Ende Mai sorgte die Nachricht für großes Bedauern: Die Schweiz brach nach sieben Jahren die Verhandlungen mit der EU über einen Rahmenvertrag ab. Das Vertragswerk sollte die bilateralen Beziehungen auf eine neue Grundlage stellen. Schließlich sind gerade die Wirtschaftsbeziehungen seit Jahrzehnten eng und vielfältig. Dann die klaren Worte: Es habe keine Einigung über entscheidende Punkte gegeben, sagte der Schweizer Präsident Guy Parmelin. Tatsächlich hat sich die Schweiz in den vergangenen Jahren schon an EU-Recht angenähert und jetzt auch angekündigt diesen Kurs konsequent fortzusetzen. Beim Datenschutz ist dies bereits Realität. Das Schweizer Datenschutzgesetz (DSG) bewegt sich sehr nah am Niveau der Europäischen Datenschutzgrundverordnung (DSGVO), die seit fast drei Jahren den Datenschutz innerhalb der EU regelt. Aber es gibt Unterschiede und Besonderheiten. „Für Unternehmen hüben wie drüben der Grenze lohnt es sich diese genau zu betrachten“, erklärt der erfahrene Datenschutzexperte Dr. Jörn Voßbein. Heute geht es in unserer kleinen Serie über den Vergleich von DSG vs. DSGVO um die Rolle des Datenschutzberaters, die Konsultationen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB, das Verzeichnis von Bearbeitungstätigkeiten sowie die Vertretung von privaten Verarbeitern mit Sitz im Ausland.
Verlangt die DSGVO in bestimmten Fällen die Einsetzung eines Datenschutzbeauftragten, bleibt die Entscheidung über die Ernennung eines Datenschutzberaters so der Schweizerische Begriff im neuen Datenschutzgesetz jedem Unternehmen selbst überlassen. Die Aufgaben sind ähnlich. Der Datenschutzberater überwacht die Einhaltung der Datenschutzvorschriften innerhalb des Unternehmens und steht der Unternehmensleitung beratend zur Seite (Art. 10 Abs. 2 DSG). Diese trägt allerdings analog zur DSGVO immer noch allein die Verantwortung dafür, dass eine datenschutzkonforme Bearbeitung der Personendaten stattfindet. Trotzdem wird vom Datenschutzberater eine hohe Sachkunde erwartet, sie rechtfertigt die nachfolgende Erleichterung.
Wie in der DSGVO muss im Fall einer Datenschutz-Folgenabschätzung dann der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) konsultiert werden, wenn diese zu keiner Herabsetzung des Risikos führte. Wichtiger Unterschied zur DSGVO ist, dass von der Einbindung des EDÖB abgesehen werden kann, wenn ein Datenschutzberater ernannt ist. Dieser kann alternativ eingebunden werden. Allerdings ist dies zu dokumentieren. Trotzdem: Für Unternehmen eine klare Erleichterung und Vereinfachung und damit ein Argument für die Ernennung eines Datenschutzberaters.
Eine wichtige Neuerung stellt das Führen von Verzeichnissen von Bearbeitungstätigkeiten dar. Konkret: Das neue DSG verlangt von Verantwortlichen und Auftragsverarbeitern, jede Datenbearbeitung zu dokumentieren. Diese Pflicht ist mit der Führung eines Verzeichnisses aller Verarbeitungstätigkeiten in der DSGVO gleichzustellen. Die bisherige Meldepflicht beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) entfällt. Das neue DSG enthält eine Auflistung der Informationen, die dieses Verzeichnis enthalten muss.
Verantwortliche, die nicht in der Schweiz ansässig sind, aber personenbezogene Daten von Betroffenen verarbeiten, die sich in der Schweiz aufhalten, müssen einen Vertreter in der Schweiz benennen, wenn eine der drei Situationen zutrifft:
- Die Verarbeitung steht im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen in der Schweiz oder mit der Überwachung des Verhaltens von Menschen in der Schweiz.
- Die Verarbeitung personenbezogener Daten ist umfangreich und findet regelmäßig statt.
- Die Verarbeitung führt wahrscheinlich zu einem hohen Risiko für die Privatsphäre der betroffenen Person.
Diese Pflichten sind vergleichbar mit der DSGVO. Aber es empfiehlt sich eine Einzelfallprüfung. Gerade bei Konzernverbünden bestehend aus verschiedenen zusammenarbeitenden Gesellschaften und unterschiedlichen Unternehmenssitzen. „Die aufgezeigten Sachverhalte zeigen, dass eine unternehmensgenaue Betrachtung erforderlich ist. Deshalb sollten Verantwortliche und Auftragsverarbeiter mit Sitz in der Schweiz oder solche, die an Datenübermittlungen in die Schweiz beteiligt sind, mit Handlungsempfehlungen arbeiten. Diese liefert die UIMC als Rüstzeug, um datenschutzsicher durch unsichere Zeiten zu kommen“, betont Dr. Jörn Voßbein.
Dies ist der vierte Teil der UIMC-Reihe zum neuen Schweizerischen Datenschutzgesetz:
Teil 1: Neuregelung des Schweizer Datenschutzes Ein kurzer Überblick
Teil 2: Schweizer Grundsätze bei der Datenverarbeitung
Teil 3: Datenschutz-Folgenabschätzung und Privacy by Design