Headerbild Datenschutzgrundverordnung

Datenschutz nach neuem DSG – Handlungsbedarf für Schweizer Unternehmen

In dieser Story erläutern wir die Unterschiede zwischen dem neuen und dem alten, aktuell noch geltenden Datenschutzgesetz sowie der DSGVO.

Walter Boreatti Walter Boreatti, 22. März 2021

Datenschutz nach neuem DSG

Seit dem Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 ist die Schweiz in Zugzwang für die Revision ihres eigenen Datenschutzrechts. Nach einigen Verzögerungen durch mehrere Beratungs- und Bereinigungsrunden in den nationalen Räten ist nun aber klar, wie das neue schweizerische Datenschutzgesetz (nDSG) aussehen wird. Es ist zu erwarten, dass es – zusammen mit der ebenfalls komplett revidierten Datenschutzverordnung (nDSV) am 1. Januar 2022 in Kraft treten wird. In diesem Blogbeitrag zeigen wir Ihnen die wichtigsten Unterschiede zwischen dem nDSG und dem aktuell noch geltenden Gesetz (aDSG) sowie der DSGVO. Ebenso geben wir eine kurze Übersicht, welcher Handlungsbedarf für KMU durch das neue Gesetz ausgelöst werden kann.

Zunächst, wie erwähnt, die wichtigsten Unterschiede zwischen dem nDSG, dem aDSG und der DSGVO:

  • Während unter dem aDSG die personenbezogenen Daten sowohl von natürlichen wie auch juristischen Personen geschützt sind, gilt das nDSG analog zur DSGVO nur noch in Bezug auf personenbezogene Daten von natürlichen Personen. Dies, weil sich in der Praxis der Schutz der Daten von juristischen Personen als kaum relevant erwiesen hat, da diese ihre Daten meist ohnehin zu schützen wissen und in der Regel eher am Schutz von nicht-personenbezogenen Daten interessiert sind (Geschäftsgeheimnisse).

  • Informationspflicht in jedem Fall der Erhebung oder Bearbeitung von personenbezogenen Daten. Unter dem aDSG ist dies nur bei besonders schützenswerten Daten, wie z.B. Gesundheitsdaten, notwendig. Zu beachten ist, dass es in diesem Zusammenhang nicht nur um die allseits bekannten Cookie-Banner geht, sondern um jede Datenbearbeitung. Datenbearbeitung umfasst grundsätzlich jeden Umgang mit Personendaten, insbesondere das Beschaffen, Speichern, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen und Vernichten.

  • Auskunftspflicht auch über Aufbewahrungsdauer und die bearbeiteten Personendaten als solche. Unklar ist heute noch, ob dies auch ein Recht der betroffenen Person auf Erhalt von Kopien der bearbeiteten Daten beinhaltet.

  • Die Weitergabe von Daten ins Ausland ist weiterhin zulässig, sofern im Zielland ein gleichwertiges Datenschutzniveau besteht oder die Einhaltung eines entsprechenden Datenschutzes anderweitig sichergestellt wird (beispielsweise durch einen Vertrag inkl. Kontrolle). Neu ist, dass der Bundesrat eine verbindliche Liste aller Länder herausgeben wird, welche ein gleichwertiges Datenschutzniveau aufweisen. Bisher gab es lediglich eine Empfehlungsliste des eidgenössischen Datenschutzbeauftragten (EDÖB), welche keine bindende Wirkung hatte.

  • Im Gegensatz zur DSGVO sieht auch das nDSG (wie bisher schon das aDSG) keine Pflicht zur Benennung eines Datenschutzbeauftragten im Unternehmen vor. Je nach Unternehmen, kann dies dennoch sinnvoll sein zur Abdeckung steigender Anforderungen insbesondere betreffend Informations- und Auskunftspflichten; zudem gibt es weniger Meldepflichten gegenüber dem EDÖB, wenn ein Datenschutzbeauftragter im Unternehmen besteht.

  • Das nDSG sieht analog zur DSGVO eine Meldepflicht bei Datenschutzverletzungen vor. Die Meldung hat raschmöglichst an den EDÖB zu erfolgen.

  • Neu sind die Grundsätze Privacy by Default (Grundeinstellungen müssen maximalen Datenschutz vorsehen) und Privacy by Design (Datenschutz ist bereits bei Entwicklung und Produktdesign mitzuberücksichtigen, dazu gehört insbesondere auch die Datenschutzfolgenabschätzung, welche das nDSG ebenfalls neu vorschreibt) ausdrücklich im Gesetz definiert. Bisher wurden diese lediglich aus dem geltenden Verhältnismässigkeitsprinzip abgeleitet.

  • Führung eines Verzeichnisses der Bearbeitungstätigkeiten, analog zur DSGVO. Dieses dokumentiert die Datenströme im Unternehmen und hält die jeweiligen Bearbeitungszwecke und die Bearbeitungsgrundlage fest.

