Blog

Das Datenschutzgesetz 2023 im Überblick

4 Min. Lesezeit

Der Bundesrat hat per 1. September 2023 eine revidierte Fassung des Datenschutzgesetzes angekündigt, um den steigenden Anforderungen an Daten- und Informationssicherheit Rechnung zu tragen. Wir geben einen Überblick über alles Wissenswerte.

Das neue Datenschutzgesetz (neues DSG) wird jenes von 1992 ersetzen. Die erste Fassung des DSG trat zu einer Zeit in Kraft, als das Internet noch nicht kommerziell genutzt wurde und die digitale Realität von heute nicht vorhersehbar war. Das neue DSG wird per 1. September 2023 eingeführt und Änderungen beinhalten, deren Ziel es ist, die Personendaten von Schweizer Bürgerinnen und Bürgern besser zu schützen.

Zum Beispiel müssen Unternehmen neu begründen, warum sie Informationen über ihre Kunden sammeln, und offenlegen, welchen Dritten sie diese Informationen zugänglich machen. Natürliche Personen haben zudem das Recht zu wissen, wie lange ihre Daten gespeichert und für welche Zwecke sie verwendet werden. Jede Person kann ohne Angabe von Gründen die Berichtigung fehlerhafter Daten verlangen.

Compliance-Anforderungen des neuen DSG

Dem neuen DSG unterliegen sämtliche in der Schweiz ansässigen und internationalen Unternehmen, die Güter und Dienstleistungen für Schweizer Firmen und BürgerInnen bereitstellen oder sensitive Daten über diese verarbeiten, z.B. medizinische Unterlagen, genetisches Material und politische Ansichten. Ist ein Unternehmen nicht physisch in der Schweiz präsent, unterliegt es trotzdem dem neuen DSG und muss einen Schweizer Vertreter benennen, der für alle Belange im Zusammenhang mit der Datenverarbeitung als Kontaktperson für die Aufsichtsbehörden und betroffene Personen in der Schweiz fungiert.

Revision des DSG

Heute gilt nach wie vor das 1992 in Kraft getretene DSG. Die Schweizer Regierung hat deshalb beschlossen, das Gesetz zu revidieren, um den aktuellen Sicherheitsrisiken Rechnung zu tragen und Unternehmen bessere Leitplanken für den Schutz sensitiver Informationen bereitzustellen. Ein weiteres Ziel war die Harmonisierung des DSG mit der Datenschutz-Grundverordnung (DSGVO) der EU.

Nach mehreren Runden öffentlicher Stellungnahmen sollte das neue DSG am 1. Januar 2022 in Kraft treten. Die Inkraftsetzung wurde indes auf den 1. September 2023 verschoben. Das Gesetz ist nun auf die in der EU geltenden Standards abgestimmt und stellt damit sicher, dass der freie Datenverkehr mit der EU weitergeführt werden kann und Schweizer Unternehmen wettbewerbsfähig bleiben.

Fünf wichtige Änderungen, die es zu beachten gilt

Dies sind die fünf wichtigsten Änderungen des DSG, inkl. ihren Auswirkungen auf Schweizer und internationale Unternehmen:

1. Erweiterte Nutzereinwilligung

Im Zentrum des neuen DSG stehen das Bewusstsein der Endnutzer für die Verwendung ihrer Daten und die Zustimmung zur Datenerfassung. Gibt eine betroffene Person ihre Einwilligung, müssen ihr Unternehmen klar kommunizieren, welche Rechte und Möglichkeiten sie hat. Zudem müssen Unternehmen klare Informationen über die Erhebung, Speicherung, Verarbeitung und Nutzung der Daten bereitstellen sowie Massnahmen gemäss den Datenschutzpräferenzen der Person ergreifen, ohne diese nach Gründen zu fragen oder aufzufordern, ihren Entscheid zu überdenken.

2. Verbessertes Auskunftsrecht der betroffenen Person

Das neue DSG erleichtert es betroffenen Personen, ihr Auskunftsrecht wahrzunehmen. Denn sie müssen keine persönlichen oder Informationen darüber preisgeben, wie sie mit der Person, die ihre Daten verarbeitet hat, in Verbindung stehen. Jede natürliche Person kann Details zu den Daten verlangen, die ein Unternehmen von ihr erfasst und speichert, insbesondere:

  • Welche persönlichen Informationen ein Unternehmen über einen Endnutzer besitzt
  • Wie es diese verwendet
  • An wen es diese weitergibt und
  • Wie es diese erhebt

Jede Person kann die Verarbeitung ihrer Daten ablehnen, wenn kein berechtigtes Interesse daran besteht oder sie sich gegen die Weitergabe ihrer Daten entscheidet. Unter gewissen Umständen kann eine Person gewisse Arten der Verarbeitung einschränken, z.B. automatisierte Entscheidungsfindung oder Profiling.

3. Härtere Sanktionen

Mit dem neuen DSG erhält der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) mehr Befugnisse, eine höhere Dringlichkeit der Sanktionen gegenüber Unternehmen durchzusetzen, die die neuen Standards nicht erfüllen. Im Gegensatz zu den europäischen Datenschutzbehörden kommen dem EDÖB aber keine Sanktionsbefugnisse zu. Fehlbare Personen werden durch die kantonalen Strafverfolgungsbehörden gebüsst. Der EDÖB kann zwar Anzeige erstatten und im Verfahren die Rechte einer Privatklägerschaft wahrnehmen, ein Strafantragsrecht steht ihm aber nicht zu.

