Revidiertes Datenschutzgesetz ab 1.9.2023: Was ist neu?

Am 1.9.2023 soll in der Schweiz das neue Datenschutzgesetz (revDSG) in Kraft treten. Für die Bevölkerung bedeutet dies mehr Transparenz und Rechte hinsichtlich der eigenen Personendaten. Unternehmen werden verpflichtet, die Verarbeitung und Speicherung der Daten ihrer Kunden und Mitarbeiter entsprechend dem revidierten Gesetz anzupassen. Dieser Beitrag geht auf die Notwendigkeit der Revision des Datenschutzgesetztes (DSG) ein und fasst die wichtigsten Veränderungen sowie notwendigen Massnahmen für Unternehmen zusammen.

 

1. Was sind die wichtigsten Neuerungen für Unternehmen?

  • Vom neuen Datenschutzgesetz sind nur die Daten natürlicher Personen betroffen, nicht mehr die Daten juristischer Personen.
  • Genetische und biometrische Daten sind per Definition besonders schützenswerte Daten
  • Einführung der Grundsätze "Privacy by Design" und "Privacy by Default": "Privacy by Design" bedeutet, dass der Datenschutz bei der Entwicklung von Soft- und Hardware von Beginn an berücksichtigt wird, sobald Personendaten verarbeitet werden sollen. "Privacy by Default" bedeutet, dass der Datenschutz durch datenschutzfreundliche Voreinstellungen bereits gewahrt werden soll. So sollen auch wenig technik-affine Nutzer/-innen geschützt werden, die selbst keine Datenschutzeinstellungen nach ihren Präferenzen anpassen können
  • Die Folgen der Datenverarbeitung von Personendaten sind vorab zu bewerten, sofern ein Risiko für die Persönlichkeits- oder Grundrechte besteht.
  • Die Ausweitung der Informationspflicht: Bei der Erfassung jeglicher Personendaten muss die betroffene Person informiert werden. Ein Beispiel sind Consent-Banner beim Aufruf von Webseiten.
  • Die Obligatorisches Verzeichnis der Datenbearbeitungsaktivitäten. Hier besteht jedoch eine Ausnahme für KMU, wenn von einem geringen Risiko der Verletzung von Persönlichkeitsrechten auszugehen ist.
  • Die zeitnahe Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bei Verletzung der Datensicherheit.
  • Aufnahme des Begriffs Profiling in das DSG. Unter Profiling versteht man die automatisierte Verarbeitung von Personendaten (vgl. Neues Datenschutzgesetz (revDSG), Zugriff 1.1.2023).

 

2. Checkliste: Welche Massnahmen müssen Unternehmen umsetzen?

  • Prüfung sämtlicher Datenschutzerklärungen online (Webseite) und offline (Verträge).
  • Erstellung oder Überprüfung der Richtlinien zur Datenverarbeitung im Unternehmen.
  • Anlegen und Führen eines Verzeichnisses sämtlicher Datenbearbeitungsaktivitäten. Ausnahme: KMU, d.h. Unternehmen mit unter anderem weniger als 250 Beschäftigten, sofern von keinem hohen Risiko der Verletzung der Persönlichkeit auszugehen ist.
  • Festlegung des Prozesses zur raschen Erfüllung der Informationspflicht, d.h. Anfrage oder Löschung von Personendaten.
  • Einführung eines Meldeverfahrens, wenn der Datenschutz verletzt wurde.
  • Etablierung eines Prozesses für "Datenschutz-Folgenabschätzungen", welche relevant werden können, wenn die Datenbearbeitung ein erhöhtes Risiko mit sich bringt. Detaillierte Informationen gibt es dazu auf der Website der/des Datenschutzbeauftragen des Kantons Zürich: Datenschutz-Folgenabschätzung.
  • Prüfung und bei Bedarf Anpassung der Datensicherheit in Verträgen mit Subunternehmen, insbesondere in Hinblick auf Meldung der Verletzung des Datenschutzes.
  • Löschung oder Anonymisierung aller personenbezogener Daten, sobald sie entsprechend des ursprünglichen Grundes der Erhebung nicht länger benötigt werden. Insbesondere das Tracking von Daten auf Webseites ist zu prüfen und zu hinterfragen.
  • Prüfung, in welchen Ländern die erhobenen Daten gespeichert oder verarbeitet werden. Beispielsweise die Speicherung der Daten in eine Cloud sollte nur in einer vom Bundesrat aufgestellten Liste von Staaten erfolgen. Andernfalls gelten strengere Datenschutzanforderungen, siehe dazu auch Übermittlung [von Daten] ins Ausland. Kritisch sind beispielsweise Newsletter-Tools, bei denen Adresslisten nicht in der Schweiz abgespeichert werden. Auch das Hosting von Webseites ist zu prüfen
  • Garantieren der Datensicherheit durch geeignete technische und organisatorische Massnahmen. Das EDÖB hat dazu einen entsprechenden Leitfaden veröffentlicht: Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes.
  • Sicherstellen, dass Daten in einem elektronischen Format zur Verfügung gestellt werden können.
  • Benennung und Veröffentlichung einer Datenschutzberaterin oder eines Datenschutzberaters. Empfohlen wird die Meldung der Person beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) (vgl. Checkliste für KMU: Welche Anpassungen an das Datenschutzgesetz sind nötig?, Zugriff 1.1.2023).

 

3. Fazit

Die Umsetzung des revDSG ist für Unternehmen mit einigem Aufwand verbunden, der jedoch durch die eingangs beschriebene Notwendigkeit der Revision des DSG gut begründet ist. Natürliche Personen erhalten wieder die Hoheit über ihre Daten und das Schweizer Recht wird kompatibel mit dem EU-Recht. In der EU erhobene Daten können von Schweizer Unternehmen genutzt werden sowie umgekehrt.

 

4. Weitergehende Beratung

Sollten Sie Fragen zum Einzelfall haben oder eine Beratung benötigen, stehen wir Ihnen gerne zur Verfügung.

 


« zurück

Rapperswil-Jona SG

Tel.: +41 55 224 40 50

info@kanzlei-jona.ch

 

Wädenswil ZH

Tel.: +41 44 784 29 20info@kanzlei-waedenswil.ch

Tätigkeitsgebiete

  • Vertragsrecht
  • Mietrecht, Arbeitsrecht 
  • Gesellschafts- und Firmenrecht
  • Ehe- und Konkubinatsrecht
  • Kindsrecht
  • Erbrecht und Nachlassplanung 
  • Bäuerliches Boden- und Erbrecht
  • Sachenrecht
  • Schuldbetreibungs- und Konkursrecht  
  • Straf- und Wirtschaftsstrafrecht
  • Jugendstrafrecht
  • Strassenverkehrsrecht
  • Immaterialgüterrecht

 

  • Banken- und Finanzmarkrecht 
  • Prozessführung
  • Öffentliche Beurkundungen
  • Notarielle Beglaubigungen
  • Urheberrecht
  • Markenrecht
  • Haftpflicht- und Versicherungsrecht
  • Medizin- und Gesundheitsrecht
  • Sportrecht
  • Internationales Wirtschaftsrecht
  • Datenschutz, Schutz der Persönlichkeit
  • Verwaltungsverfahren (Bau- und Planungsrecht, etc.)
  •  

 

 

 

 

 

 

Impressum

Datenschutz