  • Strengere Sanktionen: Neu können Bussen bis CHF 250'000.00 verhängt werden. Sanktionen kommen aber im Gegensatz zur DSGVO weiterhin nur bei vorsätzlicher Verletzung des nDSG in Frage, nicht bereits bei Fahrlässigkeit.


Bezüglich des Handlungsbedarfs im Unternehmen müssen zunächst zwei Situationen unterschieden werden, in denen sich Schweizer Unternehmen befinden können. Zum einen gibt es eine beträchtliche Zahl von Unternehmen, die bereits im Rahmen der DSGVO ihre Datenschutzprozesse entsprechend angepasst haben, sei es, weil sie die DSGVO für sich als anwendbar sehen oder weil sie in Erwartung des neuen DSG bereits frühzeitig Massnahmen treffen wollten. Auf der anderen Seite gibt es verständlicherweise eine Vielzahl von Unternehmen, die zwar mit der aktuellen Schweizer Datenschutzgesetzgebung compliant sind, aber noch keine Anpassungen im Hinblick auf rechtliche Neuerungen vorgenommen haben. Für erstere gibt es gute Neuigkeiten: Der Schweizer Gesetzgeber hat sich mit dem nDSG sehr nah an der DSGVO orientiert. Deshalb sind bei den betreffenden Unternehmen die notwendigen Grundlagen meist schon gelegt, es gilt nur noch zu prüfen, ob die entsprechenden Prozesse und Dokumentationen auch dem nDSG entsprechen. In der Regel dürfte dies der Fall sein.

Für Unternehmen, die noch keine Anpassungen an ihrem Datenschutz-Dispositiv vorgenommen haben, sollten aus unserer Sicht folgende Massnahmen bis zum Inkrafttreten des nDSG getroffen werden:

  • Verschaffen Sie sich einen Überblick über alle Datenströme Ihres Unternehmens.

  • Bearbeitungsverzeichnis erstellen: Grundlegende Dokumentation aller Datenströme, Datensammlungen und Datenschutzmassnahmen sowie Grundlage für Datenschutzerklärung und Datenschutz-Folgenabschätzung.

  • Anpassung/Erstellung einer Datenschutzerklärung: Informieren Sie die betroffenen Personen, welche Daten Sie über sie erheben und zu welchem Zweck sie diese bearbeiten, wie lange sie gespeichert werden und wer Ansprechpartner in Ihrem Unternehmen für Datenschutzfragen ist.

  • Anpassung der Verträge mit Auftragsbearbeitern: Achten Sie in diesem Zusammenhang besonders auf die notwendigen vertraglichen Pflichten, wenn Ihre Auftragsbearbeiter in einem Land sind, welches kein angemessenes Datenschutzniveau bietet (aktuell gehören dazu auch die USA!). Ebenso müssen Sie ein Ablehnungsrecht für Unterauftragsbearbeiter haben.

  • Erarbeitung und Implementierung eines Konzepts für Datenschutz-Folgenabschätzungen: Für neue Projekte bzw. Dienstleistungen sollte frühzeitig entsprechendes Datenschutz Know-how eingebunden werden.

  • Erarbeitung und Implementierung eines Konzepts hinsichtlich Auskunftsbegehren von betroffenen Personen: Zuweisung von Verantwortlichkeiten und Anweisungen, wie Auskunftsbegehren abzuarbeiten und zu beantworten sind (Prüfungs- und Dokumentationspflichten) aufgrund von kurzen gesetzlichen Fristen für die Auskunft.

  • Erarbeitung und Implementierung eines Konzepts für die Behandlung von Datenschutzverletzungen: Der Aufwand im Zusammenhang mit Abklärungen und Massnahmen, einschliesslich Meldung an den EDÖB, bei Datenschutzverletzungen ist nicht zu unterschätzen. Die Meldung an den EDÖB muss gemäss nDSG «umgehend» erfolgen.

  • Sicherstellung des Schutzes der eigenen Daten durch Geheimhaltungsvereinbarungen. Als juristische Person muss Ihr Unternehmen nun mehr denn je darauf achten, dass die schützenswerten Daten durch Geheimhaltungsvereinbarungen (und natürlich durch technische und organisatorische Massnahmen zur Gewährleistung der Datensicherheit) geschützt sind.

Hinweis und Disclaimer: Diese Übersicht dient nur der Erstinformation und kann keine umfassende, den konkreten Gegebenheiten genügende Beratung bieten. Sie ersetzt deshalb nicht eine Auseinandersetzung mit dem Thema mit Blick auf die individuelle Situation Ihres Unternehmens.

Walter Boreatti
Walter Boreatti
Head Legal & Compliance PEAX AG