Ein neues Datenschutzgesetz für die Schweiz

Switzerland has a new federal act on data protection. Die Schweiz hat ein neues Datenschutzgesetz. La Svizzera ha una nuova legge sulla protezione dei dati. La Suisse a une nouvelle loi sur la protection des données.

Ein neues Datenschutzgesetz für die Schweiz

Es ist endlich so weit: Ein neues Datenschutzgesetz, das im September 2020 verabschiedet wurde, ist in Kraft getreten. Was hat sich genau geändert? Warum hat sich das geändert? Und was bedeutet das konkret für dein Unternehmen? 

Am 1. September 2023 treten das revidierte Datenschutzgesetz (DSG) sowie die neue Datenschutzverordnung (DSV) und die neue Verordnung über Datenschutzzertifizierungen (VDSZ) in Kraft. Unternehmer:innen müssen sich jetzt genau mit diesen Änderungen befassen und sie dann umsetzen. Wie immer möchte Atlanto euch bei diesen Änderungen unterstützen. Dieser Blogbeitrag soll euch durch die Verwirrung helfen und bei der Umsetzung helfen.

Warum ist ein neues Datenschutzgesetz nötig?

Wusstest du, dass das erste Gesetz über den Datenschutz in der Schweiz im Jahr 1992 erlassen wurde? Denken wir einmal zurück: Im ’92 war das World Wide Web knapp 3 Jahre alt, das Smartphone war gerade erst erfunden worden, noch ohne Internetverbindung. Es würden fast 20 Jahre vergehen, bevor iPhones und Android Smartphones verkauft werden würden. Der Begriff “Social Media” war damals noch kaum bekannt.

Heute sieht die Welt ganz anders aus. Mittlerweile haben alle ein Handy und Zugriff auf das Internet. Sogar Kinder nutzen heutzutage Social Media! Es ist also naheliegend, dass eine Revision des DSG nötig wäre.

Ein weiterer Grund für den Wechsel ist die EU. Diese Anpassungen sorgen dafür, dass die Schweiz von der EU als Drittstaat mit angemessenem Datenschutzniveau anerkannt werden kann. So können Daten zwischen Unternehmen in den EU-Staaten und Unternehmen in der Schweiz weiter problemlos übermittelt werden. Schweizer Unternehmer:innen bleiben somit auch im Ausland wettbewerbsfähig.

Es geht also nicht darum, euch das Leben schwer zu machen. Man hat es nicht auf Unternehmer:innen abgesehen. Im Gegenteil: Das Ziel ist, persönliche Daten umfassender zu schützen.

Wie ändert sich das neue Datenschutzgesetz konkret?

  • Das Datenschutzgesetz beschränkt sich neu auf den Schutz natürlicher Personen – statt wie bisher auch auf juristische Personen.
  • Neu gelten auch genetische und biometrische Daten als besonders schützenswert.
  • Neu müssen die Unternehmen die betroffenen Personen über jede Datenbeschaffung angemessen informieren, nicht wie bisher nur bei besonders schützenswerten Daten.
  • Unternehmen sind verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Alle Datenflüsse und der Zweck ihrer Bearbeitung müssen dokumentiert werden.  KMU, die dabei nur wenig Risiko für Personendaten eingehen, sind von dieser Pflicht ausgeschlossen.
  • Unternehmen sind verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt.
  • Neu wird auch die automatische Datenbearbeitung geregelt (Profiling). Diesbezüglich ist die Einwilligung der natürlichen Person einzuholen, sofern das Profiling ein hohes Risiko birgt.
  • Verletzungen der Datensicherheit sind umgehend an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden.

Es ändert sich aber nicht alles. Die grundlegenden Überlegungen und Voraussetzungen für eine zulässige Datenbearbeitung bleiben gleich wie im alten Datenschutzgesetz.

  • Personendaten müssen rechtmässig bearbeitet werden.
  • Die Bearbeitung muss nach Treu und Glauben erfolgen und verhältnismässig sein.
  • Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden.
  • Sie werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
  • Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern.
  • Für die Bearbeitung von besonders schützenswerten Personendaten ist die ausdrückliche Einwilligung erforderlich.

Wie kann man das Datenschutzgesetz nun umsetzen?

Wenn du eine Webseite betreibst, ist es gemäss Art. 19 des neuen Datenschutzgesetzes Pflicht, die Kunden über die Datensammlung zu informieren. Dies geschieht in der Regel mit einer Datenschutzerklärung. Anders gesagt: eine Datenschutzerklärung wird neu zur Pflicht für deine Webseite.

Dies ist besonders wichtig, zumal Unternehmer:innen bei Nichteinhaltung hohe Sanktionen, sowie wahrscheinlich auch Reputationsschaden, drohen. Ausserdem fördert starker Datenschutz und offene Kommunikation die Kundenbindung.

Wie können Unternehmer:innen also das neue DSG nun umsetzen? Auf jedem Fall sollte man dem Datenschutz die Priorität schenken. Aber keine Sorge: Du musst nicht von Null anfangen. Analysiere am besten erst einmal die jetzige Situation. Wo bestehen noch Risiken? Wie kannst du dich verbessern?

Viele Unternehmer:innen finden es hilfreich einen Data Protection Officer (DPO) zu ernennen, der sich um den Datenschutz beim Unternehmen kümmert.

Weiter wird empfohlen ein Verzeichnis der Bearbeitungstätigkeiten zu führen (siehe dazu Artikel 12 des DSG). Dieses Verzeichnis sollte unter anderem betroffene Personen und Personendaten auflisten, sowie deren Empfänger und die Aufbewahrungsdauer.

Ausserdem sollte festgehalten werden, wie in Zukunft mit dem Auskunftsrecht und mit den Datenschutz-Folgeabschätzungen umgegangen werden soll. Aller Mitarbeitenden, aber besonders diejenigen, die mit Webseiten oder Personendaten arbeiten, sollten über diese Prozesse informiert werden.

Das klingt alles nach sehr viel Arbeit. Aber bei Atlanto ist kein Unternehmen auf sich allein gestellt. In unserem Blog findest du weiter Unterstützung in allem, was Unternehmen und Recht zu tun hat. Auf jeden Fall empfehlen wir, die Website der Schweizerischen Eidgenossenschaft zu besuchen. Dort findest du weitere Informationen zum revidierten Datenschutzgesetz.

Hast du weitere Fragen zum neuen Datenschutzgesetz? Wir empfehlen dir bei YLEX Hilfe zu suchen. Dort wird dir gerne zu einer rechtssicheren Datenschutzerklärung geholfen.

ÄHNLICHE BLOGS