12.04.2023

Revidiertes Datenschutzgesetz in der Schweiz: mehr Schutz und Sicherheit im digitalen Zeitalter

Am 1. September 2023 tritt das revidierte Datenschutzgesetz (revDSG) in Kraft. Mit dieser Gesetzesrevision hat die Schweiz ihre Datenschutzbestimmungen an die EU-Datenschutzgrundverordnung (DSGVO) angepasst. In diesem Blogpost stellen wir die wichtigsten Änderungen und Neuerungen des revidierten DSG vor und zeigen auf, welche Auswirkungen diese auf die Digitalwirtschaft haben.

Worum geht es?

Die revidierte Datenschutzverordnung stärkt die Privatsphäre der Bürgerinnen und Bürger und passt die Gesetzgebung an die neuesten technologischen Entwicklungen an. Das ist auch dringend nötig, denn das Schweizer Bundesgesetz über den Datenschutz stammt aus dem Jahr 1992, als der elektronische Datenaustausch noch in den Kinderschuhen steckte. Und mit dem Inkrafttreten der DSGVO im Jahr 2018 geriet die Schweiz zunehmend auch politisch unter Druck. Denn das hier geltende Datenschutzrecht ist mit der DSGVO nicht mehr ausreichend kompatibel. Es hätte der Verlust der Anerkennung des Schweizer Datenschutzniveaus durch die Europäische Kommission gedroht. Die Anerkennung ist aber Voraussetzung für die vereinfachte Übermittlung von Personendaten aus der EU in die Schweiz zur dortigen Bearbeitung.

 

Was sind die wichtigsten Neuerungen der revDSG?

Die wichtigsten Neuerungen des revidierten Datenschutzgesetzes lassen sich vereinfacht in den folgenden Punkten zusammenfassen:

  1. Schützenswerte Daten: Das revDSG schliesst neu juristische Personen (Gesellschaften, Vereine, etc.) aus. Analog dem DSGVO bezweckt das Gesetz nur noch den Schutz von Personendaten natürlicher Personen. Genetische und biometrische Daten werden neu als besonders schützenswerte Personendaten definiert.
  2. «Privacy by Design» und «Privacy by Default»: Diese beiden Grundsätze müssen bereits bei der Umsetzung berücksichtigt werden. Sowohl als technische, als auch als organisatorische Schutzmassnahme.
  3. Erweiterung der Betroffenenrechte und Informationspflichten: Das revidierte DSG stärkt die Rechte der betroffenen Personen. Dazu zählen das Auskunftsrecht, das Recht auf Datenübertragbarkeit, das Recht auf Berichtigung und das Recht auf Löschung.
    Zudem müssen die Identität und Kontaktdaten des Verantwortlichen, der Zweck der Bearbeitung und gegebenenfalls die Empfänger der Personendaten angegeben werden. Diese Pflichten und Rechte gelten auch, wenn die Daten nicht direkt behoben wurden.
  4. Datenschutz-Folgenabschätzung: Die Datenschutz-Folgenabschätzung ist eine neue Pflicht für Unternehmen und Organisationen, die eine Tätigkeit mit potenziell hohem Risiko für die Privatsphäre und den Schutz von Personendaten ausüben.
  5. Verzeichnis der Bearbeitungstätigkeiten: Ein solches Register müssen nur Unternehmen führen, die mehr als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung ein erhöhtes Risiko für Persönlichkeitsverletzungen der betroffenen Personen birgt. Eine Meldepflicht für private Datenbearbeiter und ihren Tätigkeiten ist nicht vorgesehen.
  6. Meldung von Datenschutzverletzungen: Eine weitere wichtige Neuerung des revidierten DSG ist die Meldepflicht von Datenschutzverletzungen an die Betroffenen und an die Datenschutzbehörde. Meldepflichtig sind Verletzungen, die für die Betroffenen ein hohes Risiko einer Beeinträchtigung ihrer Persönlichkeit oder ihrer Grundrechte mit sich bringen.
  7. Datenschutzberater:innen: Im Gegensatz zur europäischen Datenschutz-Grundverordnung ist die Bestellung von Berater:innen für Private weiterhin freiwillig. Jedoch gilt: Unternehmen und Organisationen, die ihren Sitz ausserhalb der Schweiz haben, aber Personendaten von Personen in der Schweiz bearbeiten, müssen eine Vertretung in der Schweiz bezeichnen. Damit soll sichergestellt werden, dass auch ausländische Unternehmen die Anforderungen des schweizerischen Datenschutzgesetzes erfüllen.
  8. Sanktionen und Strafen: Mit dem revidierten DSG wurden auch die Sanktionen und Strafen verschärft. Die maximale Busse beträgt CHF 250'000. Wichtig dabei ist, dass die verantwortliche natürliche Person gebüsst wird. Strafbar sind vorsätzliches Handeln und Unterlassen, nicht aber Fahrlässigkeit.

 

Handlungspunkte für Unternehmen

Aus den Neuerungen lassen sich eine Reihe von Handlungspunkten ableiten, welche zeitnah angegangen werde sollten. Wer im Jahr 2018 bereits die DSGVO korrekt umgesetzt hat, kann dem 1. September 2023 etwas entspannter entgegensehen. Für alle anderen Betroffenen gibt es einiges zu tun um den Anforderungen des revDSG gerecht zu werden. Die nachfolgende Roadmap soll dabei helfen.

