Adnovum Blog

7 zentrale Unterschiede zwischen dem nDSG und der DSGVO

Geschrieben von Yasin Küçükkaya | 24.02.2023 09:29:15

Welches ist der grösste Unterschied zwischen dem neuen DSG und der DSGVO?

Das neue Schweizer Datenschutzgesetz, das am 1. September 2023 in Kraft getreten ist, unterscheidet sich von der europäischen Datenschutz-Grundverordnung (DSGVO) (engl. GDPR) primär darin, dass private Verantwortliche mit bis zu CHF 250'000 gebüsst werden können. Das EU-Gesetz sieht keine Bussen für Private vor. 


Machen wir uns zunächst mit ein paar Grundlagen vertraut.

Unterliegen Schweizer Unternehmen der DSGVO der EU?

Ja, Schweizer Unternehmen müssen sich an die Bestimmungen der DSGVO halten, wenn sie:

  • personenbezogene Daten von Privaten in der EU verarbeiten
  • Privaten in der EU Waren oder Dienstleistungen anbieten oder
  • das Verhalten von Personen in der EU beobachten

Ist das der Fall, sollten sie Massnahmen ergreifen, um die Einhaltung der EU-Bestimmungen zu gewährleisten.

Was ist das Schweizer Pendant zur DSGVO?

In der Schweiz regelt das Bundesgesetz über den Datenschutz (DSG) den Schutz der Persönlichkeit und der Grundrechte von natürlichen und juristischen Personen, über die Daten bearbeitet werden. 2023 ist das DSG erstmals seit seiner Verabschiedung 1992 revidiert worden. 

Warum ist die Revision des DSG wichtig?

Mit der Revision passt der Bund das Datenschutzgesetz den veränderten technologischen und gesellschaftlichen Verhältnissen an. Dabei stärkt er insbesondere die Selbstbestimmung der betroffenen Personen über ihre Daten.

Zugleich ist das nDSG besser auf die EU-DSGVO abgestimmt. Damit kann die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkannt werden. Der Vorteil: Der freie Datenverkehr zwischen der Schweiz und der EU bleibt auch künftig möglich, was die Wettbewerbsfähigkeit von Schweizer Unternehmen gewährleistet.

«Firmen, die in der Schweiz und der EU tätig sind, sollten sich bewusst sein: Trotz der Angleichung des nDSG an die DSGVO bleiben gewisse Unterschiede bestehen. Insbesondere bei den Sanktionsbestimmungen.»

Yasin Kücükkaya
Data Protection Officerr

 

 

7 zentrale Unterschiede zwischen dem nDSG und der DSGVO

Die europäischen und die Schweizer Bestimmungen sind in vielem sehr ähnlich, z.B. strenge Sanktionen und Meldepflicht bei Verstössen oder Fokus auf Datenschutz. In der Detailgestaltung gibt es indes Unterschiede. Die 7 wichtigsten:

Thema

Neues DSG

DSGVO

Sanktionen

Bussen bis zu CHF 250’000 für private Verantwortliche.

Bussen bis zu EUR 20 Mio. oder 4% des weltweiten Gesamtjahresumsatzes des Unternehmens.

Ernennen eines Datenschutzbeauftragten

Keine Pflicht, aber ausdrücklich empfohlen.

Pflicht gemäss art. 37 GDPR.

Melden von Datenschutzverletzungen

Pflicht, möglichst rasch zu melden.

Pflicht, innerhalb von 72 Stunden zu melden.

Datenexporte

Über die Zulässigkeit entscheidet der Bundesrat.

Es sind dieselben Standardvertragsklauseln und verbindlichen unternehmensinternen Vorschriften wie in der EU anwendbar.

Über die Zulässigkeit entscheidet die Europäische Kommission.

Es gelten Standardvertragsklauseln und verbindliche unternehmensinterne Vorschriften.

Datenschutz-Folgenabschätzung

Rücksprache mit einem Datenschutzbeauftragten oder dem EDÖB ist möglich, wenn trotz Massnahmen ein hohes Risiko für Persönlichkeit oder Grundrechte einer Person besteht.

Rücksprache mit Aufsichtsbehörden ist obligatorisch, wenn trotz Massnahmen ein hohes Risiko besteht.

Profiling

Eine allgemeine Pflicht, die Zustimmung einzuholen, besteht nur bei High-Risk Profiling.

Es besteht eine allgemeine Pflicht, die Zustimmung einzuholen.

Sensitive Daten

Umfasst zusätzlich die beiden Kategorien «Daten zu administrativen oder strafrechtlichen Verfolgungen und Sanktionen» sowie «Daten zu Massnahmen der sozialen Hilfe».

Gemäss art. 9 GDPR.

 

 

 

  1. Sanktionen


    Neues DSG: Bussen für private Verantwortliche können bis zu CHF 250'000 betragen.

    DSGVO: Die Aufsichtsbehörden der EU-Mitgliedstaaten können Bussen und Sanktionen verhängen, wenn ein Unternehmen die Bestimmungen nicht einhält. Für besonders schwerwiegende Vergehen sind Bussen von bis zu 4% des weltweiten Gesamtjahresumsatzes eines Unternehmens oder EUR 20 Millionen möglich (je nachdem, was grösser ist). Als schwerwiegend gelten etwa die Bearbeitung personenbezogener Daten ohne Zustimmung und das Fehlen angemessener Sicherheitsmassnahmen. 

  2. Ernennen eines Datenschutzbeauftragten (Data Protection Officer)


    Neues DSG:     Die Ernennung eines Data Protection Officer (DPO) – in der Schweiz Data Protection Advisor (DPA) genannt – ist zwar nicht Pflicht, wird aber ausdrücklich empfohlen. Der DPA ist erste Ansprechperson für den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB.

    DSGVO: Gemäss Art. 37 DSGVO ist die Ernennung eines DPO unter gewissen   Umständen Pflicht. 

  3. Melden von Datenschutzverletzungen


    Neues DSG: Allfällige Datenschutzverletzungen sind dem EDÖB schnellstmöglich zu melden.

    DSGVO: Datenschutzverletzungen sind der zuständigen EU-Aufsichtsbehörde innerhalb von 72 Stunden zu melden.

  4. Datenexporte

    Neues DSG: Über die Zulässigkeit von Datenexporten entscheidet der Bundesrat. Des Weiteren sind die EU-Standardvertragsklauseln und verbindlichen unternehmensinternen Vorschriften anwendbar.

    DSGVO: Über die Zulässigkeit entscheidet die Europäische Kommission. Es sind die EU-Standardvertragsklauseln und verbindlichen unternehmensinternen Vorschriften anwendbar.

  5. Datenschutz-Folgenabschätzung 

    Neues DSG: Besteht ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person, ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Besteht das Risiko trotz ergriffener Massnahmen weiter, ist es möglich, anstelle des EDÖB den DPA zu konsultieren.

    DSGVO: Besteht das Risiko trotz ergriffener Massnahmen weiter, ist die Aufsichtsbehörde zu konsultieren.

  6. Profiling


    Neues DSG: Das revidierte Gesetz regelt das Profiling, d.h. die automatisierte Bearbeitung personenbezogener Daten, um Persönlichkeitsmerkmale zu evaluieren wie wirtschaftliche Verhältnisse, Gesundheit, Interessen, Verhalten oder Standort. Eine allgemeine Pflicht, die Zustimmung einzuholen, besteht indes nur bei High-Risk Profiling.

    DSGVO: Es besteht eine allgemeine Pflicht, die Zustimmung einzuholen. 

  7. Sensitive Daten


    Neues DSG: Seit 1. September 2023 fallen unter «besonders schützenswerte Daten» gemäss DSG auch administrative oder strafrechtliche Verfolgungen und Sanktionen sowie Massnahmen der sozialen Hilfe. Damit umfassen die sensitiven Daten unter dem DSG zwei Kategorien mehr als unter der DSGVO.

    DSGVO: Sensitive Daten – in der DSGVO «besondere Kategorien personenbezogener Daten» genannt – umfassen: rassistische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische sowie biometrische Daten, Daten zur Gesundheit und zum Sexualleben oder zur sexuellen Orientierung. 

Fassen wir zusammen: Das neue DSG ist bestmöglich auf die europäische DSGVO abgestimmt worden. Damit ist die Wettbewerbsfähigkeit von Schweizer Unternehmen gewährleistet.

Einige Unterschiede bleiben indes bestehen. Die gute Nachricht: Sie wissen nun genau, welche.
Vollständigen Beitrag anzeigen