Schweizer Datenschutzgesetz
Was ist neu in der Schweiz – Das revDSG kommt

Was ist neu in der Schweiz – Das revDSG kommt

Am 1. September 2023 tritt das neue revidierte Datenschutzgesetz (revDSG) in der Schweiz ohne Übergangsfristen in Kraft. Ab dann gilt es also, d.h. spätestens ab September müssen die neuen datenschutzrechtlichen Vorgaben umgesetzt sein. Die neuen Vorgaben sind umfassender, griffiger und teilweise auch schärfer.

Der Fokus liegt dabei auf der Anpassung der Bestimmungen des Datenschutzgesetzes an die fortgeschrittenen Technologien und veränderten gesellschaftlichen Bedingungen. Zudem wird eine Annäherung des schweizerischen Datenschutzstandards an die Standards der Europäischen Datenschutz-Grundverordnung (DSGVO) angestrebt, sodass der länderübergreifende Datenaustausch innerhalb Europas ohne maßgebliche Einschränkungen und rechtskonform weiterhin möglich sein sollte.

Das neue Schweizer Datenschutzgesetz entspricht nicht exakt der DSGVO, ist ihr jedoch in weiten Teilen ähnlich.

Was ändert sich?

Betroffene Daten

Bislang galt das Datenschutzgesetz für das Bearbeiten von Daten natürlicher und juristischer Personen. Die Bestimmungen des revidierten Datenschutzgesetzes und der Datenschutzverordnung sind nun nur noch auf Daten natürlicher Personen anwendbar.

Besonders schützenswerte Daten

Für die rechtmäßige Bearbeitung besonders schützenswerter Personendaten sind seit jeher höhere Schutzstandards einzuhalten. Im revidierten Datenschutzgesetz wurden genetische und biometrische Daten ergänzt, welche ebenfalls der Definition nach „besonders schützenswerte Daten“ sind und einen entsprechend höheren Schutz genießen. Hier wurde sich eindeutig an der DSGVO orientiert.

Privacy by Design und Privacy by Default

Die Grundsätze Privacy by Design (Datenschutz durch Technikgestaltung) und Privacy by Default (Datenschutzfreundliche Voreinstellungen) werden mit der Revision jetzt ebenfalls eingeführt. Unternehmen sind gemäß diesen Prinzipien künftig verpflichtet, die Datenschutzbestimmungen bereits bei der Entwicklung von Soft- und Hardware zu berücksichtigen. Zudem müssen Voreinstellungen, etwa auf Websites oder in Apps, standardmäßig so datenschutzfreundlich wie möglich sein.

Informationspflicht

Die Informationspflicht der Datenbearbeiter wird mit der Revision ausgeweitet. Bei jeder (beabsichtigten) Beschaffung von Personendaten muss die betroffene Person informiert werden. Diese Information muss wiederum mindestens folgende Angaben enthalten: Identität und Kontaktdaten des Verantwortlichen, Zweck der Bearbeitung und allfällige Empfänger und Länder, an welche die Personendaten bekannt gegeben werden.

Datenschutzberaterin oder -berater

Wenn eine Beraterin oder ein Berater benannt worden sein, sollten die Unternehmen diesen beim EDÖB melden, da dann die Konsultation des EDÖB bei einem Verfahren mit hohem Risiko entfallen kann.

Profiling

Der Begriff Profiling fand nun auch seinen Weg in das Schweizer Datenschutzgesetz. Gemeint sind damit (Einzel-) Entscheidungen, die ausschließlich auf der automatisierten Bearbeitung von Personendaten beruhen. Bei solchen muss die betroffene Person informiert und ihr auf Antrag die Möglichkeit gegeben werden, ihren Standpunkt darzulegen. Weiter muss ihr gegebenenfalls die Option gewährt werden, die Entscheidung von einer natürlichen Person überprüfen zu lassen.

Datenbearbeitungsverzeichnis

Das revidierte Datenschutzrecht sieht zukünftig nur noch für Unternehmen eine Pflicht zur Führung eines Datenbearbeitungsverzeichnisses vor, die mehr als 250 Mitarbeitende beschäftigen und deren Datenverarbeitungen nur ein geringes Risiko für die Persönlichkeitsrechte der Betroffenen birgt. Die Bekanntgabe des Verzeichnisses an EDÖB ist nur noch für Bundesorgane Pflicht.

Datensicherheitsverletzung (Data Breach)

Wird eine Datensicherheitsverletzung festgestellt, die voraussichtlich zu einem hohen Risiko für die Rechte der betroffenen Person führt, muss diese „so rasch als möglich“ dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Weiter muss die betroffene Person informiert werden, sofern eine solche Meldung für ihren Schutz erforderlich ist oder der EDÖB es verlangt.

Datenschutz-Folgenabschätzung

Bei einer beabsichtigten Datenbearbeitung, die zu einem hohen Risiko für die Rechte der betroffenen Personen führen kann, müssen die Unternehmen neu zunächst eine Folgenabschätzung durchführen. Ergibt sich aus dieser, dass die beabsichtigte Bearbeitung – trotz vorgesehener Maßnahmen – ein hohes Risiko für die Rechte der betroffenen Personen zur Folge hat, muss vor der Datenbearbeitung die Stellungnahme des EDÖB eingeholt werden.

Strafen

Das revidierte Datenschutzgesetz führt eine persönliche Strafbarkeit ein. Während die DSGVO „Bussen“ gegen die Unternehmen vorsieht, kann nach revDSG der verantwortliche Mitarbeiter strafrechtlich zur Verantwortung gezogen werden. Die Verletzung von datenschutzrechtlichen Informations-, Auskunfts- und Mitwirkungspflichten kann mit „Bussen“ von bis zu CHF 250’000.- bestraft werden. Weiter geregelt sind die Konsequenzen bei Verletzung der Sorgfaltspflichten, der beruflichen Schweigepflicht, des Missachtens von Verfügungen (allesamt ebenso bestrafbar mit Bussen von bis zu CHF 250’000.-) und bei Widerhandlungen in Geschäftsbetrieben.

 

Fazit

Einiges ändert sich und nähert sich den Regelungen der DSGVO an. Nicht verwunderlich, da Schweizer Unternehmen viele Kunden aus Europa bedienen und somit stets im Spannungsfeld der DSGVO unterwegs sind. Es wird interessant, wie sich die Umsetzung in der Realität anfühlt.

Gerne unterstützen und begleiten wir Euch und Euer Unternehmen in Bezug auf die Neuerungen des revidierten Datenschutzgesetzes.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert