Das neue Datenschutzgesetz der Schweiz – das müssen Sie wissen

Corporate WebsitesE-CommerceWeb-Applikation
Dec 13,2021

Das neue Datenschutzgesetz der Schweiz – das müssen Sie wissen

Vor dem Hintergrund der EU-Datenschutzgrundverordnung (DSGVO) und der ePrivacy-Verordnung hat der Schweizer Bundesrat die Totalrevision des Bundesgesetzes über den Datenschutz (DSG) vorgezogen. Im Folgenden finden Sie einen Überblick über die fünf wichtigsten Änderungen, damit Sie sich optimal auf die neue Gesetzgebung vorbereiten können.

Die EU will die Persönlichkeitsrechte und die Freiheit der betroffenen Personen - also derjenigen, deren Daten bearbeitet werden - besser schützen. Aus diesem Grund ist die EU-Datenschutz-Grundverordnung (GDPR) im Mai 2018 in Kraft getreten und die ePrivacy-Verordnung wurde ausgearbeitet. Die Schweiz folgt dem Trend, dieses Thema zu verfolgen. So hat der Bundesrat im September 2017 den Entwurf zur Totalrevision des Bundesgesetzes über den Datenschutz (DSG) vorgelegt. Das neue Gesetz wird voraussichtlich in der zweiten Hälfe 2022 in Kraft treten. Es steht in der Rechtstradition der Schweiz, da es einen hohen Abstraktionsgrad aufweist und technologieneutral ist. Dieser Schritt soll die Transparenz erhöhen und die Rechte der Betroffenen stärken, mitzubestimmen, was mit ihren Daten geschieht.

Das neue DSG ist sehr umfangreich und wird fast jedes Unternehmen in der Schweiz betreffen. In Zukunft werden nur noch die natürlichen Personen geschützt, während die juristischen Personen (z.B. AG, GmbH etc.) sich für ihren Schutz nicht mehr auf das revDSG berufen können. Ihnen verbleibt der Schutz durch das Firmenrecht sowie weitere bestehende Bestimmungen der Rechtsordnung (z.B. Persönlichkeitsschutz nach ZGB, UWG). Die weiteren wichtigsten Änderungen haben wir hier für Sie zusammengefasst:
 

1. Sanktionen

Im Gegensatz zum bisherigen Bundesgesetz über den Datenschutz sieht der neue Entwurf klare Sanktionen vor. Er sieht vor, dass Personen, die vorsätzlich gegen das neue Bundesgesetz über den Datenschutz verstossen, mit einer Busse von bis zu 250'000 Franken bestraft werden. Im Gegensatz zur DSGVO, bei der lediglich Unternehmen oder Organisationen im Fokus stehen, können nach dem revidierten DSG auch Verantwortliche im Unternehmen wie CEOs, CIOs oder andere Funktionen direkt sanktioniert werden. Neben diesen zusätzlichen strafrechtlichen Sanktionen werden weiterhin verwaltungsrechtliche Massnahmen durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ausgesprochen werden können, indem beispielsweise die künftige Bearbeitung von bestimmten Personendaten einem Unternehmen untersagt werden kann oder es zur Löschung spezifischer Datensätze aufgefordert wird.
 

2. Meldung von Datenschutzverletzungen

Im Falle einer Datenschutzverletzung müssen die für die Datenverarbeitung Verantwortlichen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so schnell wie möglich eine erhöhte Gefährdung der Persönlichkeits- oder Grundrechte der betroffenen Personen melden. Auch die betroffenen Personen müssen informiert werden.
 

3. Besonders schützenswerte Personendaten

Das neue Bundesgesetz über den Datenschutz erweitert die Liste der Daten, die unter die Kategorie der besonders schützenswerten Personendaten fallen. Die neue Liste umfasst genetische und biometrische Daten (z.B. Fingerabdrücke), die eine natürliche Person eindeutig identifizieren.
 

4. Technische Gestaltung und datenschutzfreundliche Voreinstellungen

Die für die Datenverarbeitung Verantwortlichen und diejenigen, die Daten verarbeiten, sollen strengere, genauer definierte Sorgfaltspflichten erhalten. Nach dem Prinzip "privacy by design" müssen sie bereits in der Planungsphase geeignete Massnahmen ergreifen, um das Risiko von Datenschutzverletzungen bei der Datenverarbeitung zu verringern. Ausserdem werden sie verpflichtet, durch geeignete Voreinstellungen sicherzustellen, dass erforderliche personenbezogene Daten standardmässig nur für den jeweiligen Zweck verarbeitet werden, was als "privacy by default" bezeichnet wird.
 

5. Datenschutz-Folgenabschätzung

Datenverantwortliche und Datenverarbeiter werden verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, wenn die geplante Datenverarbeitung ein erhöhtes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt. Diese muss sich sowohl mit den Risiken als auch mit geeigneten Massnahmen befassen.
 

Zusammenfassung

Datenschutz ist für Unternehmen längst ein Thema, das über die Grenzen der IT hinausgeht und als Teil einer umfassenden Compliance-Politik fest auf der Agenda von Führungskräften und Entscheidern steht. Die EU-DSGVO, das neue DSG, die ePrivacy-Verordnung und künftige Richtlinien verlangen von den Unternehmen eine neue Sensibilität für den Umgang und den Schutz von personenbezogenen Daten. Es ist wichtig, rechtzeitig eine Bestandesaufnahme Ihrer Datenbearbeitungen (Personendaten) durchführen, um anschliessend andhand einer Analyse den Handlungsbedarf festzustellen. Das ist notwenig, auch wenn bereits DSGVO-Massnahmen im Unternehmen umgesetzt wurden, da gewisse Unterschiede beim revDSG zu berücksichtigen sind. Wir unterstützen Sie gerne auf diesem Weg in der Umsetzung der gesetzlichen Anforderungen.