Auswirkungen der RevFADP: Führung für internationale Firmen durch Anwendungsbereich, Vertretung und Geldbußen. Konformität mit Schweizer Datengesetz 2023. | Prighter
Blog
Hinweis: Beiträge werden automatisch aus dem Englischen übersetzt. Für den Originalinhalt besuchen Sie bitte unsere englische Seite. Einige Übersetzungen sind möglicherweise nicht perfekt; wir danken Ihnen für Ihr Verständnis.
Picture

Bereit für das neue Schweizer Datenschutzgesetz? Auswirkungen für Organisationen ausserhalb der Schweiz

Charlotte Mason, Andreas Maetzler

Das revidierte Bundesgesetz über den Datenschutz (“DSG-Revision”) tritt am 1. September 2023 in Kraft. Es mag nicht überraschen, dass diese Aktualisierung der Version von 1992 das schweizerische Datenschutzsystem stärker an die Bestimmungen der Datenschutz-Grundverordnung anpasst. Dies beinhaltet die Einführung neuer, strengerer Verpflichtungen für ausländische Unternehmen, die in der Schweiz tätig sind, wie z. B. das Erfordernis, einen Schweizer Vertreter zu benennen. Außerdem werden die Rechte der betroffenen Personen stärker betont und neue Anforderungen an die Meldung von Datenschutzverletzungen gestellt, auf die sich die Unternehmen einstellen müssen. Im Folgenden gehen wir auf die wichtigsten Auswirkungen dieser Änderungen für Unternehmen außerhalb der Schweiz ein.

Ausweitung des territorialen Anwendungsbereichs

Die RevFADP erweitert den territorialen Anwendungsbereich des Schweizer Datenschutzregimes in Anlehnung an die Datenschutz-Grundverordnung (DSGVO) erheblich, um sicherzustellen, dass Unternehmen weltweit für den Schutz der personenbezogenen Daten von Schweizer Bürgern verantwortlich sind. Der extraterritoriale Anwendungsbereich der RevFADP ist jedoch größer als der ihres europäischen Vorbilds, da das neue Schweizer Gesetz auf Sachverhalte anwendbar ist, die sich in der Schweiz auswirken, auch wenn solche Aktivitäten vom Ausland aus initiiert werden. Dies bedeutet, dass die schweizerische Aufsichtsbehörde, der EDÖB, für die Durchsetzung der RevFADP in Bezug auf jede Tätigkeit mit Auswirkungen in der Schweiz zuständig ist, auch wenn diese Auswirkungen außerhalb der Schweizer Grenzen verursacht werden. In der Praxis bedeutet dies, dass - wie bei der DSGVO - Organisationen, die sich mit Waren oder Dienstleistungen an Schweizer Bürger wenden oder deren Verhalten überwachen, die Anforderungen der RevFADP erfüllen müssen. Darüber hinaus bedeutet dies, dass Organisationen, die personenbezogene Daten auf Servern in der Schweiz speichern, unter die neue Schweizer Datenschutzgesetzgebung fallen.

Neue Verpflichtung zur Bestellung eines Vertreters in der Schweiz

Eine wichtige Änderung für Organisationen, die unter den extraterritorialen Geltungsbereich der RevFADP fallen, ist die neue Verpflichtung zur Bestellung eines Vertreters in der Schweiz. Diese Verpflichtung wird ausgelöst, wenn eine Organisation ohne Firmensitz in der Schweiz personenbezogene Daten von Personen in der Schweiz verarbeitet und diese Verarbeitungstätigkeiten im Zusammenhang stehen mit:

  • dem Angebot von Waren und/oder Dienstleistungen an diese Personen (Kriterium der Zielgruppenorientierung) oder der Überwachung des Verhaltens dieser Personen (Kriterium der Überwachung)
  • und wenn diese Datenverarbeitung
  • in grossem Umfang
  • regelmäßig durchgeführt wird
  • und ein hohes Risiko für die betroffene Person darstellt

Auch wenn die Anforderung, einen Schweizer Vertreter zu benennen, zweifellos von der Datenschutz-Grundverordnung inspiriert ist, gibt es wieder einige bemerkenswerte Unterschiede. Die beiden wichtigsten Unterschiede sind:

  • die Art der Organisationsstruktur, die erforderlich ist, um als lokaler für die Verarbeitung Verantwortlicher zu gelten, d.h. der Unterschied zwischen dem Unternehmenssitz nach der RevFADP und der Niederlassung nach der GDPR
  • die Qualifikation der Datenverarbeitung als umfangreich, regelmäßig und risikoreich sind Anwendungskriterien unter der RevFADP, während diese Kriterien in der GDPR umgedreht und als Ausnahme formuliert werden

Eine Niederlassung im Sinne der Datenschutz-Grundverordnung ist jede Art von fester Einrichtung, z. B. eine Zweigstelle oder ein Büro, aber die Gründung eines Unternehmens ist nicht unbedingt erforderlich. Demgegenüber verlangt der Wortlaut der RevFADP einen Unternehmenssitz, die inoffizielle englische Übersetzung übersetzt dies mit “registered office”.

