Da­ten­schutz Schweiz vs. EU: Was Un­ter­neh­men jetzt wissen müssen

Beispiel: «Ein Schweizer Onlineshop erhält eine Bestellung aus Deutschland. Kurz darauf fordert die Kundin die Löschung ihrer Daten mit Verweis auf die DSGVO. Was nun?»

Datenschutz ist längst kein reines Compliance-Thema mehr. Er ist ein geschäftskritischer Vertrauensfaktor, insbesondere für Unternehmen mit digitalen Angeboten. Wer Personendaten transparent und verantwortungsvoll behandelt, verschafft sich nicht nur Rechtssicherheit, sondern auch einen Wettbewerbsvorteil. Doch wo beginnt für Schweizer Unternehmen die Pflicht zur Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) und worin unterscheidet sie sich konkret vom Bundesgesetz über den Datenschutz (DSG)? Dies schauen wir uns in diesem Beitrag an.

Geltungsbereich: Wann die DSGVO auch in der Schweiz gilt

Die DSGVO gilt nicht nur in der EU, sondern auch im EWR-Raum und somit in Norwegen, Island und Liechtenstein. Für Schweizer Unternehmen wird sie relevant, sobald diese beispielsweise:

• Dienstleistungen und Waren an Personen im EU/EWR-Raum richten
• eine Website oder einen Newsletter betreiben, der für EU-Bürgerinnen und EU-Bürger zugänglich ist – oder sie zumindest nicht ausschliesst
• Tracking-Tools wie Google Analytics einsetzen, die Daten von EU-Besuchern sammeln

Was das bedeutet: Auch ohne Sitz in der EU/EWR kann Ihr Unternehmen der DSGVO unterstehen. Es genügt, wenn sich Ihre Angebote gezielt oder auch nur tatsächlich an Personen im EU/EWR-Raum richten, etwa durch eine auf Deutsch verfasste Website, Euro-Preise, Lieferoptionen in EU-Länder oder gezielte Werbung in diesen Regionen.

Unterschiedliche Ansätze

Ein zentraler Unterschied liegt im Grundprinzip der beiden Gesetze:

• Schweiz (DSG): Erlaubt, solange kein Verbot besteht.
  Die Bearbeitung von Personendaten ist grundsätzlich zulässig, solange sie keine Persönlichkeitsverletzung darstellt. Eine Rechtfertigung, etwa durch eine gesetzliche Grundlage, ein überwiegendes öffentliches oder privates Interesse oder eine Einwilligung, ist nur dann erforderlich, wenn die Rechte der betroffenen Person beeinträchtigt werden könnten.
• EU/EWR (DSGVO): Verboten, solange keine Erlaubnis besteht.
  In der EU/EWR gilt der umgekehrte Ansatz: Jede Datenbearbeitung ist grundsätzlich untersagt. Es sei denn, sie stützt sich klar auf eine rechtlich anerkannte Grundlage, etwa eine gesetzliche Verpflichtung, die Erfüllung eines Vertrags oder eine ausdrückliche Einwilligung (Stichwort Cookiebanner).

Informationspflichten: DSGVO verlangt mehr Offenheit

Stellen Sie sich vor, Sie betreiben eine Website mit Kontaktformular und Newsletter-Anmeldung. Vielleicht denken Sie: «Ich bin ja in der Schweiz, das DSG reicht doch.» Doch sobald jemand aus Deutschland Ihre Webseite besucht oder sich für Ihren Newsletter einträgt, könnte bereits die strengere DSGVO gelten.

Der Unterschied beginnt bei der Informationspflicht: Beide Gesetze fordern Transparenz gegenüber den betroffenen Personen, aber in unterschiedlichem Ausmass.

