- Knowhow
- Datenschutz
- 1. März 2021
Die DSGVO in der Schweiz
Seit dem 25. Mai 2018 gilt in der gesamten Europäischen Union die Datenschutz-Grundverordnung (kurz DSGVO). Allerdings reicht der Anwendungsbereich weit über die Grenzen der jeweiligen Mitgliedsstaaten hinaus. Denn auch die Schweiz ist von den DSGVO-Regelungen betroffen – beziehungsweise ihre Unternehmen.
Die Schweiz wird hierbei als Drittland bezeichnet, da sie kein Mitglied der EU ist. Folglich muss sie nun ihr Datenschutzniveau anpassen, um bei personenbezogenen Daten einen gleichwertigen Schutz bieten zu können. In der Schweiz wird diese Rolle (überwiegend) vom Datenschutzgesetz (kurz DSG) übernommen. Dieses wurde inzwischen als Revision überarbeitet und ähnelt der DSGVO in einigen Punkten oder gleicht sich dieser an. Ziel ist es, dass das DSG und die DSGVO in der Schweiz kompatibel sind.
Definition der DSGVO und ihrer Inhalte
Aber was ist die DSGVO genau? Die Datenschutz-Grundverordnung vereinheitlicht Regeln zur Verarbeitung personenbezogener Daten durch Unternehmen, Behörden und Vereine innerhalb der Europäischen Union. So soll der Schutz personenbezogener Daten sichergestellt und gleichzeitig ein freier Datenverkehr innerhalb der EU ermöglicht werden. In ganzen elf Kapiteln mit insgesamt 99 Artikeln wird die Verordnung abgehandelt. Die DSGVO gilt für alle EU-Mitgliedstaaten und hat darüber hinaus auch Auswirkungen auf Drittstaaten.
Innerhalb der Verordnung wurden unter anderem Rechte zur Informationszugangsfreiheit, Datenportabilität oder das Recht auf Vergessenwerden formuliert. Hinzu kommen Prinzipien wie Privacy by Design (Schutz der Daten ab der Einrichtung der Systeme) und Privacy by Default (Schutz der Daten ist gegeben, sofern die betroffene Person die Dienste nicht abschwächt).
Doch was sind personenbezogene Daten genau? Und wie lange dürfen diese gespeichert werden? Unter personenbezogenen Daten versteht man alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Also sämtliche Daten, die ausnahmslos einer Person zugeordnet werden (können) wie der Name, Telefonnummer oder die Kontodaten. Dabei wird unterschieden zwischen allgemeinen und besonderen personenbezogenen Daten: Besondere personenbezogene Daten wie genetische, biometrische oder ethnische Daten geniessen ein höheres Schutzniveau. Gespeichert werden dürfen personenbezogene Daten nur so lange, bis sie ihren Zweck erfüllt haben. Das schreibt der Grundsatz zur Speicherbegrenzung vor. Das bezieht sich beispielsweise auch auf Bewerbungen: Beim Speichern einer Bewerbung von natürlichen Personen aus der EU werden ebenfalls personenbezogene Daten verarbeitet.
Die DSGVO in der Schweiz: Wer ist betroffen?
Auch Unternehmen in der Schweiz müssen sich mit der DSGVO auseinandersetzen – vor allem, wenn sie ganz nach dem Marktortprinzip Handelsbeziehungen in die EU pflegen. Hier sollten interne Prozesse, Verträge, Richtlinien und Datenschutzerklärungen gründlich geprüft werden.
Die Konsequenz daraus: Sobald Schweizer Unternehmen personenbezogene Daten von natürlichen Personen aus der EU beziehen und verarbeiten, müssen sie sich an die EU-DSGVO halten. Insbesondere, wenn es um Waren und oder Dienstleistungen sowie das Verhalten der natürlichen Person geht. Hat das Unternehmen eine Niederlassung in der Europäischen Union? Wird ein Auftraggeber in der EU eingesetzt? Oder verarbeitet ein Schweizer Unternehmen im Auftrag einer Firma in der EU personenbezogene Daten? Auch dann gelten die Regeln der DSGVO in der Schweiz sowie ein Angemessenheitsbeschluss.
- Ist das Unternehmen in der Schweiz von der DSGVO betroffen, weil eine klare Absicht zum Handel besteht? Dann gibt es folgende Pflichten:
- Informieren der betroffenen Person und Einholung ihrer Einwilligung zur Datenverarbeitung
- Garantie der Aspekte "Privacy by design" und "Privacy by default"
- Benennen eines Datenschutzvertreters oder einer Datenschutzvertreterin in der EU
- Erstellen eines Verzeichnisses der Verarbeitungstätigkeiten
- Meldung von Datenschutzverletzungen an die Aufsichtsbehörde
- Durchführung einer Datenschutz-Folgenabschätzung
Datenschutzbeauftragte in der Schweiz für die DSGVO
Grundsätzlich schadet es nicht, sich mit dem Thema DSGVO in der Schweiz früh genug auseinanderzusetzen. Empfehlenswert ist daher die Wahl eines:einer motivierten Datenschutzbeauftragten. Einen funktionierenden und DSGVO-konformen Datenschutz aufzubauen dauert seine Zeit. Daher braucht es eine kompetente Person, die diese wichtige Aufgabe übernimmt. Mit ein bisschen Glück finden sich ausserdem erfahrene externe Anwälte:innen und Berater:innen, die unterstützen können. Ist der Anfang gemacht, müssen die Prozesse aber stetig gepflegt und koordiniert werden. Zusätzlich zu einem:einer Datenschutzbeauftragten sollte ein Datenschutzvertreter:in in einem EU-Land benannt werden – so gibt es immer eine direkte Ansprechperson.
Geldbussen bei Nichteinhalten der EU-DSGVO
Wird die EU-DSGVO nicht korrekt von Unternehmen in der Schweiz ausgeführt, können hohe Geldbussen winken: Eine Datenschutzverletzung kann eine Firma bis zu 4% ihres weltweiten Jahresumsatzes kosten.
Inzwischen wurde auch das Schweizer Datenschutzgesetz erneuert. Das Datum der Einführung des neuen Datenschutzgesetzes steht inzwischen fest: September 2023. Merken Sie sich: Das neue Gesetz kennt keine Übergangsfristen.
Sie sind sich unsicher, was Sie jetzt konkret tun sollen?
Dafür haben wir die Lösung: Mit unserem Handbuch erhalten Sie alle relevanten Informationen zu den drei wichtigsten Pflichten im Recruiting in Bezug auf das neue Schweizer Datenschutzgesetz in kompakter Form sowie hilfreiche Tipps, wie Sie die neu gewonnen Erkenntnisse auch in Ihren Rekrutierungsprozess integrieren. Ihr Vorteil: Sie sparen sich die Zeit, aufwendige Gesetzestexte zu lesen. Dabei hilft Ihnen die Checkliste, die Sie im Handbuch finden.