Es gibt bisher keine Kommentarliteratur, die Klarheit darüber schafft, welche Art von Struktur in der Schweiz erforderlich ist, um nicht unter die Pflicht zur Bestellung eines Vertreters zu fallen. Der Wortlaut selbst deutet darauf hin, dass zumindest eine Art von Registrierung entweder als eigenständige Einheit oder als eingetragener Sitz vorhanden sein muss, weshalb die Anforderung, einen Vertreter zu bestellen, unter der RevFADP in dieser Hinsicht weiter gefasst ist als unter der DSGVO. Unternehmen mit einer Niederlassung in der Schweiz können auch ihre Tochtergesellschaft als Vertreter benennen, sollten aber vorher prüfen, ob die Tochtergesellschaft in der Lage ist, sich mit Datenschutzfragen in der Schweiz zu befassen.

Andererseits schränken die zusätzlichen Qualifikationen für die Datenverarbeitung den Anwendungsbereich ein, da sie auf datenintensive und risikoreiche Geschäftsmodelle abzielen. Im Gegensatz dazu werden unter der DSGVO die gleichen Kriterien, die als Ausnahmen vorgesehen sind, nur sehr selten ausgelöst.

Weitere Informationen finden Sie hier: Prighter als Schweizer DSG Vertreter.

Die Rolle des Vertreters

Die Rolle des Schweizer Vertreters hat sich durch die DSGVO deutlich weiterentwickelt. Der Vertreter soll eine lokale, zugängliche Anlaufstelle für Schweizer Betroffene und für die Schweizer Aufsichtsbehörde (EDÖB) sein. Die RevFADP verlangt von den für die Verarbeitung Verantwortlichen, den Namen und die Adresse des Beauftragten zu veröffentlichen, damit betroffene Personen, die ihre Rechte über den Beauftragten ausüben wollen, dies problemlos tun können. Auch wenn die RevFADP nicht ausdrücklich vorschreibt, diese Informationen in den Datenschutzhinweis des für die Verarbeitung Verantwortlichen aufzunehmen, wie es in der Datenschutz-Grundverordnung der Fall ist, so ist dies doch ein naheliegender Ort, um solche Informationen aufzunehmen. Die Aufnahme des Erfordernisses, einen Vertreter zu benennen, spiegelt die umfassenderen Rechte der betroffenen Person wider, die in der RevFADP im Vergleich zu den schweizerischen Gesetzen von 1992 festgelegt sind, und unterstreicht den Schwerpunkt auf der Befähigung von Personen, die Kontrolle über ihre personenbezogenen Daten zu behalten. Der Vertreter muss zur Verfügung stehen, um betroffene Personen darüber zu informieren, wie sie ihre Rechte ausüben können, und die Übermittlung solcher Anfragen an für die Verarbeitung Verantwortliche außerhalb der Schweiz ermöglichen, um diese Rechte für Schweizer Personen zu wahren.

Aus diesem Grund muss es sich bei dem Vertreter um ein in der Schweiz ansässiges Unternehmen oder eine dort lebende natürliche Person handeln. Briefkastenlösungen wären nicht in der Lage, die Rolle eines Vertreters auszufüllen und sind daher nicht geeignet, um die Anforderung zu erfüllen, einen Vertreter in der Schweiz zu benennen.

Neben der Sicherstellung der Kommunikation zwischen ausländischen Organisationen und dem EDÖB ist der Vertreter auch für die Führung des Verzeichnisses der Verarbeitungstätigkeiten des für die Verarbeitung Verantwortlichen verantwortlich und muss dieses der Aufsichtsbehörde auf Anfrage vorlegen.

Neue Bestimmungen für Datenschutzverletzungen

Neue Vorschriften für die Meldung von Datenverletzungen bedeuten, dass die für die Verarbeitung Verantwortlichen verpflichtet sind, den EDÖB so schnell wie möglich über eine Datenverletzung zu informieren, wenn die Verletzung wahrscheinlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat. In Ermangelung von Leitlinien des EDÖB ist zum jetzigen Zeitpunkt unklar, ob es eine Frist für die “schnellstmögliche” Benachrichtigung geben wird, so wie die Datenschutz-Grundverordnung vorschreibt, dass solche Benachrichtigungen innerhalb von 72 Stunden erfolgen müssen. Die für die Verarbeitung Verantwortlichen sind auch verpflichtet, die von der Verletzung betroffenen Personen zu informieren, wenn dies zum Schutz der betroffenen Personen erforderlich ist, z. B. wenn eine solche Benachrichtigung es den betroffenen Personen ermöglicht, Maßnahmen zu ergreifen, um die Auswirkungen der Verletzung für sie zu begrenzen. Nicht-schweizerische Organisationen können sich bei Bedarf an ihren Schweizer Vertreter wenden, um Unterstützung bei der Meldung von Datenschutzverletzungen zu erhalten.

