Neues Schweizer Datenschutzgesetz – Was nun?

Am 1. September 2023 tritt in der Schweiz das neue Datenschutzgesetz (DSG) und die neue Datenschutzverordnung (DSV) in Kraft.

In diesem Beitrag zeigen wir dir, was die Neuerungen sind und was ihr bis September deswegen unternehmen solltet.

Ausgangslage und Ziel der Totalrevision

Es gibt zwei Hauptpunkte, weshalb das aktuelle DSG komplett revidiert wurde:

• Das aktuelle DSG stammt aus dem Jahr 1992. Seither hat sich Technologie und Gesellschaft rasant entwickelt. Dies hat einen starken Einfluss auf die Nutzung von Daten. Das aktuelle Gesetz ist nicht mehr zeitgemäss.
• Der zweite Hauptgrund ist die Kompatibilität des DSG mit internationalem Recht. Konkret, die Kompatibilität mit der Datenschutz-Grundverordnung (DSGVO) der EU. Diese erlaubt den Datenaustausch mit Drittstaaten, welche ein angemessenes Schutzniveau bieten, ohne zusätzliche Anforderungen. Die Gesetzesrevision soll diese Kompatibilität gewährleisten, dabei aber auch Besonderheiten der Schweiz berücksichtigen.

Das Kernziel der Gesetzesrevision ist die Stärkung der Selbstbestimmung von Personen über ihre persönlichen Daten.

Zentrale Neuerungen

Das DSG schützt nur noch natürliche Personen. Die Daten von juristischen Personen sind nicht mehr davon betroffen.

Informationspflicht

Die Informationspflicht (Art 19. DSG) wird auf sämtliche personenbezogenen Daten ausgeweitet. Konkret heisst das: Eine Datenschutzerklärung (DSE) wird in jedem Fall Pflicht. Diese muss leicht verständlich und zugänglich sein. Es ist aber weiterhin nicht erforderlich, eine Zustimmung einzuholen.

Ausnahmen:

• Bearbeitung von besonders schützenswerten Personendaten
• Profiling mit hohem Risiko

Privacy by Design & Privacy by Default

Die Grundsätze Privacy by Design & Privacy by Default (Art. 7 DSG) müssen beachtet werden. Was dies konkret heisst möchten wir anhand der nachfolgenden Beispiele erläutern.

Privacy by Design: Es müssen sowohl technische als auch organisatorische Massnahmen ergriffen werden, um sicherzustellen, dass die Datenschutzvorschriften eingehalten werden. Beispiele dafür sind:

• technische Massnahmen: Verschlüsselung von Daten, die sichere Speicherung auf Servern oder die Anonymisierung von Daten.
• organisatorische Massnahmen: interne Richtlinien, Schulungen für Mitarbeiter, Definition von Zuständigkeiten.

Privacy by Default: Geeignete Voreinstellungen sollen sicherstellen, dass nur die notwendigen Personendaten gesammelt werden, ohne dass Personen aktiv etwas tun müssen.

Verzeichnis der Bearbeitungstätigkeiten

Alle Unternehmen müssen ein Verzeichnis der Bearbeitungstätigkeiten (Art. 12 DSG) führen. Das Verzeichnis muss Informationen wie die Identität des Verantwortlichen, den Bearbeitungszweck, betroffene Personenkategorien, Empfängerinnen und Empfänger, Aufbewahrungsdauer der Daten und getroffene Sicherheitsmassnahmen enthalten.

Ausnahme: Wenn die Firma weniger als 250 Mitarbeiter hat und die Datenbearbeitung nur ein ein geringes Risiko für die betroffenen Personen hat, kann auf ein Verzeichnis verzichtet werden.

Datenschutz-Folgenabschätzung

Wenn Personendaten, die ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen können bearbeitet werden, muss vorgängig eine Datenschutz-Folgenabschätzung (Art. 22 DSG) erstellt werden.

In diesem Dokument muss die Datenbearbeitung beschrieben werden. Weiter müssen Risiken identifiziert, bewertet und die Massnahmen zur Risikobehandlung beschrieben werden.

Ergibt diese Folgeabschätzung, dass trotz der vorgesehenen Massnahmen ein hohes Risiko für die betroffenen Personen besteht muss eine Stellungnahme des EDÖB eingeholt werden.

Meldepflicht

Wenn die Datensicherheit verletzt wurde (z.B. Datenleak) ist gilt neu eine Meldepflicht (Art. 24 DSG). Verletzungen müssen dem eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Eine Meldung ist notwendig, wenn die Verletzung zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt.

Schützenswerte Daten

Die Liste von besonders schützenswerte Daten (Art 5 DSG) wurde erweitert. Neu fallen auch genetische und biometrische Daten in diese Kategorie.

