05.07.2023

Schweizer Datenschutz im Wandel: Was Unternehmen über das neue Datenschutzgesetz wissen müssen

Ab September 2023 tritt eine neues Datenschutzgesetz in Kraft. Was das für Unternehmen bedeutet und welche Änderungen Sie vornehmen müssen, um konform zu bleiben, erfährst du in diesem Artikel von Brain & Heart Communication.

Datenschutz ist schon immer ein wichtiges Thema in der Schweiz gewesen und wird jetzt noch bedeutsamer.

Ab dem 1. September 2023 tritt das neue Datenschutzgesetz (revDSG) in Kraft, welches das bestehende Datenschutzgesetz (DSG) ersetzen wird. Es beinhaltet eine Reihe neuer Bestimmungen, die darauf abzielen, den Schutz personenbezogener Daten zu stärken. Unternehmen müssen sicherstellen, dass sie die neuen Bestimmungen zum Schutz personenbezogener Daten einhalten, um hohe Geldstrafen und rechtliche Konsequenzen zu vermeiden.

Die wichtigsten Neuerungen des revDSG

Mit dem neuen Datenschutzgesetz (revDSG) erhält die Schweiz ein modernisiertes Regelwerk für den Umgang mit personenbezogenen Daten. Das Ziel des Gesetzes ist es, den Datenschutz für die Bevölkerung zu stärken und die Schweiz an die europäischen Datenschutzstandards anzupassen.

Hier sind die wichtigsten Neuerungen des neuen Schweizer Datenschutzgesetzes:

1. Erweiterter Geltungsbereich

Das revidierte DSG gilt wie die DSGVO nur für den Datenschutz natürlicher Personen – anders als bisher auch für Daten von juristischen Personen. Zudem sind nun genetische und biometrische Daten als besonders schützenswerte Daten anerkannt.

2. Verbesserte Transparenz

Unternehmen haben der Einführung des revidierten Datenschutzgesetzes weitergehende Informationspflichten als bisher. So müssen sie betroffene Personen über jede Datenbeschaffung informieren, einschliesslich der Identität und Kontaktdaten des oder der Verantwortlichen für die Datenbearbeitung, dem Bearbeitungszweck, den Empfängern oder Empfängerkategorien und dem Empfängerland bei Datenexporten ins Ausland. Auch müssen Unternehmen sicherstellen, dass sie den Betroffenen in klarer und verständlicher Sprache informieren.

3. Verzeichnis der Bearbeitungstätigkeiten

Unternehmen sind nun verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen, in dem die Art, der Umfang und der Zweck der Datenbearbeitung sowie die Kategorien der betroffenen Personen und Empfänger aufgeführt sind. Unternehmen müssen auch dokumentieren, wie sie den Datenschutz und die Rechte der Betroffenen gewährleisten.

4. Datenschutz-Folgenabschätzung

Unternehmen müssen eine Datenschutz-Folgenabschätzung durchführen, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen darstellt. Die Datenschutz-Folgenabschätzung soll dazu beitragen, Risiken für die Privatsphäre und die Rechte der Betroffenen zu minimieren.

5. Profiling

Das nDSG regelt auch das Profiling, also die automatisierte Datenbearbeitung, um bestimmte persönliche Aspekte einer Person zu bewerten. Unternehmen müssen sicherstellen, dass das Profiling transparent und fair ist und die Betroffenen die Kontrolle über ihre personenbezogenen Daten behalten.

6. Schnelle Meldung an den EDÖB

Unternehmen müssen Verletzungen der Datensicherheit, wie unbeabsichtigtes oder widerrechtliches Verlieren, Löschen, Vernichten, Verändern oder Unbefugten zugänglich machen von Personendaten, dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) innerhalb von 72 Stunden melden. Wenn die Verletzung voraussichtlich zu einem hohen Risiko für die Betroffenen führt, müssen sie auch die betroffene Person informieren.

7. Privacy-by-Design und Privacy-by-Default

Unternehmen müssen die Datenschutzgrundsätze bereits bei der Planung und Entwicklung von Anwendungen berücksichtigen, um sicherzustellen, dass personenbezogene Daten geschützt und die Betroffenenrechte gewahrt werden. Sie müssen auch datenschutzfreundliche Voreinstellungen implementieren, um sicherzustellen, dass nur die unbedingt notwendigen personenbezogenen Daten erhoben und bearbeitet werden.

Wie Unternehmen das neue Gesetz umsetzen müssen

Unternehmen müssen das revDSG umsetzen, indem sie ihre Datenschutzprozesse anpassen und sicherstellen, dass sie die neuen Anforderungen erfüllen.

Aus Sicht der Agentur können wir an unsere Kunden folgende Empfehlungen je nach Szenario abgeben:

CH Unternehmen mit ausschliesslich CH-Kunden

Minimum: Auflagen des CH-Datenschutzgesetzes erfüllen: DSG

Dazu gehört ein Banner mit Hinweis + Datenschutzbestimmungen
Lesen FAQ

Empfohlen: Auflagen des EU-Datenschutzgesetztes erfüllen: DSVGO

Das ist deutlich strenger, aber schafft Vertrauen und rüstet das Unternehmen auch für die Zukunft

EU Unternehmen oder CH Unternehmen mit EU oder internationalen Kunden

Minimum: Auflagen des EU-Datenschutzgesetztes erfüllen: DSVGO

Dazu gehört ein sauberes Cookie Banner und weitere Auflagen

Empfohlen:

Wir empfehlen den Einsatz eines Datenschutz-Tools: https://data-security.ch/produkte.html
Wir empfehlen, das Setup extern überprüfen zu lassen: https://www.jurata.ch/de/anwaelte/datenschutzrecht/zurich-zh

WICHTIG: Das neue Datenschutzgesetzt in der Schweiz kennt keine Cookie-Banner. Es braucht auch keine Einwilligung. Nötig ist es, die betroffenen Personen zu informieren. Dies entspricht der «allgemeine Informationspflicht».

Risiken und Konsequenzen bei Verstössen gegen das neue Datenschutzgesetz

Verstösse gegen das neue Datenschutzgesetz können zu verschiedenen Risiken und Konsequenzen führen. Zum einen drohen hohe Bussgelder von bis zu CHF 250’000, zum anderen können betroffene Personen Schadensersatzansprüche geltend machen und es droht ein erheblicher Reputationsschaden für das Unternehmen. Des Weiteren können Aufsichtsbehörden Anordnungen zur Behebung von Verstössen erlassen oder gar ein Verbot der Datenverarbeitung aussprechen. In besonders schwerwiegenden Fällen sogar strafrechtliche Konsequenzen. Daher ist es für Unternehmen wichtig, die Anforderungen des revDSG umfassend zu erfüllen und angemessene technische und organisatorische Massnahmen zu ergreifen, um den Datenschutz zu gewährleisten.

Insgesamt ist das neue Datenschutzgesetz eine wichtige Entwicklung für den Schutz personenbezogener Daten in der Schweiz. Durch eine sorgfältige Umsetzung des neuen Gesetzes können Unternehmen nicht nur Bussgelder und andere rechtliche Konsequenzen vermeiden, sondern auch das Vertrauen und die Loyalität ihrer Kunden stärken. Es ist wichtig, dass Unternehmen das neue Datenschutzgesetz nicht als Last betrachten, sondern als Chance, die persönlichen Daten ihrer Kunden besser zu schützen und gleichzeitig ein verantwortungsvolles und vertrauenswürdiges Image zu pflegen.

Bilquelle: Brain & Heart Communication