Die neue Datenschutz-Grundverordnung (DS-GVO) regelt den einheitlichen Schutz für den Umgang mit personenbezogenen Daten in der EU. Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen sich, ausgehend vom Anwendungsbereich, an die Regelungen der Datenschutz-Grundverordnung halten. Dies gilt für Unternehmen mit Sitz ausserhalb der EU und somit auch für solche in der Schweiz – sobald sie Daten von EU-Bürgern verarbeiten oder als Auftragsverarbeiter in Vertragsbeziehungen zu EU-Unternehmen stehen.
Das Marktortprinzip
Gemäss Art. 3 Abs. 2 der Datenschutz-Grundverordnung (Räumlicher Anwendungsbereich) findet die Verordnung Anwendung, sobald ein nicht in der Union niedergelassener Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten von betroffenen Personen, die sich in der Union befinden, verarbeitet. Man spricht hier vom sogenannten «Marktortprinzip». Davon betroffen sind somit unter anderem Betreiber von Online-Portalen, Versandhändler, Exporteure sowie jegliche Dienstleister, die Leistungen in der EU anbieten und dabei personenbezogene Daten verarbeiten.
Die Schweiz gilt als sicheres Drittland im Sinne der Datenschutzrichtlinie 95/46/EG. Nach EU-Kriterien bietet die Schweiz ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten von der EU in die Schweiz.
Um auch zukünftig nach Artikel 45 der Datenschutz-Grundverordnung (Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses) über ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten nach EU-Kriterien zu verfügen, hat die Schweiz bereits Ende 2016 eine Revision des eigenen Datenschutzgesetzes (DSG) beschlossen. Einige Parallelen zwischen der Datenschutz-Grundverordnung und dem Datenschutzgesetz, wie etwa im Bereich des sogenannten Verzeichnisses der Bearbeitungstätigkeiten oder der Datenschutz-Folgenabschätzung, sind vorhanden. Die für September diesen Jahres geplante Neuerung folgt der Zielsetzung, das Schweizer Datenschutzniveau dem der EU anzugleichen.
Die Dokumentationspflicht
Bereits heute ist der Verantwortliche und der Auftragsbearbeiter laut Artikel 19 des Datenschutzgesetzes verpflichtet, seine Datenbearbeitungsvorgänge an das Register zu melden. Welche Angaben zukünftig dokumentiert werden müssen, sieht das Datenschutzgesetz in seiner jetzigen Form im Gegensatz zur Datenschutz-Grundverordnung der Europäischen Union nicht vor: Die Dokumentation muss jedoch so ausgestaltet sein, dass der Verantwortliche und der Auftragsbearbeiter ihren Informations- und Meldepflichten nachkommen können. Die bis dahin übliche Meldung an das Register soll zukünftig entfallen (Ausnahme: Bundesorgane). Die Dokumentationspflicht gilt länderübergreifend als zentrales Element zur Verwirklichung einer transparenten Datenbearbeitung. So muss zum Beispiel dem Auskunftsersuchen eines Betroffenen gemäss Art. 20 des Vorentwurfs des Datenschutzgesetzes jederzeit nachgekommen werden können. Und der Verstoss gegen die Dokumentationspflicht wird sanktioniert (gemäss Art. 51 Bst. F im Vorentwurf des Datenschutzgesetzes unter Verletzung der Sorgfaltspflichten).