Was der EU in Sachen Datenschutz die DSGVO ist, das ist den Schweizern das DSG. Seit September ist das Schweizer Datenschutzgesetz in einer überarbeiteten Version in Kraft – und betrifft auch deutsche Unternehmen, die den Schweizer Markt ansprechen. Sinja Huesgen, Rechtsanwältin in der Kanzlei Morgenstern, hat vor Kurzem bei der IHK Hochrhein-Bodensee dazu referiert und erklärt, was auch deutsche Firmen jetzt beachten müssen.
Seit September 2023 gilt das totalrevidierte Schweizer Datenschutzgesetz (DSG). Zudem trat auch die neue Verordnung über den Datenschutz (DSV) in Kraft, die – ähnlich den Erwägungsgründen in der DSGVO – die im DSG niedergeschriebenen Maßnahmen konkretisiert und Hinweise zur Umsetzung gibt.
Tatsächlich sind nicht nur Schweizer Unternehmen vom Geltungsbereich des neuen Regelwerks betroffen. Wie man es schon aus der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union kennt, gibt es auch im neuen DSG eine Art „Marktortprinzip“. Das bedeutet, auch Unternehmen, die in die Schweiz hineinagieren oder Personendaten von Schweizer Kunden bearbeiten, müssen die neuen Bestimmungen des Nachbarlandes beachten. Wirft man einen Blick ins DSG, wird schnell klar, dass man Vieles bereits von der DSGVO her kennt.
Sinja Huesgen
… ist Rechtsanwältin in der Kanzlei „MORGENSTERN“ am Standort Konstanz und Leiterin der Practise Group Schweiz. Morgenstern ist auf IT-Recht, Datenschutz und Digitalisierung spezialisiert und fungiert auch als Vertretung in der Schweiz.
Wer muss sich an die neuen Pflichten halten?
Grundsätzlich sind erstmal alle Schweizer Unternehmen vom Geltungsbereich des DSG umfasst. Wenn sie Personendaten von natürlichen Personen bearbeiten, müssen sie sich an die Regelungen halten. Aber auch Unternehmen aus dem Ausland können vom Anwendungsbereich des Schweizer DSG erfasst sein. Es gilt nämlich ebenso für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst wurden. Sprich: Jedes Unternehmen, das Personendaten von Schweizern bearbeitet – also zum Beispiel in Kontakt mit Schweizer Kunden steht, Waren dorthin einführt, Dienstleistungen in der Schweiz erbringt oder das Verhalten von Schweizern etwa durch Tracking beobachtet, muss neben der DSGVO nun auch die Datenschutzbestimmungen der Eidgenossen einhalten. Gerade in der Grenzregion dürfte das viele Unternehmer, Handels- und Handwerksbetriebe betreffen.
Welche Anforderungen sieht das DSG vor?
Die wichtigste Botschaft vorweg: Es gibt keinen Grund zur Panik. Wer als Unternehmer in der EU oder dem EWR ansässig ist, muss sich ohnehin schon an die DSGVO halten. Und auch wenn die Begrifflichkeiten im neuen DSG der Schweiz etwas abweichen, so sind die Inhalte überwiegend ähnlich.
Das Schweizer DSG gibt nun folgende Anforderungen und Pflichten vor:
- Führen eines Verzeichnisses der Bearbeitungstätigkeiten
- Erstellen von Informationspflichten
(zum Beispiel Datenschutzerklärung auf einer Webseite, Datenschutzinformationen für Kunden) - Durchführen von Datenschutz-Folgenabschätzungen
- Melden von Verletzungen der Datensicherheit
- Erfüllung von Betroffenenrechten (beispielsweise Auskunftsrecht, Datenherausgabe)
- Gewährleisten einer dem Risiko angemessenen Datensicherheit durch geeignete technische und organisatorische Maßnahmen („TOM“)
- Ernennen eines Vertreters in der Schweiz (für Unternehmen aus dem Ausland)
- Gegebenenfalls Ernennen eines Datenschutzberaters
- Abschließen eines Vertrags über die Auftragsbearbeitung
Wer braucht einen Vertreter in der Schweiz?