Bei Verstössen drohen privaten Personen Bussen von bis zu CHF 250'000. Strafbar sind vorsätzliches Handeln und Unterlassen wie die Missachtung von Informations- und die Verletzung von Sorgfaltspflichten, nicht aber Nachlässigkeit. Gebüsst wird grundsätzlich die verantwortliche natürliche Person. Jedoch kann auch das Unternehmen selbst bis zu CHF 50’000 gebüsst werden, wenn die Ermittlung der strafbaren natürlichen Person im Unternehmen einen unverhältnismässigen Aufwand erfordern würde.

4. Meldepflicht bei Verletzungen

Nach dem neuen DSG müssen Unternehmen einen Cyberangriff oder eine Verletzung der Datensicherheit dem EDÖB und allen potenziell betroffenen Parteien so schnell wie möglich melden, wollen sie Sanktionen oder andere Komplikationen vermeiden. Bei einem Sicherheitsvorfall müssen die für die Datenverarbeitung verantwortlichen Personen die folgenden Schritte einleiten:

  1. Vorfall unverzüglich dem EDÖB melden
  2. Art der Datenschutzverletzung darlegen
  3. Mögliche Folgen beschreiben
  4. Abhilfemassnahmen erörtern und Risiken für Betroffene minimieren
  5. Betroffene über die Datenschutzverletzung informieren

5. Privacy by Design und by Default

Gemäss revidiertem DSG müssen die aktuellen Datenschutz- und Bearbeitungsgrundsätze bereits in die Planung und das Design von Applikationen einfliessen, um der Privatsphäre der Nutzer Rechnung zu tragen. So entwickeln Unternehmen Applikationen nach dem «Security first»-Prinzip, anstatt die Sicherheits-Features nachträglich oder gar erst nach einem Vorfall zu verbessern.

Weitere wichtige Neuerungen

  • Das neue DSG deckt nur Daten natürlicher Personen ab.
  • Die Definition «besonders schützenswerte Personendaten» umfasst auch genetische und biometrische Daten.
  • Besteht ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person, ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen.
  • Das Führen eines Verzeichnisses der Verarbeitungstätigkeiten ist obligatorisch. Ausnahmen sind möglich für KMU, deren Datenbearbeitung ein geringes Risiko mit sich bringt, die Persönlichkeit von betroffenen Personen zu verletzen.

DSGVO vs. neues DSG

Die DSGVO und das DSG weisen zahlreiche Ähnlichkeiten auf (z.B. strenge Sanktionen und Meldepflicht bei Verstössen, Fokus auf Datenschutz), jedoch auch einige zentrale Unterschiede:

Thema

Neues DSG

DSGVO

Benennen eines Datenschutzbeauftragten

Keine Pflicht, aber empfohlen.

Pflicht gemäss Art. 37 DSGVO.

Melden von Datenschutzverletzungen

Pflicht, möglichst rasch zu melden.

Pflicht, innerhalb 72 Stunden zu melden.

Sanktionen

Bussen bis zu CHF 250’000 für verantwortliche private Personen.

Bussen bis zu EUR 20 Mio. oder 4% des weltweiten Gesamtjahresumsatzes des Unternehmens.

Informationspflicht

Geringere inhaltliche Vorgaben für Datenschutzrichtlinien. Es sind aber alle Länder aufzuführen, in die Personendaten übermittelt werden.

Minimale Inhaltsvorgaben für Datenschutzrichtlinien gemäss Art. 13 DSGVO.

Datenexporte

Über die Zulässigkeit entscheidet der Bundesrat.

Es sind dieselben Standardvertragsklauseln und verbindlichen unternehmensinternen Vorschriften wie in der EU anwendbar.

Über die Zulässigkeit entscheidet die Europäische Kommission.

Standardvertragsklauseln, verbindliche unternehmensinterne Vorschriften.

Verzeichnis der Verarbeitungstätigkeiten

Neu mit Angabe des Ziellands bei Datenexport.

Gemäss Art. 30 DSGVO

 Datenschutz-Folgenabschätzung

Rücksprache mit einem Datenschutzbeauftragten oder dem EDÖB ist möglich, wenn trotz Massnahmen ein hohes Risiko besteht.

Rücksprache mit Aufsichtsbehörden ist obligatorisch, wenn trotz Massnahmen ein hohes Risiko besteht.

 

 

 

Tipps zur Einhaltung der DSG-Vorgaben

Unternehmen wird empfohlen, sich an den folgenden Punkten zu orientieren, bevor sie eine Compliance-Bescheinigung beantragen oder um die Compliance künftig sicherzustellen:

  • Räumen Sie dem Datenschutz Priorität ein.
  • Kommunizieren Sie mit den Personen, deren Daten Sie erheben, klar und verständlich.
  • Definieren Sie interne Praktiken und Verfahren für das Speichern, Nutzen, Übermitteln und Löschen von Daten im Einklang mit dem Gesetz.
  • Prüfen Sie, ob Ihr Unternehmen der Aufsicht durch den EDÖB untersteht.
  • Schulen Sie alle Mitarbeitenden zum neuen DSG und zu Datenschutzthemen.
  • Melden Sie einen Verdacht auf einen Verstoss dem EDÖB. Wenden Sie sich im Zweifelsfall an einen auf Datenschutz spezialisierten Anwalt. Stellen Sie sicher, dass Sie die Vorgaben schon vor 2023 erfüllen.
  • Sorgen Sie für mehr Transparenz und gewähren Sie Nutzern eine bessere Kontrolle über die Verwendung von deren Daten.

Wünschen Sie nähere Informationen?

Bitte hier klicken

Publiziert am 16 Nov 2022

Autor

Picture of Yasin Küçükkaya
Yasin Küçükkaya

Data Protection Officer

icon