Das DSG (Art. 19) verlangt, dass Sie offenlegen:

• Identität und Kontaktdaten des Verantwortlichen
• Den Bearbeitungszweck
• Empfängerinnen/Empfänger der Daten oder Kategorien von Empfängern
• Kategorien der bearbeiteten Personendaten bei indirekter Erhebung
• In welche Länder die Daten übermittelt werden, inklusive Informationen über Garantien oder Ausnahmen

Die DSGVO (Art. 13 und 14) verlangt ausserdem die Mitteilung der folgenden Informationen:

• Rechtsgrundlage der Datenbearbeitung
• Speicherdauer oder Kriterien dafür
• Kontaktdaten der/des Datenschutzbeauftragten
• Herkunftsquelle der Daten bei indirekter Erhebung
• Hinweise zu Profiling und automatisierten Entscheidungen
• Rechte der betroffenen Personen
• Beschwerdemöglichkeiten bei der Aufsichtsbehörde
• Pflicht zur Bereitstellung und deren Folgen
• Informationen zu Drittlandübermittlungen, inklusive Garantien und Möglichkeit, eine Kopie zu erhalten

Was das bedeutet: Wenn Sie Daten von Personen im EU/EWR-Raum bearbeiten, sollte Ihre Datenschutzerklärung DSGVO-konform sein, selbst wenn Ihr Unternehmen in der Schweiz ansässig ist.

Nachweispflichten: DSGVO kehrt die Beweislast um

«Wir halten uns ja an die Regeln. Das sollte doch reichen.» Dieser Gedanke ist zwar nachvollziehbar, im Bereich des Datenschutzes jedoch leider zu kurz gegriffen. Denn es reicht nicht mehr, «nur» korrekt zu handeln. Man muss es auch beweisen können.

Nach DSG:

• Verzeichnis der Bearbeitungstätigkeiten nötig
• Ausnahmen für KMU mit weniger als 250 Mitarbeitenden und geringem Risiko
• Keine Pflicht zur detaillierten Dokumentation

Nach DSGVO:

• Strenge Rechenschaftspflicht (Art. 5 Abs. 2)
• Unternehmen müssen jederzeit nachweisen, dass sie alle Vorgaben einhalten
• Pflicht zur Dokumentation von:
  • Einwilligungen
  • Datenschutzrichtlinien
  • technischen und organisatorischen Massnahmen (TOMs)
  • Datenschutz-Folgenabschätzungen (DSFA) bei hohem Risiko

Was das bedeutet: Die DSGVO verpflichtet Unternehmen nicht nur zur Einhaltung der Vorschriften, sondern auch zum aktiven Nachweis ihrer Umsetzung, durch umfassende Dokumentation und jederzeit überprüfbare Prozesse.

Betroffenenrechte: Mehr Rechte bedeuten mehr Aufwand

Was passiert, wenn jemand wissen möchte, welche Daten Sie gespeichert haben? Oder gar die Herausgabe oder Löschung dieser Daten fordert? Auch hier unterscheiden sich DSG und DSGVO in Reichweite und Konkretheit.

Datenübertragbarkeit

• DSG: nur bei automatisierter Bearbeitung, mit Einwilligung oder Vertrag, und wenn verhältnismässig
• DSGVO: kein Verhältnismässigkeitstest, Übertragung an Dritte vorgeschrieben, sofern technisch möglich

Recht auf Löschung

• Das DSG kennt kein explizites «Recht auf Vergessenwerden». Es enthält lediglich allgemeine Pflichten zur Datenlöschung.
• Die DSGVO geht deutlich weiter. Sie verpflichtet zur vollständigen Löschung von Personendaten, auch aus öffentlich zugänglichen Quellen wie Verzeichnissen oder Suchmaschinen.

Was das bedeutet: Unternehmen müssen intern klären:

• Wer bearbeitet solche Anfragen?
• Welche Daten dürfen gelöscht werden und welche nicht?
• Müssen Dritte informiert werden?
• Wie wird alles dokumentiert?

