Die Datenschutz-Grundverordnung (DSGVO) und das Bundesgesetz über den Datenschutz (DSG) sind zwei wichtige Datenschutzgesetze, die den Umgang mit personenbezogenen Daten in der Europäischen Union (EU) bzw. der Schweiz regeln. Obwohl beide Verordnungen darauf abzielen, die Privatsphäre von Personen zu schützen und Transparenz bei der Datenverarbeitung zu gewährleisten, unterscheiden sie sich in Bezug auf den Anwendungsbereich, die Anwendbarkeit und bestimmte Compliance-Anforderungen. Im Folgenden finden Sie einen umfassenden Vergleich, der die Unterschiede zwischen den beiden Regelungen aufzeigt:
1. Geografischer Geltungsbereich und Anwendbarkeit
- GDPR: Die Datenschutz-Grundverordnung gilt sowohl für Organisationen, die innerhalb der EU tätig sind, als auch für solche außerhalb der EU, die EU-Bürgern Waren oder Dienstleistungen anbieten oder deren Verhalten überwachen. Dieser extraterritoriale Geltungsbereich stellt sicher, dass jedes Unternehmen, das mit den Daten von EU-Bürgern zu tun hat, unabhängig von seinem Standort, die DSGVO-Standards einhalten muss.
- FADP: Das DSG gilt speziell für Unternehmen, die in der Schweiz tätig sind. Im Gegensatz zur DSGVO ist ihr Anwendungsbereich auf Organisationen mit Sitz in der Schweiz oder auf solche, die personenbezogene Daten in der Schweiz verarbeiten, beschränkt. Ähnlich wie die DSGVO betrifft die DSGV jedoch auch internationale Unternehmen, die Daten von in der Schweiz ansässigen Personen verarbeiten.
2. Rechte der betroffenen Person
- GDPR: Die Datenschutz-Grundverordnung räumt dem Einzelnen weitreichende Rechte ein, darunter das Recht auf Zugang, Berichtigung, Löschung und Übertragung seiner Daten sowie das Recht, der Verarbeitung zu widersprechen oder die Verarbeitung einzuschränken. Sie gewährt auch das Recht, über automatisierte Entscheidungsfindung und Profilerstellung informiert zu werden.
- FADP: Das überarbeitete DSG spiegelt viele der Rechte der DSGVO wider, wie das Recht auf Auskunft, Berichtigung und Löschung. Es enthält jedoch kein direktes Recht auf Datenübertragbarkeit oder das Recht auf Widerspruch gegen eine automatisierte Entscheidungsfindung, wodurch es in dieser Hinsicht etwas weniger umfassend ist.
3. Rechtsgrundlage für die Datenverarbeitung
- GDPR: Die DSGVO nennt sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigte Interessen. Unternehmen müssen sicherstellen, dass sie eine gültige Rechtsgrundlage haben, bevor sie personenbezogene Daten verarbeiten.
- FADP: Das DSG verlangt ebenfalls eine Rechtsgrundlage für die Verarbeitung, ist aber nachsichtiger in Bezug auf die Frage, was eine gültige Rechtsgrundlage ist, insbesondere für die Verarbeitung sensibler personenbezogener Daten. Die Einwilligung bleibt ein zentraler Aspekt, aber die Anforderungen für die Einholung der Einwilligung sind nicht so streng wie in der DSGVO.
4. Benachrichtigungen über Datenschutzverletzungen
- GDPR: Nach der Datenschutz-Grundverordnung müssen Unternehmen die zuständige Aufsichtsbehörde innerhalb von 72 Stunden über eine Datenschutzverletzung informieren, wenn die Verletzung wahrscheinlich zu einem Risiko für die Rechte und Freiheiten von Personen führt. Wenn die Verletzung ein hohes Risiko darstellt, müssen auch die betroffenen Personen informiert werden.
- FADP: Das DSG führt zum ersten Mal eine Meldepflicht für Datenschutzverletzungen ein. Unternehmen müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) Verstöße "so schnell wie möglich" melden, ohne einen strengen Zeitrahmen wie das 72-Stunden-Fenster der Datenschutz-Grundverordnung festzulegen. Es besteht jedoch eine klare Erwartung an Pünktlichkeit und Transparenz.
