Neues Schweizer Datenschutzgesetz: Was Unternehmen wissen müssen

Das neue Schweizer Datenschutzgesetz (DSG) ist am 1. September 2023 in Kraft getreten. Es ist an die EU-Datenschutz-Grundverordnung (DSGVO) angelehnt, enthält aber auch einige Unterschiede.

Hier sind die wichtigsten Neuerungen für Unternehmen:

  • Auswirkungsprinzip: Das DSG gilt auch für Unternehmen, die personenbezogene Daten von Schweizer Bürgern verarbeiten, selbst wenn diese außerhalb der Schweiz ansässig sind.
  • Informationspflicht: Betroffene Personen müssen bei der Erhebung personenbezogener Daten über die Datenverarbeitung informiert werden.
  • Datenschutz-Vertretung: Ausländische private Verantwortliche, die in der Schweiz keine Niederlassung haben, müssen eine Datenschutz-Vertretung benennen.
  • Sanktionen: Bei Verstößen gegen das DSG können Geldbußen von bis zu 250.000 Schweizer Franken verhängt werden.

Möchten Sie mehr über das neue Schweizer Datenschutzgesetz erfahren?

Eine etwas ausführlichere Darstellung finden Sie auf unserer Schweizer Website unter: matutis.ch/ueberblick-ueber-das-neue-schweizer-datenschutzgesetz/

Die USA gewährleisten (wieder) ein angemessenes Schutzniveau für personenbezogene Daten

Nachdem das EU-US Privacy Shield im Juli 2020 durch den Europäischen Gerichtshof für unwirksam erklärt wurde und hierdurch eine Vielzahl von Vorgaben hinsichtlich der Übertragung personenbezogener Daten in die USA zu beachten waren, hat die Europäische Kommission nunmehr am 10. Juli 2023 durch die Annahme des Angemessenheitsbeschlusses hinsichtlich des neuen EU-US Data Privacy Frameworks (EU-US DPF) festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten.

Welche Auswirkungen hat das EU-US DPF?
Aufgrund des nun vorliegenden gleichwertigen Schutzniveaus können personenbezogene Daten wieder sicher von der EU in die USA übertragen werden. Voraussetzung hierfür ist lediglich, dass das jeweilige US-Unternehmen unter dem EU-US DPF zertifiziert ist. Eine solche Zertifizierung kann u.a. daran erkannt werden, dass das Unternehmen über die Teilnahme an dem EU-US DPF informiert und einen Link zu dem Vertragswerk bereitstellt.
Es ist dann keine gesonderte Einwilligung des Nutzers hinsichtlich der Datenübertragung in die USA mehr erforderlich. Gleiches gilt für entsprechende Hinweise innerhalb des Cookie-Banners oder der Datenschutzerklärung.

Was muss beachtet werden?
Falls jedoch personenbezogene Daten über das erforderliche Maß hinaus verarbeitet bzw. technisch nicht notwendige Cookies gesetzt werden sollen (technisch nicht notwendig sind Cookies, soweit diese nicht unbedingt erforderlich sind, vgl. § 25 Abs. 2 Nr. 2 TTDSG), ist nach wie vor eine Einwilligung (z.B. im Rahmen eines Cookie-Banners) des jeweiligen Nutzers notwendig.

Im Rahmen dieser Einwilligung muss der Nutzer in klarer und deutlicher Sprache u.a. eingehend über das jeweilige US-Unternehmen sowie die Art der verarbeiteten personenbezogenen Daten sowie den Zweck der Verarbeitung informiert werden (s. Annex I, Section II. 1. EU-US DPF), und zwar bevor das jeweilige Unternehmen die personenbezogenen Daten verarbeitet.

Den Nutzern muss hierbei eine einfache Möglichkeit geboten werden (z.B. durch Opt-Out), zu wählen, ob ihre personenbezogenen Daten an das US-Unternehmen weitergegeben werden sollen, soweit es sich bei dem jeweiligen US-Unternehmen nicht um einen Auftragsverarbeiter des Datenverantwortlichen handelt.

ACHTUNG: Abweichend hiervon ist bei der Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. rassische/ethnische Herkunft, politische Meinung, genetische Daten, biometrische Daten zur eindeutigen Identifizierung) durch ein US-Unternehmen immer eine ausdrückliche Zustimmung des Nutzers (d.h. Opt-in) notwendig.