Winterthur, 10. November 2023
Kategorie: Datenschutz
Die Unterschiede DSG zu DSGVO
Im Grundsatz hat die Schweiz ihre Datenschutzbestimmungen weitgehend den europäischen datenschutzrechtlichen Bestimmungen angepasst. Der Datenschutz entfaltet erst dann seine volle Wirksamkeit, wenn Datenschutzlücken national und international geschlossen werden können. Ansonsten würde es der Schweiz sehr schwer fallen, ihr eigenes Datenschutzgesetz international gegenüber grossen Unternehmen mit Sitz in Drittländern durchzusetzen.
Gleichwohl möchten wir an dieser Stelle die wesentlichen Unterschiede des Datenschutzgesetzes gegenüber der europäischen Datenschutz-Grundverordnung DSGVO herausschälen.
Auslöser
Weshalb ist der Datenschutz aktuell so wichtig? 1989 erschütterte die Schweiz die sogenannte Fichenaffäre. Es war in den Nachkriegsjahren der grösste politische Skandal in der Schweiz. Die Aufdeckung eines riesigen Überwachungsskandals brachte zum Vorschein, dass das politische Verhalten von gegen 700‘000 Personen in der Schweiz auf Karten erfasst wurde, so unter anderem auch dasjenige des bekannten Schriftstellers Max Frisch.
Während des Kalten Krieges überwachten unsere Behörden sämtliche Personen und Gruppen, welche die rechtsstaatliche Ordnung in der Schweiz hätten in Gefahr bringen können und als subversiv einzustufen waren. Darunter befanden sich Migranten, Linke, Fachkräfte die in die Schweiz kamen, selbst Personen aus der Mittelschicht, der Frauen-, Friedens- und Anti AKW Bewegungen. Es herrschte grosse Angst und Verunsicherung. Tausende Menschen verlangten bei der Bundespolizei Einsicht in ihre Akten.
Die neuen Bestimmungen
Unser Datenschutzgesetz aus dem Jahre 1993 war letztlich die Konsequenz dieser Fichenaffäre. Auch in Art. 13 Abs. 2 der Bundesverfassung ist der Schutz vor Missbrauch der persönlichen Daten verankert: „Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten“.
Zwischenzeitlich hat sich jedoch viel getan, insbesondere hat die Digitalisierung alle unsere Lebensbereiche stark beeinflusst. Täglich werden abertausende Daten erfasst, bearbeitet und übermittelt. Kaum jemand hat noch den Durchblick, wo diese Daten überall abgelegt und gespeichert sind.
Die Europäische Union hat diesen Sachverhalt früh erkannt und bereits 2018 die europäische Datenschutz-Grundverordnung, die DSGVO, eingeführt und klar festgehalten, dass ein Recht auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechts besteht. Dies bedeutet, dass jeder Einzelne das Recht hat, selbständig über seine personenbezogenen Daten zu entscheiden und zu bestimmen, wie die Daten verwendet werden dürfen.
Für wen gelten nun die Datenschutzbestimmungen
Die europäischen Datenschutzbestimmungen der DSGVO gelten auch für Schweizer Unternehmen, wenn sie a) personenbezogen Daten von Privaten in der EU verarbeiten, b) wenn sie Privaten in der EU Waren oder Dienstleistungen anbieten und c) wenn sie das Verhalten von Personen in der EU beobachten.
Wo liegen die Unterschiede/Abgrenzungen?
DSGVO | DSG | Bemerkung | |
Wer ist verantwortlich für den Datenschutz | Art. 4, Nr. 7 DSGVO
die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet | Art. 5 lit. j DSG
die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet | |
Bussgelder | Art. 83 DSGVO, Bussen bis zu 20 Mio. EUR oder bei Unternehmen 4% des weltweiten Gesamtjahresumsatzes | Art. 60 ff. DSG, Mit Bussen bis zu 250‘000 CHF werden private Personen auf Antrag bestraft. | Die Strafe erleidet in der Schweiz – im Gegensatz zur DSGVO – die natürliche Person (nur ausnahmsweise die juristische Person) |
Datenschutzberater, -beauftragte | Art. 37 DSGVO, Pflicht Öffnungsklausel Art. 37 Abs. 4 DSGVO. Pflicht zur Benennung in Paragraph 38 BDSG (Deutschland) geregelt, wenn gewisse Voraussetzungen erfüllt sind. | Art. 10 DSG, keine Pflicht, trotzdem sehr empfehlenswert | Was in Deutschland der Datenschutzbeauftragte ist, bezeichnet man in der Schweiz als Datenschutzberater |
Profiling | Art. 6, 22 DSGVO, es besteht eine allgemeine Pflicht eine Einwilligung einzuholen, abgesehen von gewissen Ausnahmen. | Art. 5. DSG, macht Unterscheidung zwischen „Profiling“ und „Profiling mit hohem Risiko“. Weder für ein Profiling noch für ein Profiling mit hohem Risiko wird eine Einwilligung der betroffenen Person benötigt. | |
Datenschutzverletzungen | Art. 33 DSGVO, unverzüglich möglichst innert 72 Stunden an die zuständige Behörde. | Art. 24 DSG, Meldung einer Verletzung, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder Grundrechte führt, so rasch als möglich. | |
Datenschutzfolgeabschätzung, DSFA | Art. 35 DSGVO, Pflicht | Art. 22 DSG, Pflicht wenn ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. | Risikobewertung |
Führen eines Verarbeitungsverzeichnisses, Bearbeitungsverzeichnis | Art. 30 DSGVO, Pflicht zum Führen eines Verarbeitungsverzeichnisses Ausnahme:
| Art. 12 DSG Pflicht zum führen eines Bearbeitungsverzeichnisses Ausnahme für:
|