5. Ernennung von Datenschutzbeauftragten (DSB)
- GDPR: Die DSGVO schreibt die Ernennung eines DSB für Organisationen vor, die große Mengen sensibler Daten verarbeiten oder eine regelmäßige und systematische Überwachung der betroffenen Personen vornehmen. Der DSB spielt eine entscheidende Rolle bei der Gewährleistung der Einhaltung der Vorschriften und fungiert als Ansprechpartner zwischen dem Unternehmen und den Aufsichtsbehörden.
- FADP: Das überarbeitete DSG verlangt nicht ausdrücklich die Ernennung eines Datenschutzbeauftragten, obwohl es Organisationen ermutigt, einen Datenschutzbeauftragten zu benennen. Das Fehlen eines obligatorischen behördlichen Datenschutzbeauftragten macht die Einhaltung der Vorschriften für einige Unternehmen einfacher, könnte aber die interne Aufsicht über die Datenschutzaktivitäten einschränken.
6. Grenzüberschreitende Datenübertragungen
- GDPR: Die Datenschutz-Grundverordnung sieht strenge Kontrollen für die Übermittlung personenbezogener Daten in Länder außerhalb der EU vor und erlaubt nur Übermittlungen in Länder, die ein angemessenes Datenschutzniveau bieten. Organisationen müssen Sicherheitsvorkehrungen wie Standardvertragsklauseln (SCC) oder verbindliche Unternehmensregeln (BCR) verwenden, um eine konforme Datenübermittlung zu gewährleisten.
- FADP: Das DSG stellt ähnliche Anforderungen an grenzüberschreitende Datenübermittlungen und betont, dass Personendaten nur in Länder mit angemessenen Datenschutzstandards übermittelt werden sollten. Der EDÖB führt eine Liste von Ländern, die als angemessen gelten, und Organisationen können ähnliche Sicherheitsvorkehrungen wie in der DSGVO anwenden, z. B. SCCs und BCRs.
7. Sanktionen bei Nichteinhaltung der Vorschriften
- GDPR: Die Nichteinhaltung der Datenschutz-Grundverordnung kann zu erheblichen Geldstrafen führen - bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Mit diesen hohen Strafen soll die strikte Einhaltung der Datenschutzgrundsätze durchgesetzt werden.
- FADP: Die Sanktionen des DSG sind im Vergleich zur DSGVO weniger streng. Die Höchststrafe für die Nichteinhaltung beträgt 250.000 CHF, und die Geldbußen werden in der Regel gegen die verantwortlichen Personen und nicht gegen die Organisation selbst verhängt. Dieser Ansatz unterscheidet sich von der GDPR, die den Schwerpunkt auf die Verantwortlichkeit der Organisation legt.
8. Risikobasierter Ansatz und Dokumentation
- GDPR: Die DSGVO erfordert einen umfassenden Ansatz für das Management von Datenschutzrisiken, einschließlich Datenschutz-Folgenabschätzungen (DPIA) für risikoreiche Verarbeitungstätigkeiten. Organisationen müssen ihre Verarbeitungstätigkeiten dokumentieren und deren Einhaltung nachweisen.
- FADP: Das DSG verfolgt ebenfalls einen risikobasierten Ansatz, ist aber in Bezug auf Datenschutzfolgenabschätzungen weniger präskriptiv. Während DPIAs für risikoreiche Verarbeitungstätigkeiten gefördert werden, ist das Gesetz weniger detailliert in Bezug auf die Frage, wann sie durchgeführt werden müssen, als die Datenschutz-Grundverordnung.
Abschließende Überlegungen
Während die DSGVO und das DSG viele Gemeinsamkeiten aufweisen, ist die DSGVO in bestimmten Bereichen strenger und umfassender, wie z. B. bei den Rechten der betroffenen Personen, der Meldung von Datenschutzverletzungen und den Sanktionen. Die Angleichung der DSGV an die DSGVO trägt jedoch dazu bei, dass Schweizer Organisationen reibungslos innerhalb des EU-Datenschutzrahmens arbeiten können, was das Vertrauen fördert und den grenzüberschreitenden Datenverkehr erleichtert.
Für Unternehmen, die in beiden Rechtsordnungen tätig sind, kann die Implementierung eines GDPR-konformen Datenschutzrahmens dazu beitragen, die Anforderungen beider Vorschriften zu erfüllen, eine nahtlose Einhaltung zu gewährleisten und das Risiko von Datenschutzverletzungen zu verringern.
- Wir können Ihnen helfen, FADP-konform zu werden!
Fachkundige Beratung, erschwingliche Lösungen und ein nahtloser Weg zur Einhaltung der Vorschriften
