Gesetzlicher
Rahmen
Welche gesetzlichen Regelungen beachtet werden müssen hängt von verschiedenen Faktoren ab, z.B.:
- wer bearbeitet die Personendaten?
- welche Personendaten werden bearbeitet?
- wer sind die betroffenen Personen?
Folgende Datenschutzregelungen sind in der Schweiz relevant:
- Bundesverfassung
-
Die Bundesverfassung ist die Verfassung der Schweizerischen Eidgenossenschaft. Sie steht auf der obersten Stufe des Schweizerischen Rechtssystems. Ihr sind sämtliche Gesetze, Verordnungen und Erlasse des Bundes, der Kantone und der Gemeinden untergeordnet. Sie dürfen der Bundesverfassung daher nicht widersprechen.
Die Bundesverfassung nennt den Schutz der Privatsphäre als eines der Grundrechte. Darunter fällt der Anspruch jeder Person auf Schutz vor Missbrauch ihrer persönlichen Daten.
- Bundesgesetz über den Datenschutz (DSG) inkl. Verordnung zum Bundesgesetz über den Datenschutz (DSV)
-
Das Bundesgesetz über den Datenschutz sowie die Ausführungsbestimmungen in der Verordnung gelten für private Personen sowie Bundesorgane. Als Private gelten Selbständige, Unternehmen, Vereine, Stiftungen und Genossenschaften.
Das DSG gilt auch für Sachverhalte im Ausland, die sich datenschutzrechtlich auf die Schweiz auswirken, d.h. wenn Personendaten von Personen in der Schweiz betroffen sind. Aus diesem Grund haben u.U. ausländische Unternehmen die Regelungen des DSG einzuhalten, auch wenn sie keine schweizerische Niederlassung haben.
- Kantonale Gesetze
- Kantonale Behörden unterstehen den jeweiligen kantonalen Gesetzgebungen über den Datenschutz.
- Spezialgesetzliche Regelungen
-
Verschiedene Gesetze enthalten spezifische Regelungen zum Datenschutz.
Im DSG wird zudem festgehalten, dass Bundesorgane Personendaten nur bearbeiten dürfen, wenn dafür eine gesetzliche Grundlage besteht (Legalitätsprinzip).
- Ausländische Regelungen
-
Verschiedene ausländische Datenschutzregelungen sehen eine sog. exterritoriale Wirkung vor, d.h. dass sie auch auf Unternehmen oder Organisationen ausserhalb des betreffenden Landes Anwendung finden.
Aus diesem Grund haben Schweizer Unternehmen zu prüfen, ob sie allenfalls in den Anwendungsbereich von ausländischen Datenschutzvorschriften fallen.
- Verhaltenskodizes
-
Berufs‑, Branchen- und Wirtschaftsverbände, die nach ihren Statuten zur Wahrung der wirtschaftlichen Interessen ihrer Mitglieder befugt sind, können dem EDÖB Verhaltenskodizes vorlegen.
Die Stellungnahme des EDÖB zu einem ihm vorgelegten Verhaltenskodex stellt keine rechtsverbindliche Aussage dar. Dennoch kann bei einer positiven Stellungnahme des EDÖB davon ausgegangen werden, dass ein dem Verhaltenskodex entsprechendes Verhalten keine Verwaltungsmassnahmen nach sich zieht.
Totalrevision des Datenschutzgesetzes der Schweiz:
Das bisherige Datenschutzgesetz (DSG) war aufgrund der rasanten technologischen Entwicklungen nicht mehr zeitgemäss. Mit der Totalrevision wurde deshalb das DSG den veränderten technologischen wie gesellschaftlichen Verhältnissen angepasst. Gleichzeitig soll sich die Totalrevision den datenschutzrechtlichen Vorgaben der Europäischen Union annähern, um auch zukünftig als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt zu werden. Dies ist für die grenzüberschreitende Datenübermittlung und damit für die Wirtschaft zentral.
Inkrafttreten des revidierten DSG:
Das revidierte DSG trat am 1. September 2023 in Kraft.
Ausländische Regelungen:
Die für Schweizer Unternehmen wichtigste ausländische Datenschutzregelung ist die Datenschutzgrund-Verordnung der Europäischen Union (DSGVO).
Die DSGVO findet für Schweizer Unternehmen in folgenden Fällen Anwendung:
- Niederlassung im EU-/EWR-Raum;
- Ausrichtung der Angebote von Waren und Dienstleistungen an Personen im EU-/EWR-Raum;
- sog. Verhaltensbeoabachtung von Personen im EU-/EWR-Raum. Darunter fällt typischerweise das Webseiten-Tracking.
Links zu Gesetzestexten:
- Bundesverfassung
- Bundesgesetz über den Datenschutz (Datenschutzgesetz)
- Verordnung über den Datenschutz (Datenschutzverordnung)
- Datenschutzgrund-Verordnung der EU (DSGVO)
Beispiel für spezialgesetzliche Regelung:
- Der Arbeitgeber darf Daten über den Arbeitnehmer nur bearbeiten, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind (Art. 328b OR).