Datensicherheitsverletzung: Meldepflicht wird zur Pflicht

Eine Mitarbeiterin oder ein Mitarbeiter verschickt eine E-Mail mit sensiblen Daten an die falsche Adresse. Ein Server mit Kundendaten wird gehackt. Solche Datensicherheitsverletzungen passieren schneller, als man denkt. Entscheidend ist, wie Ihr Unternehmen darauf reagiert.

Nach DSG:

• Meldepflicht nur bei hohem Risiko für die Persönlichkeit
• Keine feste Frist, Meldung soll «so rasch wie möglich» erfolgen
• Betroffene Personen müssen nur informiert werden, wenn es ihrem Schutz dient

Nach DSGVO:

• 72-Stunden-Frist zur Meldung an die Aufsichtsbehörde, ausser es besteht kein Risiko für die betroffenen Personen
• Pflicht zur Benachrichtigung betroffener Personen bei hohem Risiko

Was das bedeutet: Unternehmen mit EU/EWR-Bezug sollten festlegen:

• Wer im Notfall reagiert
• Welche Fristen gelten und wie sie eingehalten werden
• Wie der Vorfall intern und extern dokumentiert wird

Sanktionen: DSGVO greift härter durch

Datenschutzverstösse sind kein Kavaliersdelikt, dies zeigt sich vor allem unter der DSGVO. Doch auch in der Schweiz können Fehler teuer werden. Die Frage ist: Wer haftet, wofür genau und wie hoch sind die Bussen?

Nach DSG:

• Bussen bis CHF 250'000
• Nur bei vorsätzlichem Verstoss, wozu auch falsche oder unvollständige Auskünfte sowie die Unterlassung von Informationen gehören
• Haftung trifft natürliche Personen, nicht das Unternehmen

Nach DSGVO:

• Bussen bis zu EUR 20 Mio. oder bei Unternehmen bis zu 4% des weltweiten Jahresumsatzes
• Auch bei Fahrlässigkeit
• Unternehmen und Einzelpersonen können haftbar gemacht werden

Was das bedeutet: Auch in der Schweiz sind Sanktionen möglich. Unter der DSGVO ist das Risiko für Unternehmen jedoch deutlich höher. Eine saubere Dokumentation, sensibilisierte und geschulte Mitarbeitende und klare Zuständigkeiten senken das Risiko erheblich.

Fazit: Wer DSGVO-konform ist, ist in der Schweiz gut aufgestellt

Beide Gesetze verfolgen das Ziel, die Privatsphäre und die Grundrechte von natürlichen Personen zu schützen. Die DSGVO verlangt jedoch deutlich mehr Transparenz, Dokumentation und Reaktionsfähigkeit und sieht deutlich strengere Strafen vor.

Ihr Vorteil: Wenn Ihr Unternehmen DSGVO-konform arbeitet, erfüllen Sie in vielen Bereichen auch die Anforderungen des DSG. Dennoch sollten spezifische Schweizer Vorgaben, etwa zur Haftung natürlicher Personen oder zur Meldepflicht, gesondert geprüft werden. So schaffen Sie Vertrauen und senken gleichzeitig Ihr Risiko.

Empfehlung für Schweizer Unternehmen

1. Prüfen Sie Ihre Zielgruppen: Gelten Ihre Angebote auch für Personen im EU/EWR-Raum?
2. Datenschutzerklärung anpassen: Alle Pflichtangaben gemäss DSGVO integrieren (Art. 13 und 14)
3. Dokumentation einführen: Verzeichnis der Bearbeitungstätigkeiten führen, Risikoprüfungen dokumentieren, auch bei kleinem Risiko, Einwilligungen, Prozesse und TOMs dokumentieren
4. Meldeprozesse definieren: Prozesse für Datenschutzpannen definieren und regelmässig testen
5. Schulungen durchführen: Mitarbeitende sensibilisieren und regelmässig schulen

Hier gibt es weitere Blogbeiträge der FH Graubünden zu lesen

Datenschutzberater FH Graubünden