  1. Beginnen Sie mit der Bestandsaufnahme: Wo werden Personendaten verarbeitet? Von wem werden sie verarbeitet? Die Erstellung eines Verzeichnisses mit den Datenbearbeitungen hilft Ihnen dabei, unabhängig davon ob Sie rechtlich dazu verpflichtet sind oder nicht. Anhand dieses Verzeichnisses können Sie die Anforderungen an die Datenschutz-Compliance pro Vorgang prüfen und die Datenschutz-Folgenabschätzung durchführen: Welche Daten sind besonders schutzwürdig?, besteht ein Profiling mit hohem Risiko?, werden die Datenschutzgrundsätze eingehalten?, werden Daten in Drittländer übermittelt? und vieles mehr.
    Ziel dieser Bestandsaufnahme ist es, den datenschutzrechtlichen Handlungsbedarf zu identifizieren und das weitere Vorgehen zu steuern.
  2. Basierend auf Ihrer Bestandesaufnahme gilt es nun die nötigen Umsetzungen in die Wege zu leiten. Diese sind unter anderem: Umsetzung angemessener technischer und organisatorischer Massnahmen, Etablierung eines Prozesses bei Datenschutzverletzungen, Implementierung der Prinzipien «Privacy by Design» und «Privacy by Default», Umsetzung der Löschregeln und vieles mehr.
  3. Schaffen Sie in Ihrem Unternehmen Bewusstsein und Sensibilität für die Datenverarbeitung.
  4. Erstellen Sie eine Datenschutzerklärung oder bringen Sie die bestehende auf den nötigen Stand. Nur so werden Sie den neuen Transparenz- und Informationspflichten gerecht. Um dabei alle Aspekte zu berücksichtigen hilft Ihnen wiederum das Verzeichnis der Bearbeitungstätigkeiten.
  5. Sorgen Sie dafür, dass die Sicherheit Ihrer IT-Systeme und Software-Anwendungen den Anforderungen des neuen Gesetzes entspricht. Dazu zählt im übrigen auch Ihr Web-Auftritt.
  6. Nutzen Sie die verbleibende Zeit bis September um Ihre Verträge auf Datenschutz-Aspekte hin zu überprüfen und anzupassen. Vergessen Sie dabei nicht, auch Verträge mit Ihren Kund:innen, Lieferant:innen und Arbeitnehmenden in die Betrachtung mit einzubeziehen.

 

Fazit

Das revidierte Datenschutzgesetz in der Schweiz bringt bedeutende Änderungen mit sich, um den Schutz von Personendaten der Bürgerinnen und Bürger zu verbessern und die Transparenz und Verantwortlichkeit von Unternehmen und Organisationen zu erhöhen. Die Anpassung an die EU-Datenschutz-Grundverordnung ist auch ein wichtiger Schritt, um den Datenfluss zwischen der Schweiz und der EU sicherzustellen.

Es liegt nun an den Unternehmen und Organisationen, sich an die neuen Bestimmungen anzupassen und sicherzustellen, dass sie die Anforderungen des revidierten Datenschutzgesetzes erfüllen.

In diesem Blogbeitrag haben wir die wesentlichen Punkte des revDSG grob beleuchtet und dabei den Fokus auf die Digitalwirtschaft gelegt. Der Beitrag soll als Orientierungshilfe für die anstehenden Aufgaben dienen und erhebt keinen Anspruch auf Vollständigkeit.

Ausblick

Die konkrete Umsetzung des revidierten DSG im Alltag birgt einige Hürden. Und die vergangenen Wirren rund um die Auslegung der DSGVO werden auch in der Schweiz mit Argusaugen beobachtet. Damit Sie sich in diesem Dschungel zurechtfinden, haben wir für die nächsten Wochen eine Serie zu diesem Thema geplant:

  1. Bereits im nächsten Blogbeitrag werden wir uns mit dem Thema Google Analytics auseinandersetzen: Simon Schlauri, IT-Anwalt bei Ronzani Schlauri Rechtsanwälte, wird dazu seine Expertise einbringen und Handlungsempfehlungen geben.
  2. Im übernächsten Beitrag werden wir uns mit alternativen Lösungen zu Google Analytics & Co. beschäftigen.
  3. Abgerundet wird die Reihe durch kurze Beiträge mit technischem Schwerpunkt: Wie binde ich Google-Fonts datenschutzkonform ein? Was bedeutet die DSGVO für die Einbindung von Youtube-Videos? Und weitere Tipps von uns.

Bleiben Sie auf dem Laufenden und abonnieren Sie unseren Newsletter oder kontaktieren Sie uns für eine Beratung.

(Bild: Rob King)

Über den Autor Dominic Brander:

Seit über 25 Jahren im Digitalgeschäft tätig. Nie stehen geblieben und immer gedanklich unterwegs. Als ehemaliger Geograph gerne grenzüberschreitend und über den Tellerrand guckend. Interessiert an Themen rund um die Digitalwirtschaft, Bierbrauen, (physische) Reisen und offene Lösungen.