Die Entscheidung, ob Ihr Unternehmen das Schweizerische Bundesgesetz über den Datenschutz (DSG) oder die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union befolgen muss, ist von verschiedenen Faktoren und Ihren Geschäftstätigkeiten abhängig. Hier sind einige Richtlinien, die Ihnen dabei helfen, zu bestimmen, welche Vorschriften Ihr Unternehmen einhalten muss.

Wenn Ihr Unternehmen seinen Sitz in der Schweiz hat:

• DSG: Alle in der Schweiz ansässigen Unternehmen müssen bei der Verarbeitung personenbezogener Daten das DSG einhalten. Das DSG ist das wichtigste Datenschutzgesetz in der Schweiz. Es zielt darauf ab, die Privatsphäre von Personen zu schützen und regelt die Art und Weise, wie personenbezogene Daten von privaten Einrichtungen und Bundesbehörden verarbeitet werden.

Wenn Ihr Unternehmen in der EU tätig ist oder Dienstleistungen für EU-Bürger anbietet:

• DSGVO: Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von in der EU ansässigen Personen verarbeiten, unabhängig davon, wo das Unternehmen seinen Sitz hat. Dazu gehören auch Schweizer Unternehmen, die Waren oder Dienstleistungen für Personen in der EU anbieten oder deren Verhalten überwachen (z. B. Online-Tracking ihrer Aktivitäten innerhalb der EU).

Die wichtigsten Punkte zur Überprüfung der Einhaltung der Vorschriften:

1. Standort Ihres Unternehmens: Wenn Ihr Unternehmen in der Schweiz ansässig ist und keine Daten von in der EU ansässigen Personen verarbeitet, müssen Sie hauptsächlich das DSG einhalten. 2. Zielpublikum: Wenn Ihr Unternehmen auf in der EU ansässige Personen abzielt oder Dienstleistungen für diese erbringt, müssen Sie neben dem DSG auch die DSGVO einhalten. 3. Personenbezogene Datenverarbeitung: Beurteilen Sie die Art, wie Ihr Unternehmen Datenverarbeitung vornimmt. Wenn die Verarbeitung Daten von in der EU ansässigen Personen umfasst, gilt die DSGVO. 4. Anwesenheit in der EU: Eine physische Präsenz oder gesetzliche Vertreter in der EU, die personenbezogene Daten verarbeiten, setzen ebenfalls die Einhaltung der Datenschutz-Grundverordnung voraus.

Die Einhaltung der DSG und der DSGVO stehen nicht im Widerspruch zueinander. In vielen Fällen müssen Schweizer Unternehmen, die mit in der EU ansässigen Personen interagieren, sicherstellen, dass sie sowohl die DSG als auch die DSGVO einhalten. Ein klares Verständnis Ihres Geschäftsmodells und Ihrer Datenverarbeitungsvorgänge ist unerlässlich, um die spezifischen rechtlichen Verpflichtungen zu bestimmen.

Unterschiede zwischen DSG und DSGVO:

Obwohl ihre Ziele ähnlich sind, gibt es mehrere wesentliche Unterschiede zwischen den beiden Verordnungen:

1. Zustimmung: - DSG: erfordert die ausdrückliche und eindeutige Zustimmung von Personen zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke. - DSGVO: Eine Einwilligung ist nur dann erforderlich, wenn sie dazu dient, eine Datenverarbeitung zu rechtfertigen, die gegen die Persönlichkeit verstösst. Zum Beispiel, wenn sensible Daten an Dritte weitergegeben oder in Kampagnen wiederverwendet werden. Die Einwilligung ist nicht zu verwechseln mit der Informationspflicht, die vor der Einwilligung gilt. Die Informationspflicht gilt auch dann, wenn Personendaten nicht direkt bei der betroffenen Person, sondern über Dritte erhoben werden (Art. 19 Abs. 1 DSG).

2. Individuelle Rechte: - DSGVO: bietet umfassende Rechte für Einzelpersonen, darunter das Recht auf Vergessenwerden, das Recht auf Datenübertragbarkeit sowie das Recht auf Auskunft und Berichtigung. - DSG: bietet ähnliche Rechte, aber es kann Nuancen geben, wie diese Rechte ausgeübt werden können. Zum Beispiel kann der für die Verarbeitung Verantwortliche die Übermittlung von Informationen verweigern, einschränken oder aufschieben, wenn der Antrag auf Auskunft offensichtlich unbegründet oder verfahrensbedingt ist. (Art. 26, Abs. 1, Bst. c, DSG).

3. Datenschutzverletzungen: - DSGVO: Unternehmen müssen Datenschutzverletzungen innerhalb von 72 Stunden nach ihrer Entdeckung den Aufsichtsbehörden und in einigen Fällen auch den betroffenen Personen melden. - DSG: Die Meldung von Datenschutzverletzungen ist ebenfalls erforderlich, und zwar so schnell wie möglich, ohne besondere Angaben. - 4. Sanktionen: - DSGVO: Die Strafen für die Nichteinhaltung können bis zu 4 % des weltweiten Jahresumsatzes des Unternehmens oder 20 Millionen Euro betragen, je nachdem, welcher Betrag höher ist. - DSG: Die Sanktionen im Rahmen des DSG sind in der Regel weniger streng als im Rahmen der DSG, können jedoch Geldbussen und Strafen für die Verantwortlichen umfassen.

5. Datenschutzbeauftragter (DSB): - DSGVO: Organisationen müssen möglicherweise einen Datenschutzbeauftragten ernennen, um die Einhaltung der DSGVO zu überwachen. - DSG: Die Benennung eines DSB ist nicht zwingend, wird aber für grosse Unternehmen dringend empfohlen.

6. Internationale Datenübermittlung: - DSGVO: Die Übermittlung von Daten in Länder ausserhalb der EU ist streng geregelt und darf nur in Länder erfolgen, die ein angemessenes Schutzniveau bieten, oder über spezielle Datenschutzmechanismen verfügen. - DSG: Die Anforderungen für internationale Datenübermittlungen können weniger streng sein, aber die Übermittlung muss immer ein angemessenes Schutzniveau gewährleisten. Es ist wichtig, die Liste der Staaten und internationalen Organisationen zu konsultieren, die ein angemessenes Schutzniveau bieten, das vom Bundesrat festgelegt wurde.

In der Praxis ist es für viele kleine und mittlere Unternehmen nicht immer eine kluge Entscheidung, einen eigenen Datenschutzbeauftragten zu ernennen. Je nach Umfang der Datenverarbeitung sind die durchzuführenden Massnahmen nämlich begrenzt und rechtfertigen langfristig nicht die Schaffung einer eigenen Stelle.

Unternehmen können jedoch die Unterstützung von Beratern in Anspruch nehmen, die auf die Einhaltung der rechtlichen Anforderungen spezialisiert sind. Die Beauftragung externer Experten mit der Funktion des DSB bietet Zugang zu präzisem Fachwissen, wenn ein spezifischer Bedarf besteht.

Klicken Sie hier, um mehr über das Engagement von WEDO für die Sicherheit zu erfahren.