Schweizer revDSG vs. DSGVO/GDPR: Wo liegen die Unterschiede?
Als Hosting-Anbieter ist es uns wichtig, dass unsere Kunden jederzeit datenschutzkonform handeln. In diesem Artikel möchten wir daher auf den Unterschied zwischen dem Schweizer Bundesgesetz über den Datenschutz (revDSG, vormals nDSG) und der europäischen Datenschutz-Grundverordnung (DSGVO/GDPR) eingehen.
Was ist das revDSG?
Das bisherige Schweizer Bundesgesetz über den Datenschutz (DSG) regelt den Umgang mit personenbezogenen Daten in der Schweiz und stammt aus dem Jahr 1992. Eine Zeit, als der elektronische Datenaustausch noch in seinen Anfängen steckte. Im September 2023 wird das DSG nun zum ersten Mal seit seiner Einführung revidiert.
Was beinhaltet die Revision?
Mit der Revision des Schweizer Datenschutzgesetzes vom 1. September 2023 stärkt die Schweiz die Privatsphäre der Bürger:innen und passt die Gesetzgebung an die neuesten technologischen Entwicklungen an. Das revDSG ist zudem besser auf die europäische DSGVO abgestimmt. Das ist wichtig, damit die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkannt wird und der freie Datenverkehr zwischen der Schweiz und der EU auch in Zukunft möglich bleibt.
Was ist die DSGVO/GDPR?
Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO, engl. GDPR) ist seit 2018 in Kraft. Sie regelt den Datenschutz in der gesamten EU und hat Auswirkungen auf Unternehmen, die personenbezogene Daten von EU-Bürgerinnen und -Bürgern verarbeiten.
Relevante Unterschiede zwischen dem revDSG und der DSGVO
Das revDSG unterscheidet sich von der DSGVO vorrangig darin, dass private Verantwortliche mit bis zu CHF 250’000 gebüsst werden können. Das EU-Gesetz hingegen sieht keine Bussen für Private vor, kann Unternehmen aber mit bis zu EUR 20 Mio. oder 4 % des weltweiten Gesamtjahresumsatzes des Unternehmens büssen.
Weitere Unterschiede haben wir in der nachfolgenden Tabelle aufgelistet:
| revDSG | DSGVO/GDPR | |
|---|---|---|
| Geltungsbereich | Schweiz | EU |
| Sanktionen | Bussen bis zu CHF 250'000 für private Verantwortliche. | Bussen bis zu EUR 20 Mio. oder 4 % des weltweiten Gesamtjahresumsatzes des Unternehmens. |
| Ernennen einer/eines Datenschutzbeauftragten (DPA) | Keine Pflicht – ausdrücklich empfohlen | Pflicht |
| Melden von Datenschutzverletzungen | Pflicht – Meldung muss möglichst rasch erfolgen. | Pflicht – Meldung muss innerhalb von 72 Stunden erfolgen. |
| Datenexporte an Drittländer | Über die Zulässigkeit entscheidet der Bundesrat. | Über die Zulässigkeit entscheidet die Europäische Kommission. |
| Datenschutz-Folgenabschätzung (DSFA) | Wenn ein hohes Risiko trotz getroffener Massnahmen besteht, muss Rücksprache mit dem EDÖB oder dem/der DPA gehalten werden. | Wenn ein hohes Risiko trotz getroffener Massnahmen besteht, ist es obligatorisch, Rücksprache mit den Aufsichtsbehörden zu halten. |
| Profiling (automatisierte Bearbeitung von personenbezogenen Daten) | Eine allgemeine Pflicht, die Zustimmung einzuholen, besteht nur bei einem Profiling mit hohem Risiko. | Es besteht eine allgemeine Pflicht, die Zustimmung einzuholen. |
| Definition sensitiver Daten | Gemäss Art. 5 revDSG | Gemäss Art. 9 DSGVO |
Welche Auswirkungen hat das auf dein Hosting?
Wenn du als Unternehmen in der Schweiz personenbezogene Daten von EU-Bürgerinnen und -Bürgern verarbeitest, musst du auch die Regelungen der DSGVO/GDPR einhalten. Das bedeutet, dass du unter anderem eine Datenschutzerklärung auf deiner Website bereitstellen und einen Auftragsverarbeitungsvertrag mit deinem Hosting-Anbieter (Sind das schon wir? 😉) abschliessen musst.
Wenn du Fragen zu diesem Thema hast oder Unterstützung benötigst, stehen wir dir gerne für eine erste Einschätzung zur Verfügung. Zudem gibt es in dieser Artikelserie auch eigene Beiträge zu Google Drive, Dropbox, Google Tag Manager und Google Analytics.