Das neue Datenschutzgesetz der Schweiz – Relevant für alle Start-Up’s und KMU’s
Mo. 21.08.2023, 07:00
Das neue Schweizer Datenschutzgesetz tritt am 1. September 2023 in Kraft. Wie die neuen gesetzlichen Vorgaben umgesetzt werden müssen, erfährst du im Blog.
Quelle: Adobe Stock: Privacy blue von Weissblick, Standardlizenz (Social Media).
Das neue Schweizer Datenschutzgesetz tritt am 1. September 2023 in Kraft. Hauptziel der Totalrevision ist die Angleichung des schweizerischen Datenschutzrechts an die EU(DSGVO).
Gesetzesänderungen bringen üblicherweise für den Rechtsanwender oft eine gewisse Unsicherheit mit sich. Auch die Revision des Datenschutzgesetzes wirft für viele Unternehmen neue Fragen auf. Wir zeigen hier die wichtigsten Änderungen auf:
Erweiterung der Informationspflichten
Die Informationspflichten im neuen Datenschutzgesetz wurden erweitert. Im Gegensatz zum geltenden Recht muss der Verantwortliche neu bei jeder Beschaffung von Personendaten informieren, sofern nicht eine der gesetzlich vorgesehenen Ausnahmen vorliegt. Folgende Mindestanforderungen müssen den betroffenen Personen bei der Beschaffung von Personendaten mitgeteilt werden:
-
Identität und Kontaktdaten der verantwortlichen Stelle
-
allfällige Empfänger oder Kategorien von Empfängern, denen die Personendaten bekannt gegeben werden
-
bei Datenbekanntgabe ins Ausland den Staat oder das internationale Organ und gegebenenfalls die Garantien für den Schutz personenbezogener Daten
Somit müssen nun alle Unternehmen eine Datenschutzerklärung erstellen, die die oben genannten vier Mindestangaben enthalten muss. Die neu geschaffenen Mindestangaben sind weniger umfassend als jene der DSGVO. Im Gegensatz dazu geht das neue schweizerische Datenschutzgesetz weiter als die DSGVO, was die Informationspflichten bezüglich der Datenbekanntgabe ins Ausland betrifft.
Auftragsbearbeiter
Durch Vertrag oder Gesetz kann ein Auftragsbearbeitungsverhältnis (Outsourcing wie z.B. in die Cloud) begründet werden. Dabei muss der Auftragsbearbeiter die Daten so bearbeiten, wie es der Verantwortliche selbst tun könnte. Ebenso muss sich der Verantwortliche vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
Verzeichnis der Bearbeitungstätigkeiten
Neu sieht das Datenschutzgesetz die Pflicht für Verantwortliche und Auftragsbearbeiter vor, je ein Verzeichnis ihrer Datenbearbeitungstätigkeiten zu führen. Die Angaben müssen dabei aktuell und genau sein. Eine ähnliche Pflicht kennt bereits die DSGVO. Das neue Datenschutzgesetz sieht jedoch Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitungen ein geringes Risiko von Persönlichkeitsverletzungen mit sich bringen.
Sowohl für die Verantwortlichen als auch die Auftragsbearbeiter wird der Mindestinhalt des Verzeichnisses vorgegeben. Mit dieser Dokumentation soll die Transparenz der Datenbearbeitungen verbessert werden.
Privacy by Design und Privacy by Default
Das bereits aus der DSGVO bekannte Prinzip des «Privacy by Design» wird neu auch im schweizerischen Datenschutzgesetz verankert. Dieses Prinzip besagt, dass bereits bei der Planung von Projekten die Datenbearbeitung technisch und organisatorisch so zu gestalten ist, dass die Datenschutzvorschriften eingehalten werden.
Zudem sind die Verantwortlichen verpflichtet, durch geeignete Voreinstellungen sicherzustellen, dass standardmässig nur die für den jeweiligen Zweck erforderlichen Personendaten bearbeitet werden können und sich die Bearbeitung auf das notwendige Minimum beschränkt (sog. «Privacy by Default»).
Verschärfte Sanktionen und Ausbau der Befugnisse des EDÖB
Im Gegensatz zum bestehenden Gesetz sieht das neue Gesetz klare Sanktionen vor. So werden künftig vorsätzliches Handeln und Unterlassen, nicht aber Fahrlässigkeit bestraft. Gegenüber der bisherigen Regelung wurden die Strafbestimmungen deutlich erweitert und verschärft. Wer Auskunfts-, Informations- oder Mitwirkungspflichten verletzt, kann auf Antrag mit Busse bis zu 250’000 Franken bestraft werden.