Strafbestimmungen

Mit der Revision des Gesetzes wurden auch die Strafbestimmungen (Art. 60 – 66 DSG) überarbeitet:

• Es sind Bussen bis 250’000.- möglich
• Es gilt eine persönliche Strafbarkeit. Das heisst, die Strafen werden gegen private Personen und nicht gegen das Unternehmen ausgesprochen (bei vorsätzlichem Verhalten).
• Die kantonalen Strafverfolgungsbehörden sind für die Durchsetzung zuständig
• Bei Bussen bis 50’000.- können anstelle der strafbaren Person Unternehmen gebüsst werden, wenn der Aufwand, die Person zu ermitteln, unverhältnismässig gross ist.

Konform mit dem neuen Datenschutzgesetz?

Welche konkreten Schritte sollst du nun einleiten, damit du bereit für das neue Datenschutzgesetz bist?

Wir haben die wichtigsten Schritte für KMUs im nachfolgenden Diagramm dargestellt.

1. Für die Erhebung der IST-Situation sind folgende Fragen zentral:
   • Welche Daten werden aktuell gesammelt?
   • Zu welchem Zweck werden die Daten gesammelt?
2. Ein Inventar der Bearbeitungstätigkeiten ist für KMUs (bis 250 Personen) nicht Pflicht, aber trotzdem sehr empfehlenswert.
3. Aktualisiere deine Datenschutzerklärung. Ein Beispiel kann hier heruntergeladen werden. Es wurde von der Kanzlei VISCHER erstellt und kann an deine jeweiligen Bedürfnisse angepasst werden. Wichtig ist, dass die DSE auf deiner Website einfach auffindbar ist. Am besten verlinkst du diese auf jeder Seite im Footer.
   Beachte dass im Minimum folgende Informationen enthalten sein müssen:
   • Identität und Kontaktdaten des Verantwortlichen
   • Bearbeitungszweck (z.B. Bearbeiten von Kundenverträgen, Funktion der Website, Marketing, etc.)
   • Kategorien von Empfängerinnen und Empfängern der Daten (z.B. Mitarbeiter, Lieferanten etc., )
   • Kategorien von bearbeiteten Personendaten (z.B. Kontaktdaten, Interessen, Gesundheitsdaten, etc.)
   • Wenn die Daten ins Ausland bekannt gegeben werden, muss dies transparent gemacht werden.
4. Überprüfe und passe gegebenenfalls die Auftragsdatenverarbeitungsverträge mit Dienstleistern an (z.B. Google Analytics). Die meisten Dienstleister bieten dazu Standardverträge an.
5. Definiere die internen Prozesse um für die neuen Anforderungen bereit zu sein. Hier die Wichtigsten:
   • Vorgehen zur Meldung von Datensicherheitsverletzungen
   • Vorgehen zur Beantwortung von Anfragen betroffener Personen (Auskunftsrecht)
6. Schule und sensibilisiere dein Personal zum Thema Datenschutz:
   • Was ist bei der Bearbeitung von Personendaten zu beachten?
   • Wie funktionieren die Prozesse?
   • Wem muss ich wann was melden?
   • Was ist bei neuen Projekten zu beachten?

Wenn du alle diese Punkte gewissenhaft durchgearbeitet hast, besitzt du eine gute Basis. Das Thema darf jedoch nicht vergessen werden, sondern muss laufend überprüft und aktuell gehalten werden.

Fazit

Die Einführung des neuen Datenschutzgesetzes und der Datenschutzverordnung ab dem 1. September 2023 bringt wichtige Veränderungen mit sich, um den Datenschutz an die aktuellen Anforderungen anzupassen.

Für die betroffenen Personen bringt es vorallem mehr Transparenz und Rechte für den Schutz der Persönlichkeit.

Für Firmen heisst das neue Gesetz mehr Dokumentationspflicht, persönliche Strafbarkeit, aber auch die Chance, die eigenen Prozesse zu verbessern und die Datensicherheit zu stärken.

Viele Aspekte, welche neu Pflicht sind, helfen der Firma, einen besseren Überblick über die Daten und deren Verwendung zu erlangen. Daraus lassen sich Optimierungen ableiten. Evtl. werden gewisse Daten gar nicht benötigt, werden mehrfach erhoben oder es fehlt nur ein kleines Puzzle-Stück für einen neuen Use Case.

Melde dich ganz unverbindlich bei uns, wenn du gerne detailliertere Informationen zum Thema haben möchtest.

Quellen und weiterführende Informationen:

• Neues Datenschutzrecht ab 1. September 2023 (Medienmitteilung des Bundes, 31.08.2022)
• Datenschutz: Was man wissen muss (KMU-Portal, 01.03.2023)
• Neues Datenschutzgesetz (revDSG) (KMU-Portal, 22.05.2023)
• FAQ Datenschutzrecht (EJPD BJ, 01.02.2023)

Zum Schluss noch ein kleiner Disclaimer:
Die Informationen beziehen sich auf die Anwendung des DSG im KMU-Bereich. Für grosse Firmen empfehlen wir die Zusammenarbeit mit einem Rechtsdienst.
Gesetze sind interpretierbar und können unterschiedlich ausgelegt werden. Es wird sich zeigen müssen, wie sich dies in der Praxis im Detail manifestiert. Wir sind keine Rechtsexperten, helfen dir aber gerne bei technischen Fragestellungen.