Adnovum Blog

Was ist das DSG? Das neue Schweizer Datenschutzgesetz 2023 im Überblick

Geschrieben von Yasin Küçükkaya | 11.07.2023 13:45:14

Das DSG

Das Schweizer Datenschutzgesetz (DSG) bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden.

Die erste Fassung des DSG trat 1992 zu einer Zeit in Kraft, als das Internet noch nicht kommerziell genutzt wurde und die digitale Realität von heute nicht vorhersehbar war. Seit 1. September 2023 gilt nun das neue DSG, das den veränderten Bedingungen Rechnung trägt.

Zum Beispiel müssen Unternehmen neu begründen, warum sie Informationen über ihre Kunden sammeln, und offenlegen, welchen Dritten sie diese Informationen zugänglich machen. Natürliche Personen haben zudem das Recht zu wissen, wie lange ihre Daten gespeichert und für welche Zwecke sie verwendet werden. Jede Person kann ohne Angabe von Gründen die Berichtigung fehlerhafter Daten verlangen.

Compliance-Anforderungen des nDSG

Dem neuen DSG unterliegen sämtliche in der Schweiz ansässigen und internationalen Unternehmen, die Güter und Dienstleistungen für Schweizer Firmen und BürgerInnen bereitstellen oder sensitive Daten über diese verarbeiten, z.B. medizinische Unterlagen, genetisches Material und politische Ansichten. Ist ein Unternehmen nicht physisch in der Schweiz präsent, unterliegt es trotzdem dem neuen DSG und muss einen Schweizer Vertreter benennen, der für alle Belange im Zusammenhang mit der Datenbearbeitung als Kontaktperson für die Aufsichtsbehörden und betroffene Personen in der Schweiz fungiert.



«Datenschutz sollte nicht als ein Hindernis betrachtet werden, das das Wachstum des Unternehmens bremst. Im Gegenteil: Datenschutz schafft Vertrauen und Sicherheit auf dem Weg der digitalen Transformation des Unternehmens.»

Yasin Kücükkaya
Data Protection Officer

 

 Yasin Kücükkaya

 

Revision des DSG

Bisher galt das 1992 in Kraft getretene DSG. Die Schweizer Regierung beschloss deshalb, das Gesetz zu revidieren, um den aktuellen Sicherheitsrisiken Rechnung zu tragen und Unternehmen bessere Leitplanken für den Schutz sensitiver Informationen bereitzustellen. Ein weiteres Ziel war die Harmonisierung des DSG mit der Datenschutz-Grundverordnung (DSGVO) der EU.

Nach mehreren Runden öffentlicher Stellungnahmen sollte das nDSG am 1. Januar 2022 in Kraft treten. Die Inkraftsetzung wurde indes auf den 1. September 2023 verschoben. Das Gesetz ist nun auf die in der EU geltenden Standards abgestimmt und stellt damit sicher, dass der freie Datenverkehr mit der EU weitergeführt werden kann und Schweizer Unternehmen wettbewerbsfähig bleiben.

Fünf wichtige Änderungen, die es zu beachten gilt

Dies sind die fünf wichtigsten Änderungen des DSG, inkl. ihren Auswirkungen auf Schweizer und internationale Unternehmen:

  1. Erweiterte Nutzereinwilligung

    Im Zentrum des neuen DSG stehen das Bewusstsein der Endnutzer für die Verwendung ihrer Daten und die Zustimmung zur Datenerfassung. Gibt eine betroffene Person ihre Einwilligung, müssen ihr Unternehmen klar kommunizieren, welche Rechte und Möglichkeiten sie hat. Zudem müssen Unternehmen klare Informationen über die Erhebung, Speicherung, Verarbeitung und Nutzung der Daten bereitstellen sowie Massnahmen gemäss den Datenschutzpräferenzen der Person ergreifen, ohne diese nach Gründen zu fragen oder aufzufordern, ihren Entscheid zu überdenken.

  2. Verbessertes Auskunftsrecht der betroffenen Person

    Das neue DSG erleichtert es betroffenen Personen, ihr Auskunftsrecht wahrzunehmen. Denn sie müssen keine persönlichen oder Informationen darüber preisgeben, wie sie mit der Person, die ihre Daten verarbeitet hat, in Verbindung stehen. Jede natürliche Person kann Details zu den Daten verlangen, die ein Unternehmen von ihr erfasst und speichert, insbesondere:

    - Welche persönlichen Informationen ein Unternehmen über einen Endnutzer besitzt
    - Wie es diese verwendet
    - An wen es diese weitergibt und
    - Wie es diese erhebt

    Jede Person kann die Verarbeitung ihrer Daten ablehnen, wenn kein berechtigtes Interesse daran besteht oder sie sich gegen die Weitergabe ihrer Daten entscheidet. Unter gewissen Umständen kann eine Person gewisse Arten der Verarbeitung einschränken, z.B. automatisierte Entscheidungsfindung oder Profiling.

  3. Härtere Sanktionen

    Mit dem neuen DSG erhält der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) mehr Befugnisse, eine höhere Dringlichkeit der Sanktionen gegenüber Unternehmen durchzusetzen, die die neuen Standards nicht erfüllen. Im Gegensatz zu den europäischen Datenschutzbehörden kommen dem EDÖB aber keine Sanktionsbefugnisse zu. Fehlbare Personen werden durch die kantonalen Strafverfolgungsbehörden gebüsst. Der EDÖB kann zwar Anzeige erstatten und im Verfahren die Rechte einer Privatklägerschaft wahrnehmen, ein Strafantragsrecht steht ihm aber nicht zu.

    Bei Verstössen drohen privaten Personen Bussen von bis zu CHF 250'000. Strafbar sind vorsätzliches Handeln und Unterlassen wie die Missachtung von Informations- und die Verletzung von Sorgfaltspflichten, nicht aber Nachlässigkeit. Gebüsst wird grundsätzlich die verantwortliche natürliche Person. Jedoch kann auch das Unternehmen selbst bis zu CHF 50’000 gebüsst werden, wenn die Ermittlung der strafbaren natürlichen Person im Unternehmen einen unverhältnismässigen Aufwand erfordern würde.

  4. Meldepflicht bei Verletzungen

    Nach dem neuen DSG müssen Unternehmen einen Cyberangriff oder eine Verletzung der Datensicherheit dem EDÖB und allen potenziell betroffenen Parteien so schnell wie möglich melden, wollen sie Sanktionen oder andere Komplikationen vermeiden. Bei einem Sicherheitsvorfall müssen die für die Datenverarbeitung verantwortlichen Personen die folgenden Schritte einleiten:

    - Vorfall unverzüglich dem EDÖB melden
    - Art der Datenschutzverletzung darlegen
    - Mögliche Folgen beschreiben
    - Abhilfemassnahmen erörtern und Risiken für Betroffene minimieren
    - Betroffene über die Datenschutzverletzung informieren

  5. Privacy by Design und by Default

    Gemäss revidiertem DSG müssen die aktuellen Datenschutz- und Bearbeitungsgrundsätze bereits in die Planung und das Design von Applikationen einfliessen, um der Privatsphäre der Nutzer Rechnung zu tragen. So entwickeln Unternehmen Applikationen nach dem «Security first»- sowie «Privacy by Design und by Default»-Prinzip, anstatt die Sicherheits-Features nachträglich oder gar erst nach einem Vorfall zu verbessern.

Weitere wichtige Neuerungen

  • Das neue DSG deckt nur Daten natürlicher Personen ab.
  • Die Definition «besonders schützenswerte Personendaten» umfasst auch genetische und biometrische Daten.
  • Besteht ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person, ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen.
  • Das Führen eines Verzeichnisses der Verarbeitungstätigkeiten ist obligatorisch. Ausnahmen sind möglich für KMU, deren Datenbearbeitung ein geringes Risiko mit sich bringt, die Persönlichkeit von betroffenen Personen zu verletzen.

DSGVO vs. neues DSG

Die DSGVO und das DSG weisen zahlreiche Ähnlichkeiten auf (z.B. strenge Sanktionen und Meldepflicht bei Verstössen, Fokus auf Datenschutz), jedoch auch einige zentrale Unterschiede:

Thema

Neues DSG

DSGVO

Benennen eines Datenschutzbeauftragten

Keine Pflicht, aber empfohlen.

Pflicht gemäss Art. 37 DSGVO.

Melden von Datenschutzverletzungen

Pflicht, möglichst rasch zu melden.

Pflicht, innerhalb 72 Stunden zu melden.

Sanktionen

Bussen bis zu CHF 250’000 für verantwortliche private Personen.

Bussen bis zu EUR 20 Mio. oder 4% des weltweiten Gesamtjahresumsatzes des Unternehmens.

Informationspflicht

Geringere inhaltliche Vorgaben für Datenschutzrichtlinien. Es sind aber alle Länder aufzuführen, in die Personendaten übermittelt werden.

Minimale Inhaltsvorgaben für Datenschutzrichtlinien gemäss Art. 13 DSGVO.

Datenexporte

Über die Zulässigkeit entscheidet der Bundesrat.

Es sind dieselben Standardvertragsklauseln und verbindlichen unternehmensinternen Vorschriften wie in der EU anwendbar.

Über die Zulässigkeit entscheidet die Europäische Kommission.

Standardvertragsklauseln, verbindliche unternehmensinterne Vorschriften.

Verzeichnis der Verarbeitungstätigkeiten

Neu mit Angabe des Ziellands bei Datenexport.

Gemäss Art. 30 DSGVO

 Datenschutz-Folgenabschätzung

Rücksprache mit einem Datenschutzbeauftragten oder dem EDÖB ist möglich, wenn trotz Massnahmen ein hohes Risiko besteht.

Rücksprache mit Aufsichtsbehörden ist obligatorisch, wenn trotz Massnahmen ein hohes Risiko besteht.

 

 

 

Warum ist es wichtig, die Bestimmungen des nDSG einzuhalten?

  • Halten Sie als Unternehmen die Bestimmungen nicht ein, riskieren Sie hohe Bussen sowie einen Reputationsschaden.
  • Halten Sie die Bestimmungen ein, fördern Sie das Vertrauen Ihrer Kunden und zeigen Ihr Engagement für den Datenschutz.
  • Sie gewährleisten zudem, dass personenbezogene Daten verantwortungsvoll und sicher gehandhabt werden und der Einzelne die Kontrolle über deren Verwendung hat.
  • Übereinstimmung mit EU-Vorgaben: Das neue DSG stellt sicher, dass der freie Datenverkehr mit der EU weitergeführt werden kann und Schweizer Unternehmen wettbewerbsfähig bleiben.

Was sollten Unternehmen im Hinblick auf das neue DSG als Erstes tun?


  • Räumen Sie dem Datenschutz Priorität ein.
  • Führen Sie eine Gap-Analyse zum Datenschutz durch:
    •  Analysieren Sie Ihre aktuelle Datenschutzsituation.
    • Ermitteln Sie allfällige Schwächen und Risiken in Bezug auf den Datenschutz.
    • Erstellen Sie eine Roadmap, um Massnahmen einzuleiten und die Risiken zu minimieren.
  • Ernennen Sie einen Data Protection Officer (DPO), der die Einhaltung des Schweizer DSG und anderer Datenschutzgesetze überwacht sowie Beratung und Orientierung zum Datenschutz bietet.
  • Führen Sie ein Verzeichnis aller Verarbeitungstätigkeiten (Verzeichnis der Bearbeitungstätigkeiten).
  • Definieren Sie interne Praktiken und Verfahren für das Speichern, Nutzen, Übermitteln und Löschen von Daten im Einklang mit dem Gesetz.
  • Definieren Sie Prozesse für das Auskunftsrecht, den Umgang mit Datenschutzverletzungen und die Datenschutz-Folgeabschätzung.
  • Schulen Sie alle Mitarbeitenden zum neuen DSG und zu Datenschutzthemen.