Wann findet das schweizerische Datenschutzgesetz Anwendung und in welchen Fällen muss die weitaus strengere DSGVO berücksichtig werden? Welchen Einfluss wird das neue schweizerische Datenschutzgesetz darauf haben? Diese Fragen stellen sich Schweizer Unternehmen seit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) und der angekündigten Revision des Schweizer Datenschutzgesetzes.
Daten, die in der Schweiz erhoben werden, fallen grundsätzlich unter das Schweizer Datenschutzgesetz (DSG). Es ist irrelevant, ob diese Daten über EU- Bürger*innen oder Schweizer Bürger*innen erhoben werden. Solange die Daten ausschliesslich in der Schweiz für schweizerische Anwendungszwecke erhoben und in der Schweiz gespeichert werden, gilt das Territorialitätsprinzip (StGB Art.3 Abs.1), welches besagt, dass das Recht des Staates zur Anwendung kommt, in welchem es möglicherweise verletzt wurde.
Werden die Daten zwar in der Schweiz erhoben, dann aber ins Ausland zur Verarbeitung oder Speicherung verschoben, so gelten zusätzlich die gesetzlichen Bestimmungen des ausgelagerten Standortes. Würden die Daten im Europäischen Raum gespeichert, so muss zum DSG zusätzlich die Europäische Datenschutz-Grundverordnung (DSGVO) eingehalten werden. Die Dateneigner*in ist über diesen Umstand in Kenntnis zu setzen.
Die Daten dürfen aber nicht in ein beliebiges Land ausgelagert werden. Das Schweizer Datenschutzgesetz (Art. 6, Abs. 1) gibt vor, dass im ausgewählten Land ein adäquates Datenschutzniveau vorhanden sein muss. Ist dies nicht der Fall, muss mittels vertraglicher Regelung und weiteren Massnahmen ein adäquater Datenschutz sichergestellt werden (Art. 6, Abs.2).
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) führt eine Staatenliste mit Ländern und deren Datenschutzniveau: Staatenliste EDÖB
Grafische Übersicht, wie es weltweit um den Datenschutz steht:
Beispiele
Um ein besseres Verständnis für die Anwendbarkeit der EU-Datenschutz-Grundverordnung (DSGVO) zu vermitteln, werden nachfolgend einige Fallbeispiele aufgezeigt und beschrieben.
Fallbeispiel 1:
Ein Hotel empfängt Gäste aus dem europäischen Raum und sammelt für die Abrechnung und Parkplatzreservation Daten wie die Adresse, Ankunft- und Abreisedatum sowie das KFZ-Kennzeichen. Die Daten werden dabei in der Schweiz gelagert.
Die Datenbearbeitung findet ausschliesslich in der Schweiz statt. Entsprechend kommt das Territorialitätsprinzip zum Tragen.
Fallbeispiel 2:
Das Hotel lagert die gesammelten Daten aus dem Fallbeispiel 1 an einen Cloud-Anbieter in Europa aus.
Das Schweizer Datenschutzgesetz sowie die EU-Datenschutz-Grundverordnung (DSGVO) muss berücksichtig werden.
Fallbeispiel 3:
Das Hotel verwendet die gesammelten Daten, um die europäischen Gäste für Marketingzwecke anzuschreiben.
Durch die Marketingmassnahmen im europäischen Raum wird das Schweizer Territorium verlassen und das DSGVO gilt zusätzlich zum DSG.
Fallbeispiel 4:
Das Hotel führt eine Website und sammelt Besucherdaten.
Das Angebot des Hotels adressiert unter anderem europäische Gäste. Es werden Daten aus dem europäischen Raum gesammelt und somit ist zusätzlich zum DSG das DSGVO anwendbar. Das Hotel darf somit den bekannten Cookie-Banner auf ihrer Webseite platzieren. Würde das Hotel nur Zimmer für Schweizer Gäste anbieten, so sammelt die Website noch immer Daten aus dem europäischen Raum und unterliegt dem DSGVO.
Revision Schweizer Datenschutzgesetz
Das nDSG orientiert sich stark an der DSGVO. Dadurch verschmelzen die Grenzen zwischen dem nDSG und DSGVO. An der Anwendbarkeit der beschriebenen Fallbeispielen wird sich mit dem nDSG nichts ändern. Die Fragestellung, ob das DSGVO oder nDSG zur Anwendung kommt, wird durch die Annäherung beider Datenschutzregelungen für Unternehmen irrelevanter.
Weiterführende Links zum Thema