Zur Navigation zu den Quicklinks Zur Suche Zum Inhalt

Per 1. September 2023: Das revidierte Datenschutzgesetz in der Schweiz

YLEX
·
Tags:

Das revidierte Datenschutzgesetz in der Schweiz

Am 1. September 2023 tritt in der Schweiz das neue Datenschutzgesetz in Kraft. Hauptziel der Totalrevision ist es, das aktuelle Datenschutzgesetz (DSG) auf das Niveau der EU anzuheben. Das neue Datenschutzgesetz (nDSG) bringt in der Folge auch zahlreiche Anpassungen an die EU-Datenschutzgrundverordnung (DSGVO); dennoch behält es eine eigene Grundkonzeption und weicht in verschiedenen anderen Punkten von der DSGVO ab. Im Rahmen der Revision wurden insbesondere deutlich schärfere Sanktionen eingeführt, erweiterte Informationspflichten geschaffen und die Pflicht zur Erstellung eines Verarbeitungsverzeichnisses vorgesehen.

Wer ist YLEX?

Die YLEX AG ist eine Rechtsberaterin und SmartIT-Kundin. Aufgrund der Partnerschaft zwischen YLEX und SmartIT, erhalten Kundinnen und Kunden der SmartIT exklusiven Zugang zum Datenschutz-Check der YLEX AG.

Mehr über YLEX

Änderungen und Anpassungen im nDSG

Die Liste mit den Änderungen und Anpassungen im nDSG ist lang und komplex. Im Beitrag zum neuen Datenschutzgesetz in der Schweiz, können alle Änderungen und Anpassungen nachgelesen werden.

Ausweitung der Informationspflichten

Im neuen Datenschutzgesetz wurden die Informationspflichten erweitert. Folgende Mindestangaben müssen den betroffenen Personen bei der Beschaffung von Personendaten mitgeteilt werden:

  • Zweck der Bearbeitung
  • Identität und Kontaktangaben des Verantwortlichen
  • allfällige Empfänger oder Kategorien von Empfängern, denen die Personendaten bekannt gegeben werden
  • bei Bekanntgabe ins Ausland: der Staat oder das internationale Organ und gegebenenfalls die Garantien für den Schutz der Personendaten.

Somit müssen neu alle Unternehmen eine Datenschutzerklärung erstellen, welche die oben genannten vier Mindestangaben enthalten muss.

Verzeichnis der Bearbeitungsvorgänge

Das DSG sieht vor, dass Verantwortliche und Auftragsbearbeiter jeweils ein Verzeichnis ihrer Datenbearbeitungstätigkeiten führen müssen. Die Angaben müssen aktuell und richtig sein. Eine ähnliche Pflicht kennt bereits die DSGVO. Das neue Datenschutzgesetz sieht Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung ein geringes Risiko einer Persönlichkeitsverletzung mit sich bringen.

Verschärfte Sanktionen und erweiterte Kompetenzen des EDÖB

Im Gegensatz zum geltenden Gesetz sieht das neue Gesetz klarere Sanktionen vor. So werden neu vorsätzliches Handeln und Unterlassen, nicht aber Fahrlässigkeit bestraft. Die Strafbestimmungen wurden gegenüber dem geltenden Recht verschärft. Wer Auskunfts-, Informations- oder Mitwirkungspflichten verletzt, kann auf Antrag mit einer Busse bis zu 250’000 Franken bestraft werden. Für Unternehmen ist es daher umso wichtiger, dass Auskunftsbegehren korrekt beantwortet werden. Nicht zuletzt auch daher, weil der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ein verwaltungsrechtliches Untersuchungsverfahren eröffnen und Verfügungen erlassen kann.

Privacy by Design und Privacy by Default

Das bereits aus der DSGVO bekannte Prinzip «Privacy by Design» wird neu auch im schweizerischen Datenschutzgesetz verankert. Dieses Prinzip besagt, dass bereits bei der Planung von Projekten die Datenbearbeitung technisch und organisatorisch so zu gestalten ist, dass die Datenschutzvorschriften eingehalten werden. Zudem sind die Verantwortlichen verpflichtet, durch geeignete Voreinstellungen sicherzustellen, dass durch Voreinstellung nur die für den jeweiligen Zweck erforderlichen Personendaten bearbeitet werden können und sich die Bearbeitung auf das notwendige Minimum beschränkt (sog. «Privacy by Default»).

Meldung von Datenschutzverletzungen

Tritt eine Verletzung der Datensicherheit ein, die voraussichtlich ein hohes Risiko für die Persönlichkeits oder Grundrechte der betroffenen Person zur Folge haben, müssen die Datenverantwortlichen den EDÖB «so rasch wie möglich» informieren. Eine solche Verletzung liegt vor, wenn sie dazu führt, dass Personendaten unbeabsichtigt oder unrechtmässig verloren gehen, gelöscht, vernichtet, verändert oder unbefugten Personen bekannt gegeben oder zugänglich gemacht werden.

Folgenabschätzung

Datenbearbeiterinnen und Datenbearbeiter sowie Verantwortliche müssen vorgängig eine Datenschutzfolgenabschätzung durchführen, wenn eine geplante Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen. Der Gesetzgeber hat bislang noch nicht definiert, was unter einem «hohen Risiko» zu verstehen ist. Es ist davon auszugehen, dass der EDÖB dies in einer Verordnung konkretisieren wird.

Auftragsverarbeiter

Durch Vertrag oder Gesetz kann ein Auftragsbearbeitungsverhältnis (Outsourcing, bspw. in die Cloud) begründet werden. Dabei muss die Auftragsbearbeiterin oder der Auftragsbearbeiter die Daten so bearbeiten, wie es die oder der Verantwortliche selbst tun dürfte. Ebenso muss sich der Verantwortliche vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Insofern ändert sich an der bisherigen Rechtslage nichts. Neu ist jedoch, dass das Hinzuziehen eines Dritten durch die Auftragsverarbeiterin bzw. den Auftragsverarbeiter nur mit vorheriger Zustimmung der oder des Verantwortlichen zulässig ist, was wiederum der Regelung der Datenschutz-Grundverordnung entspricht. 
Wichtig ist insofern, dass Kunden von IT-Dienstleistungspartnern einen Auftragsdatenbearbeitungsvertrag mit ihrem Partner abschliessen und diesbezüglich aktiv auf diesen zugehen. Die SmartIT bietet ihren Kunden eine Vorlage für einen solchen Vertrag an, welche bei Bedarf und auf Anfrage verwendet werden kann.

YLEX bietet mit Ihren Rechtspaketen zum Datenschutz Unterstützung bei allen Fragen rund um das neue Datenschutzgesetz in der Schweiz

Ist mein Unternehmen datenschutzkonform mit dem neuen Gesetz?

Die datenschutzrechtlichen Anforderungen an ein Unternehmen hängen von verschiedenen Faktoren ab. Für Unternehmen, die mehr als 250 Personen beschäftigen und/oder besonders schützenswerte Personendaten verarbeiten, gelten strengere Anforderungen. Auch kleinere Unternehmen müssen gewisse Anforderungen erfüllen, beispielsweise eine Datenschutzerklärung verfassen, wenn sie eine Website betreiben. Mit unserem kostenlosen Datenschutz-Check kannst du überprüfen, ob dein Unternehmen den Anforderungen des neuen Datenschutzgesetzes in der Schweiz entspricht.
Hierzu steht online unser Datenschutz-Check kostenlos zur Verfügung.

Erfahre auf der Website von YLEX mehr über die Rechtspakete zum Thema Datenschutz.

SmartIT_YLEX_Rechtspakete Datenschutz