So funktioniert JustAnswer:
  • Fragen Sie einen Experten
    Tausende Experten in über 200 Kategorien.
  • Erhalten Sie eine professionelle Antwort
    Per E-Mail oder sofortiger Benachrichtigung, während Sie auf unserer Website warten. Stellen Sie ggf. weitere Anschlussfragen.
  • 100%ige Zufriedenheit garantiert
    Bewerten Sie die erhaltene Antwort.
Stellen Sie Ihre Frage an Advokaturbüro.
Advokaturbüro
Advokaturbüro, Rechtsanwalt, LL.M.
Kategorie: Schweizer Recht
Zufriedene Kunden: 3886
Erfahrung:  Gebiete des Schweizer Zivilrechts, v.a. allgemeines und besonderes Vertragsrecht, Erbrecht, Gesellschaftsrecht, SchKG
54307587
Geben Sie Ihre Frage in der Kategorie Schweizer Recht hier ein
Advokaturbüro ist jetzt online.

Ich habe demnächst ein Seminar was ich in der Schweiz geben

Diese Antwort wurde bewertet:

ich habe demnächst ein Seminar was ich in der Schweiz geben soll.
Dazu brauche ich einmal Hilfe, es geht unter anderem um den DSG (bzw. revDSG) und die DSGVO.
Ziel des Seminars ist der Verkauf von Cyberversicherungen der auch den Bereich Datenschutz abdeckt.

Ich müsste wissen, ob es dort etwas ähnliches gibt wie hier in Deutschland und zwar zu folgenden Artikeln.

Art. 33 = Meldung von Datenschutzvorfällen innerhalb von 72 Stunden, dass muss ja rechtskonform sein mit bestimmten Inhalten.

Art. 82 ff = Bußgelder von bis zu 4% des weltweiten Umsatzes

Art. 5 Abs.2 = "Beweislastumkehr", das Unternehmen muss nachweisen, dass es alle TOM ergriffen hat um die Daten zu schützen und den Nachweis dafür erbringen.

Gem. §§ 91 II, 93 II AktG trifft den Vorstand die Pflicht, geeignete Maßnahmen, insbesondere Überwachungssysteme einzurichten (Risikomanagement), um frühzeitig Risiken zu erkennen (Münchner Kommentar zum Aktiengesetz/Spindler, § 91 Rn. 20).
So hat auch der Geschäftsführer dem AktG entsprechend nach § 43 I GmbHG die „Sorgfalt eines ordentlichen Geschäftsmanns“ aufzubringen (Baumbach/Hueck/Zöllner/Noack, GmbHG § 43 Rn. 7).
Dadurch ergibt sich eine mögliche persönliche Haftung bei Verstößen gegen DSGVO, gibt es soetwas auch in der Schweiz?

Haftet in der Schweiz auch der Arbeitgeber für Verstöße der Mitarbeiter?

Muss auch in der Schweiz schriftlich geregelt werden, wie mit der privaten Nutzung des Internets umgegangen werden muss? In Deutschland darf ein Unternehmen ansonsten keine Datensicherung machen mit den privaten Mails der MA und kein SPAM Filter einschalten, weil MA ja von jeder Seite einen Newsletter anfordern können und ich ihn nicht dran hindern darf, diesen zu empfangen.

Ich hoffe Sie können mir weiterhelfen? Ich bin auch sehr dankbar dafür, wenn Ihnen vielleicht noch einiges bekannt ist, was ich im Seminar vor Ort nutzen kann.

Bei Fragen gerne schreiben!

Vielen Dank

Sehr geehrte(r) JustAnswer-Nutzer(in)

Aufgrund Ihrer Angaben kann ich Ihre ausführliche Anfrage mit folgender Rechtsauskunft nach Schweizer Recht beantworten:

Wie Sie sicherlich wissen, ist die Datenschutzrichtlinie der EU in der Schweiz nicht bzw. noch nicht umgesetzt worden und die DSGVO nicht direkt anwendbar. Schweizer Unternehmen müssen sich allerdings an die DSGVO halten, wenn sie personenbezogene Daten von natürlichen Personen verarbeiten, die sich in der EU befinden, und falls die Verarbeitung dazu dient (1) diesen Personen Waren oder Dienstleistungen anzubieten (gegen Bezahlung oder unentgeltlich), oder (2) das Verhalten dieser Personen zu verfolgen, sofern dieses Verhalten in den Mitgliedstaaten der EU erfolgt.

