen Regelungen vor. Das schweizerische Datenschutzgesetz (DSG) ist hierfür ein weiteres Beispiel in einer langen Kette. Zwar ist es neuerdings eng an die europäischen Regeln der DSGVO angelehnt, aber es gibt einige beachtenswerte Abweichungen. „Gerade die Datenverarbeitung ist für Unternehmen bedeutsam. Hier gibt es Unterschiede zum EU-Raum“, erklärt der langjährige Datenschutzfachmann Dr. Jörn Voßbein. Welche Rechtfertigungsgründe benötigt man in der Eidgenossenschaft, um Daten regelkonform verarbeiten zu können und was ist anders als im EU-Raum.
Für eine Datenverarbeitung muss gemäß des DSG eine rechtsgültige Einwilligung vorliegen. Die Voraussetzungen entsprechen denen der DSGVO. Ohne Zweifel bedeutsam ist die Abgrenzung und Erkennbarkeit der Einwilligung sowie die Vollständigkeit der Informationen zur Datenverarbeitung. Trotzdem sind ausdrückliche Einwilligungen erforderlich für a) die Bearbeitung von besonders schützenswerten Personendaten, b) ein Profiling mit hohem Risiko durch private Personen; und c) ein Profiling durch Bundesorgane.
Wie bei der DSGVO gibt es auch im Datenschutzgesetz der Schweiz auch Rechtfertigungsgründe für die Datenverarbeitung. „Rechtfertigungsgründe stellen eine Erlaubnis von Datenverarbeitungen dar, ohne dass hierbei die Persönlichkeitsrechte verletzt werden,“ erklärt Datenschutzexperte Dr. Jörn Voßbein auf Basis seiner gesammelten Erfahrungen in der Schweiz und der EU. Allerdings sind die Rechtsfertigungsgründe im Zusammenhang mit der jeweiligen Datenverarbeitung auf ihre Anwendbarkeit gewissenhaft zu prüfen, um Verstöße gegen das DSG zu verhindern. Aber anders als nach der DSGVO sind diese Rechtfertigungsgründe in Informationspflichten oder Auskunftsersuchen nicht zwingend zu nennen. Ratsam kann es allerdings dennoch sein. Letztlich sollte jeder Fall einer Einzelfallbetrachtung unterzogen werden.
Eine wirkliche Neuheit stellt der Rechtfertigungsgrund zur Bonitätsprüfung dar. Allerdings sind im DSG vier Voraussetzungen genannt, die erfüllt sein müssen, damit dieser Rechtfertigungsgrund zur Datenverarbeitung herangezogen werden kann:
- Es handelt sich weder um besonders schützenswerte Personendaten noch um ein Profiling mit hohem Risiko.
- Die Daten werden Dritten nur bekanntgegeben, wenn diese die Daten für den Abschluss oder die Abwicklung eines Vertrags mit der betroffenen Person benötigen.
- Die Daten sind nicht älter als zehn Jahre.
- Die betroffene Person ist volljährig.
Bei anderen Themenfeldern lehnt sich das DSG relativ eng an die Vorgaben der DSGVO an, so zum Beispiel bei der Zulässigkeit von automatisierten Einzelentscheidungen trotzdem empfiehlt es sich, auch hier eine Einzelfallprüfung vorzunehmen, um alle vorhandenen Ausnahmen in Betracht zu ziehen.
„Die Regelungen im DSG zur Datenverarbeitung weisen Besonderheiten auf. Für schweizerische Unternehmen, deren Geschäftsbeziehungen über die Landesgrenzen hinausreichen, bedeutet dies, sowohl die eidgenössische Gesetzgebung wie auch die europäische DSGVO im Blick zu behalten. Das ist eine unternehmerische Herausforderung, die ohne Fachexpertise schnell zu Fehlern und Strafzahlungen führt“, berichtet UIMC-Geschäftsführer Dr. Jörn Voßbein aus seinen einschlägigen Erfahrungen. Die DSGVO ist ohnehin einzuhalten, wenn bei der Datenverarbeitung auch Bürger der EU betroffen sind, was bei der o. g. wirtschaftlichen Verflechtung ohnehin oft vorkommen wird.