Geldbußen bei Nichteinhaltung

Im Gegensatz zur DSGVO sieht die RevFADP keine zivilrechtlichen Strafen für nicht konforme Organisationen vor. Stattdessen können vorsätzliche Verstöße gegen das revidierte Schweizer Recht durch Personen, die für private für die Verarbeitung Verantwortliche handeln, strafrechtliche Sanktionen in Form von Geldbußen von bis zu 250.000 CHF nach sich ziehen. Solche Bußgelder werden höchstwahrscheinlich gegen Führungskräfte und Verantwortliche für das Datenschutzprogramm einer Organisation (z. B. Datenschutzbeauftragte) verhängt und umfassen Geldbußen für:

  • vorsätzlich falsche oder unvollständige Angaben (i) bei der Erhebung personenbezogener Daten (Art. 19), (ii) im Zusammenhang mit der automatisierten Entscheidungsfindung (Art. 21) und (iii) unter Verstoß gegen die Verpflichtung zum Datenschutzhinweis (Art. 25-27) - siehe Art. 60(1&2)
  • vorsätzliche Erteilung falscher Auskünfte und Verweigerung der Zusammenarbeit bei einer Untersuchung des EDÖB, einschließlich der Verweigerung der Übermittlung der erforderlichen Informationen an den EDÖB (Art. 49(3)) - siehe Art. 60(2)
  • die vorsätzliche Bekanntgabe von Personendaten ausserhalb der Schweizer Grenzen unter Verletzung der Bestimmungen über die grenzüberschreitende Übermittlung (Art. 16 und 17) und die vorsätzliche Nichterfüllung der Anforderungen von Art. 9 in Bezug auf die Ernennung von Datenbearbeitern - Art. 61
  • Verstöße gegen die berufliche Schweigepflicht in Bezug auf personenbezogene Daten (Art. 62)
  • vorsätzliche Nichtbefolgung einer Anordnung des DPIC (Art. 63)

Können die für solche Versäumnisse oder vorsätzlichen Verstöße gegen die RevFADP verantwortlichen Personen nicht ermittelt werden, kann stattdessen die Organisation selbst mit einer Geldstrafe belegt werden. Derartige Bussen für private Kontrolleure werden jedoch 50’000 CHF nicht übersteigen.

Vergleich der RevFADP mit der GDPR

Die folgende Tabelle gibt einen Überblick über die Unterschiede zwischen der DSGVO und der Schweizer RevFADP in Bezug auf die in diesem Artikel genannten Themen:

GDPRRevFADPNotable Difference
Material Scope
Art 2 (1): the processing of personal dataArt 2 (1): the processing of personal dataThe RevFADP has a more pragmatic approach when it comes to identifiable data. Only if someone is willing and, with reasonable efforts, able to link data back to an individual, is the data considered identifiable. In Case T‑557/20 European General Court (EGC) took a similar approach.
Territorial Scope
Art 3 (2): controllers and processors without an establishment when targeting or monitoring data subjects in the EUArt 3 (1): circumstances which have an effect in SwitzerlandWhereas the GDPR ties the applicability to actions taken by a controller or processor, the Swiss effect doctrine takes a passive approach and includes circumstances which do not relate to selling good/service in the Swiss market or monitoring the behaviour of Swiss data subjects.
Representation
Art 27: appoint a representative if:
- no establishment in the EU;
- targeting or monitoring EU data subjects.
Art 14: appoint a representative if:
- no corporate seat in Switzerland;
- targeting or monitoring individuals in Switzerland;
- processing being on a large scale, regularly and posing a high risk.
The fact that the requirement to appoint a representative under the RevFADP applies to all organizations without a corporate seat in contrast to an establishment under the GDPR results in a broader applicability whereas the additional qualifications narrow the scope again.
Data Breach Reporting
Art 33(1): obligation to report data breaches posing any risk within 72 hours.Art 24(1): obligation to report data breaches which pose a high risk as soon as possible.The RevFADP excludes all breaches below the threshold of “high risk” and is more flexible on the timing of the notification.
Fines
Art 83(4,5): administrative fines addressed to companies depending on the type of violation either € 10 Mio/2% global turnover or € 20 Mio/4% global turnoverArts 60-63 criminal liability of responsible person with fines of up to CHF 250,000.The GDPR became famous because of the exorbitant fines, Swiss RevFADP frightens C-levels because of the criminal liability.

Zusammenfassung

Die Schweiz ist von der EU umgeben, und so ist es nicht verwunderlich, dass sich die Schweizer RevFADP von der DSGVO inspirieren lässt. Es macht auch durchaus Sinn, ein höheres Maß an Harmonisierung zwischen den Datenschutzregelungen der EU und der Schweiz herbeizuführen, um die Einhaltung zu erleichtern. Allerdings gibt es einige wesentliche Unterschiede, die Unternehmen beachten sollten. Nicht-schweizerische Organisationen müssen die Ernennung eines Vertreters für den 1. September in Betracht ziehen.

Wenden Sie sich an Prighter, um weitere Informationen über das Schweizer RevFADP zu erhalten und um einen seriösen Anbieter als Ihren Vertreter in der Schweiz zu benennen.