Eine übersichtliche Erläuterung des EDÖB zur DSGVO und dem Verhältnis zur Schweiz finden Sie im Internet unter folgendem Link:

Die DSGVO der EU und ihre Auswirkungen auf die Schweiz (PDF, 708 kB, 24.07.2018)

Die datenschutzrechtlichen Rechtsgrundlagen in der Schweiz befinden sich aktuell nach wie vor im Bundesgesetz über den Datenschutz (DSG) und der Verordnung zum DSG (VDSG):

DSG: https://www.admin.ch/opc/de/classified-compilation/19920153/index.html

VDSG: https://www.admin.ch/opc/de/classified-compilation/19930159/index.html

Eine Analogie zu Artikel 33 DSGVO kennt das aktuelle DSG nicht. Allerdings enthalten die Art. 8-10 und 14 DSG gewisse Melde- und Mitwirkungspflichten, bei deren Verletzung Strafen (Bussen) drohen. Allerdings können solche Bussen nur gegenüber Privatpersonen verhängt werden (vgl. Art. 34 DSG). Ob eine Strafbarkeit des Unternehmens über Art. 102 StGB konstruiert werden kann, ist soweit bekannt ungeklärt.

Auch eine Analogie zu den Artikeln 82 ff. und zu Artikel 5 Abs. 2 DSGVO existiert in der Schweizer Datenschutzgesetzgebung (noch) nicht.

Die Bestimmungen über die Pflicht des Verwaltungsrats bzw. des Geschäftsführers in der AG bzw. GmbH erschöpfen sich aktuell ebenfalls noch in allgemein gehaltenen Bestimmungen zur Sorgfaltspflicht und den Rechtsfolgen bei fahrlässiger oder vorsätzlicher Verletzung von Sorgfaltspflichten (vgl. z.B. Art. 717, Art. 754, 812 OR, Obligationenrecht). Insbesondere könnte künftig aus Art. 754 OR eine persönliche Haftung von Verwaltungsratsmitgliedern gegenüber der AG abgeleitet werden, auch bei Verstössen gegen Datenschutzrecht soweit eine Sorgfaltspflichtverletzung vorliegt.

Auch in der Schweiz haftet der Arbeitgeber für Schäden, die der Mitarbeiter verursacht (sog. Geschäftsherrenhaftung nach Art. 55 OR. Es handelt sich dabei um eine sog. einfache Kausalhaftung. Das heisst, grundsätzlich haftet der Arbeitgeber für Schäden, die seine Arbeitnehmer oder Hilfpersonen in Ausübung ihrer dienstlichen oder geschäftlichen Tätigkeit verursachen. Der Arbeitgeber kann sich von dieser Haftung nur befreien, wenn er beweist, dass er "alle nach den Umständen gebotene Sorgfalt angewendet hat, um einen Schaden dieser Art zu verhüten, oder dass der Schaden auch bei Anwendung dieser Sorgfalt eingetreten wäre." Diese Bestimmung dürfte ist auch für Schäden anwendbar, die auf Verletzung von Datenschutzrecht zurückzuführen sind.

Wie Sie sicherlich auch wissen, wird das Datenschutzgesetz aktuell einer Gesamtrevision unterzogen. Das totalrevidierte Datenschutzgesetz, das die Vorgaben von Schengen und jene der DSGVO gleichermassen berücksichtigt, ist aber noch nicht (auch noch nicht teilweise) in Kraft getreten. Seit dem 15.09.2017 die Botschaft des Bundesrates zum neuen Datenschutzgesetz vor, daran wurde aber heftige Kritik geübt. Es ist durchaus denkbar, dass es noch zu einem Referendum kommt. Wann und mit welchem Wortlaut das neue in Kraft tritt, ist aber noch offen. Allgemein wird kein Inkrafttreten vor 2019 erwartet.