Jedes Unternehmen. Alle Betriebe mit (Wohn-)Sitz im Ausland müssen eine Vertretung in der Schweiz benennen, wenn sie Personendaten von Menschen in der Schweiz bearbeiten und eine der nachfolgenden weiteren Voraussetzungen zutrifft:
- es werden Waren oder Dienstleistungen angeboten oder das Verhalten von Personen in der Schweiz beobachtet (etwa durch Tracking auf einer Webseite) oder
- es findet eine regelmäßige oder umfangreiche Bearbeitung statt oder
- die Bearbeitung bringt ein hohes Risiko für die Persönlichkeit der betroffenen Person mit sich.
Wichtig zu wissen ist, dass die Pflicht, eine Vertretung zu benennen, nicht davon abhängt, ob bereits eine – selbstständige oder unselbstständige – Zweigniederlassung oder Tochtergesellschaft in der Schweiz besteht. Jedes Unternehmen aus Deutschland, das in die Schweiz hineinagiert, benötigt also eine Vertretung.
Wer kann als Vertreter benannt werden?
Hier sieht das DSG keine konkreten Vorgaben vor. Es kann jedes Unternehmen oder jede natürliche Person mit (Wohn-)Sitz in der Schweiz benannt werden – auch die eigene Schweizer Niederlassung oder Tochtergesellschaft, wenn der Hauptsitz beispielsweise in Deutschland liegt. Empfehlenswert ist, eine Person zu wählen, die grundlegende Kenntnisse und Erfahrung mit dem Schweizer Datenschutz hat. Denn auch der Vertreter hat gewisse Pflichten – etwa das Führen des Verzeichnisses der Bearbeitungstätigkeiten oder die Mitteilung an Betroffene, wie sie ihre Rechte ausüben können.
Wie legt man seinen Datenschutz gut und grenzüberschreitend an?
Unternehmen bauen ihre Datenschutzorganisation am besten von außen nach innen auf. Zunächst sollten alle Anforderungen und Pflichten umgesetzt werden, die von betroffenen Personen oder Konkurrenzunternehmen eingesehen werden können, wie etwa die Datenschutzerklärung auf der Webseite und in den Sozialen Medien oder Datenschutzinformationen für Kunden.
Dann gehört das Auftragsmanagement auf den Prüfstand: Wurde mit jedem Dienstleister ein Vertrag zur Auftragsbearbeitung geschlossen? Sind die „TOM“ aktuell und auf dem Stand der Technik? Mitarbeiter sollten sensibilisiert und geschult sein – denn Datenschutz funktioniert nur, wenn alle am gleichen Strang ziehen. Unternehmen können auf das zurückgreifen, was sie schon haben: Man benötigt nicht für alles extra Dokumente – auch eine Kombination aus DSGVO und DSG ist möglich. Achten sollten Firmen darauf, dass alle Anforderungen erfüllt werden und die entsprechenden Dokumente auf das Unternehmen, die Bearbeitungen und Bedürfnisse angepasst, transparent und deutlich sind.
Text: Sinja Huesgen, Morgenstern
Bild: Adobe Stock – ontronix
IHK-Experten zum Thema
IHK Hochrhein-Bodensee:
Susanne Tempelmeyer-Vetter
Telefon: 07531 2860-156
Mail: susanne.tempelmeyer-vetter@konstanz.ihk.de
IHK Schwarzwald-Baar-Heuberg:
Stefan Villing
Telefon: 07721 922-240
Mail: villing@vs.ihk.de
IHK Südlicher Oberrhein:
Susi Tölzel
Telefon: 0761 3858-863
Mail: susi.toelzel@freiburg.ihk.de
Handelskammer Deutschland-Schweiz:
www.handelskammer-d-ch.ch