
Das neue DSG der Schweiz kommt später als geplant
Das Bundesamt für Justiz (BJ) informierte am 3. März 2022, dass das revDSG per 1. September 2023 Inkrafttreten soll. Ursprünglich geplant war die zweite Jahreshälfte 2022. In einer kurzen Informationsbox heisst es «Es ist vorgesehen, das neue Datenschutzrecht auf den 1. September 2023 in Kraft zu setzen. Der dafür notwendige Entscheid des Bundesrates muss noch erfolgen.» Wichtig: Es gibt keine Übergangsfrist! Die notwendigen Anpassungen müssen Unternehmen vor diesem Datum vorgenommen haben.
Was bisher geschah
Das aktuelle Datenschutzgesetz der Schweiz stammt aus dem Jahr 1992, gerade mal drei Jahre nach der Geburtsstunde des Internets im CERN. Seither hat sich einiges in der Welt der Datenerfassung und -Bearbeitung getan: Fünf Jahre nach dem Inkrafttreten des Datenschutzgesetzes (DSG) öffnete Google seine Pforten für Suchanfragen aus aller Welt, 2004 startete Facebook eines der grössten sozialen Netzwerke und übernimmt 2014 den Kurznachrichtendienst WhatsApp.
Zusätzlicher Druck für eine Erneuerung des DSGs kam durch die europäische Datenschutzgrundverordnung (DSGVO) zustande. Passt sich das Datenschutzniveau nicht an die europäischen Richtlinien an, hätte die Schweiz als Drittstaat klassifiziert werden können. Dies hätte den Datenaustausch zwischen der EU und der Schweiz und die Datenverarbeitung von europäischen Bürgern massiv erschwert. Höchste Zeit also, um das Gesetz den neuen technologischen, gesellschaftlichen und politischen Gegebenheiten anzupassen. Der Bundesrat eröffnete am 23. Juni 2021 die Vernehmlassung.
Die wichtigsten Änderungen
Die vollständigen und aktuellsten Informationen finden Sie auf der Admin Seite des Bundes. Wir haben aber für Sie die wichtigsten Änderungen aufgearbeitet und erläutern die Implikationen der Neuerungen.
Erweiterte Informations-/Auskunftspflicht
Die Informationspflichten werden deutlich ausgebaut. Neu müssen die betroffenen Personen über jede Beschaffung von Personendaten (d.h. alle Angaben, welche sich auf eine bestimmte oder bestimmbare Person beziehen) informiert werden. Das alte Gesetz sah nur eine Informationspflicht vor, wenn besonders schützenswerte Personendaten erfasst wurden. Ebenfalls wurde der Umfang der Informationspflicht ausgebaut. Mit dem neuen Gesetz müssen mindestens Angaben zur Identität und Kontaktdaten des Verantwortlichen, Bearbeitungszweck und die Empfängerkreise gemacht werden. Fliessen Daten ins Ausland, müssen weitere Informationsplichten und Bestimmungen eingehalten werden.
Auch die Auskunftspflicht wird ausgebaut. Neben den Daten und deren Verwendungszweck müssen weitere Angaben wie die Herkunft, Aufbewahrungsdauer, die Kontaktdaten der verantwortlichen Person und weitere Informationen mitgeteilt werden. Falls automatisierte Entscheide aufgrund der Daten gefällt werden, hat neu jede Person das Recht auf eine Evaluierung der Entscheidung durch einen Menschen.
Meldepflicht bei Verletzungen des Datenschutzes
Wird der Datenschutz verletzt (d.h. gehen Daten verloren oder werden sie unbefugt bearbeitet) und bestehen Risiken für die Persönlichkeit oder die Grundrechte einer natürlichen Person, muss der Verantwortliche dem EDÖB so rasch als möglich Meldung erstatten. Zudem müssen in der Regel auch die betroffenen Personen informiert werden.
Besonders schützenswerte Daten
Der Begriff wurde gegenüber dem alten Gesetz erweitert: Unter diese Kategorie fallen neu auch Daten wie ethnische Herkunft, religiöse und politische Gesinnung, genetische Daten und biometrische Daten, sofern sie eine natürliche Person eindeutig identifizieren. Werden solche Daten erfasst und bearbeitet, muss eine ausdrückliche Einwilligung eingeholt werden.
Privacy by Design und Privacy by Default
Die Datenbearbeitung muss so gestaltet werden, dass die Vorschriften und die Bearbeitungsgrundsätze eingehalten werden (Privacy by Design). Weiter müssen die Voreinstellungen so konfiguriert sein, dass die erfassten Personendaten nur auf das Minimum für den Verwendungszweck beschränkt sind (Privacy by Default). Es dürfen also nur so viele Daten gesammelt werden, wie für den Bearbeitungszweck notwendig sind.
Sanktionen
Im Gegensatz zur DSGVO stehen im Schweizer DSG nicht juristische, sondern natürliche Personen im Fokus der Strafbarkeit. Verantwortliche Personen in diesem Zusammenhang können CEOs, CIOs, CISOs oder andere Funktionen sein. Bei vorsätzlicher Verletzung der Informations-, Auskunfts- und Sorgfaltspflichten können neu Bussgelder bis zu 250’000 CHF gesprochen werden. Ausreichend ist der Eventualvorsatz. Dies führt dazu, dass die Strafbarkeit bereits gegeben ist, wenn die eingetretene Verletzung bewusst in Kauf genommen wurde.
Was bedeutet das für mein Unternehmen?
Überprüfen Sie Ihre Datenschutzrichtlinien, damit Sie rechtzeitig die möglichen Unstimmigkeiten unter dem neuen Gesetz beseitigen können. Sollten Sie noch keine haben, lohnt es sich, diese unter den neuen Bestimmungen zu erstellen. Nötige Anpassungen könnten etwa die Angaben zur verantwortlichen Person, Bestimmungen für den Datenaustausch mit dem Ausland oder die Erweiterung der besonders schützenswerten Daten sein.
Besonders bei Datenaustausch mit ausländischen Entitäten sollten Sie ihre aktuellen Verträge überprüfen und ihre Vertrags-Templates anpassen, um den neuen Bestimmungen gerecht zu werden.
Für die neue Meldepflicht bei Datenschutzverletzungen muss ein neuer Prozess eingeführt werden. Falls Sie noch keinen Prozess zu Datenauskunfts- und Löschbegehren haben, nutzen Sie diese Gelegenheit auch diese Prozesse in Ihrem Unternehmen einzuführen.
Falls Sie sowohl DSGVO als auch DSG Compliant sein müssen, lesen Sie sich die Differenzen genau durch, damit Sie Klarheit über die Rechtslage haben.
Haben Sie Fragen zum neuen Datenschutzgesetz oder den technischen Implikationen? Wir beraten Sie gerne! Nehmen Sie mit uns Kontakt auf.