Tatsächlich sieht der Entwurf ähnliche Vorschriften wie die DSGVO vor. Neu sollen gegenüber Privatpersonen Bussen bis 250'000.- und gegenüber Unternehmen Bussen bis 50'000.- möglich sein (Art. 54-Art. 58 E-DSG). Weiter ist ähnlich wie in Artikel 33 DSGVO vorgesehen, dass Verletzungen der Datensicherheit "so rasch als möglich" zu melden sind (Art. 22 E-DSG).

An gesellschaftsrechtlichen Vorschriften ist soweit ersichtlich keine Änderung in Planung.

Gesetzesentwurf und Botschaft zum E-DSG finden Sie im Internet unter:

https://www.admin.ch/opc/de/federal-gazette/2017/7193.pdf

https://www.admin.ch/opc/de/federal-gazette/2017/6941.pdf

Eine ausdrückliche Vorschrift zur schriftlichen Regelung der privaten Nutzung des Internets am Arbeitsplatz existiert noch nicht. Aus arbeitsrechtlicher Sicht, gemäss arbeitsgerichtliche Rechtsprechung und aufgrund allgemeiner Compliance gebietet es sich für Unternehmen, die Datensicherung in einem schriftlichen Reglement zu regeln und vorher anzukündigen.

Die Situation in der Schweiz ist aktuell in datenschutzrechtlicher Hinsicht einigermassen unübersichtlich, weil die DSG-Revision gerade in einer (politisch) heiklen Phase steht. Der Revisionsbedarf ist erkannt und schon aufgrund der europäischen Verpflichtungen ist mit (irgend-)einer (Teil-)Umsetzung zu rechnen. Tatsächlich ist die causa Datenschutz schon jetzt im Verzug. Falls es zum Referendum kommt, kann sich das Inkrafttreten um Monate verzögern.

Ich hoffe, Ihnen mit dieser Auskunft weitergeholfen zu haben. Über die positive Bewertung meiner Antwort (Anklicken von 3-5 Sternen) würde ich mich sehr freuen.

Freundliche Grüsse
RA lic. iur. Reto Aschwanden, LL.M.

Advokaturbüro und weitere Experten für Schweizer Recht sind bereit, Ihnen zu helfen.
Kunde: hat geantwortet vor 1 Monat.
Hallo,vielen Dank für die umfangreiche Antwort.Eine Sache ist mir noch aufgefallen, ich hatte noch eine Frage zur Cloud-Nutzung.In Deutschland haftet auch das Unternehmen selber bei Datenschutzverletzungen in der Cloud, ist das in der Schweiz genauso? Oder können die den Datenschutz und die Haftung outsourcen?Ich würde mich über eine Antwort freuen..Vielen Dank

Sehr geehrte(r) JustAnswer-Nutzer(in)

Ihre Anschlussfrage beantworte ich gerne noch wie folgt:

Werden Daten in eine Cloud gegeben bzw. nicht innerhalb der gleichen juristischen Einheit gespeichert (= outsourcing), handelt es sich in der Regel um einen Anwendungsfall der Auftragsbearbeitung im Sinne von Art. 10a DSG bzw. 8 E-DSG. Die entsprechenden geetzlichen Voraussetzungen müssen erfüllt werden. Wenn Daten ins Ausland bekanntgegeben werden, müssen zudem die Voraussetzungen der Artikel 13 und 14 vorliegen.

Konkret greift im Falle von Datenschutzverletzungen in der Cloud die Hilfspersonenhaftung. Allerdings kann sich die auftraggebende Firma von der Haftung befreien, wenn ihr keine Sorgfaltspflichtverletzung bei der Auswahl und Instruktion des Cloudbetreibers vorgeworfen werden kann. Vgl. dazu Art. 8 Abs. 2 E-DSG:

Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.

Die Haftung kann also nicht ohne weiteres abgeschoben werden.

Freundliche Grüsse

RA lic. iur. Reto Aschwanden, LL.M.