Wie schneidet das überarbeitete DSG im Vergleich zur EU-DSGVO ab?

Die Revision des DSG (Bundesgesetz über den Datenschutz) basiert auf den Anforderungen der EU-DSGVO (Datenschutz-Grundverordnung), weist aber einige Besonderheiten auf. In den meisten Fällen ist das nDSG weniger formalistisch und hat weniger spezifische Regulierungsinhalte als die DSGVO. Wenn Ihr Schweizer Unternehmen bereits DSGVO-konform ist, sollten Sie sich überlegen, ob Sie die Bestimmungen des nDSG für die Datenverarbeitung ausserhalb des Geltungsbereichs der DSGVO anwenden, um von der Flexibilität (oder von weniger strengen Bestimmungen) des nDSG zu profitieren. Sie sollten jedoch bedenken, dass das nDSG keine Kopie der DSGVO ist und dass es einige Punkte gibt, in denen das nDSG sogar strenger sein wird als die DSGVO. Um sich darauf einzustellen, ist es unerlässlich, dass sich Ihr Unternehmen früh genug auf die Änderung der Verordnung vorbereitet.

Worin bestehen die Unterschiede zwischen dem nDSG und der DSGVO?

Die folgende Tabelle stellt die Unterschiede des nDSG und Ihren Handlungsbedarf dar:

DSGVO	nDSG	Handlungsbedarf
Verantwortlicher und Auftragsverarbeiter:
Die DSGVO legt den Mindestinhalt einer Beziehung zwischen einem für die Verarbeitung Verantwortlichen und einem Auftragsverarbeiter fest. Vertragliche Festlegung der Verantwortlichkeiten. Beschränkte Haftung des Verarbeiters.	Weniger detaillierte inhaltliche Anforderungen, aber Datenexporte müssen erwähnt werden. Keine ausdrückliche vertragliche Verpflichtung. Alle beteiligten Personen können haftbar gemacht werden.	Verträge aktualisieren
Datenexporte:
Keine Bekanntgabe von Daten in Drittländer ohne angemessenen Datenschutz: Die Europäische Kommission veröffentlicht eine Liste mit Ländern mit angemessenem Datenschutz. Falls der Schutz nicht ausreicht, müssen Schutzmassnahmen wie Standardvertragsklauseln (SCC) und verbindliche Unternehmensregeln (BCR) verwendet werden. Ausnahmen bei Einwilligung, der Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung.	Gleiches Konzept. Der Bundesrat bestimmt die Länder mit angemessenem Datenschutz. Die Verwendung von EU SCC ist unter bestimmten Umständen möglich. Es gibt einige schweizerische Anpassungen, die der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) angibt. Ähnliche Ausnahmen (auch wenn diese nicht vollständig mit denjenigen der DSGVO übereinstimmen)	Verfahren aktualisieren
Benachrichtigungen über Datenschutzverletzungen:
Datenschutzverletzungen, die Risiken für die betroffenen Personen bergen, müssen der Datenschutzbehörde innerhalb von 72 Stunden gemeldet werden. Im Falle eines hohen Risikos für die Persönlichkeit muss die betroffene Person benachrichtigt werden.	Der Verantwortliche muss den EDÖB nur bei einem hohen Risiko informieren. Keine 72-Stunden-Frist («so bald wie möglich»). Benachrichtigung nur, wenn «zum Schutz der betroffenen Person erforderlich».	Verfahren aktualisieren
Berufsgeheimnis:
Die Mitgliedstaaten können besondere Vorschriften erlassen	Berufsgeheimnis Persönliche Bussen bis zu CHF 250'000 bei vorsätzlicher Verletzung	Persönliche Haftung berücksichtigen
Vollstreckung und Sanktionen
Die Aufsichtsbehörden können: die Verarbeitungstätigkeiten untersuchen, Verarbeitungstätigkeiten einstellen oder einschränken Geldbussen von bis zu 10/20 Mio. EUR oder 2/4 % des weltweiten Jahresumsatzes verhängen. Je nach lokalem Recht können weitere Geldbussen gegen ein Unternehmen verhängt werden.	Der EDÖB kann: die Verarbeitungstätigkeiten untersuchen, die Verarbeitungstätigkeiten einstellen oder einschränken. Eine Reihe von Verstössen gegen die nDSG oder mangelnde Zusammenarbeit mit dem EDÖB können zu strafrechtlichen Bussen von bis zu 250'000 Franken gegen die verantwortlichen Personen führen (vorsätzliches Handeln).	Persönliche Haftung berücksichtigen