Verlangt die DSGVO in bestimmten Fällen die Einsetzung eines Datenschutzbeauftragten, bleibt die Entscheidung über die Ernennung eines Datenschutzberaters – so der Schweizerische Begriff im neuen Datenschutzgesetz – jedem Unternehmen selbst überlassen. Die Aufgaben sind ähnlich. Der Datenschutzberater überwacht die Einhaltung der Datenschutzvorschriften innerhalb des Unternehmens und steht der Unternehmensleitung beratend zur Seite (Art. 10 Abs. 2 DSG). Diese trägt allerdings – analog zur DSGVO – immer noch allein die Verantwortung dafür, dass eine datenschutzkonforme Bearbeitung der Personendaten stattfindet. Trotzdem wird vom Datenschutzberater eine hohe Sachkunde erwartet, sie rechtfertigt die nachfolgende Erleichterung.

Wie in der DSGVO muss im Fall einer Datenschutz-Folgenabschätzung dann der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) konsultiert werden, wenn diese zu keiner Herabsetzung des Risikos führte. Wichtiger Unterschied zur DSGVO ist, dass von der Einbindung des EDÖB abgesehen werden kann, wenn ein Datenschutzberater ernannt ist. Dieser kann alternativ eingebunden werden. Allerdings ist dies zu dokumentieren. Trotzdem: Für Unternehmen eine klare Erleichterung und Vereinfachung und damit ein Argument für die Ernennung eines Datenschutzberaters.

Eine wichtige Neuerung stellt das Führen von Verzeichnissen von Bearbeitungstätigkeiten dar. Konkret: Das neue DSG verlangt von Verantwortlichen und Auftragsverarbeitern, jede Datenbearbeitung zu dokumentieren. Diese Pflicht ist mit der Führung eines Verzeichnisses aller Verarbeitungstätigkeiten in der DSGVO gleichzustellen. Die bisherige Meldepflicht beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) entfällt. Das neue DSG enthält eine Auflistung der Informationen, die dieses Verzeichnis enthalten muss.

Verantwortliche, die nicht in der Schweiz ansässig sind, aber personenbezogene Daten von Betroffenen verarbeiten, die sich in der Schweiz aufhalten, müssen einen Vertreter in der Schweiz benennen, wenn eine der drei Situationen zutrifft:

• Die Verarbeitung steht im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen in der Schweiz oder mit der Überwachung des Verhaltens von Menschen in der Schweiz.
• Die Verarbeitung personenbezogener Daten ist umfangreich und findet regelmäßig statt.
• Die Verarbeitung führt wahrscheinlich zu einem hohen Risiko für die Privatsphäre der betroffenen Person.

Diese Pflichten sind vergleichbar mit der DSGVO. Aber es empfiehlt sich eine Einzelfallprüfung. Gerade bei Konzernverbünden bestehend aus verschiedenen zusammenarbeitenden Gesellschaften und unterschiedlichen Unternehmenssitzen. „Die aufgezeigten Sachverhalte zeigen, dass eine unternehmensgenaue Betrachtung erforderlich ist. Deshalb sollten Verantwortliche und Auftragsverarbeiter mit Sitz in der Schweiz oder solche, die an Datenübermittlungen in die Schweiz beteiligt sind, mit Handlungsempfehlungen arbeiten. Diese liefert die UIMC als Rüstzeug, um datenschutzsicher durch unsichere Zeiten zu kommen“, betont Dr. Jörn Voßbein.

Dies ist der vierte Teil der UIMC-Reihe zum neuen Schweizerischen Datenschutzgesetz:

Teil 1: Neuregelung des Schweizer Datenschutzes – Ein kurzer Überblick

Teil 2: Schweizer Grundsätze bei der Datenverarbeitung

Teil 3: Datenschutz-Folgenabschätzung und Privacy by Design