Das schweizerische Datenschutzgesetz (DSG) wurde über mehrere Jahre vollumfänglich revidiert und tritt voraussichtlich per 1. September 2023 in Kraft. Die Schweiz passt sich damit den europäischen Datenschutzbestimmungen der DSGVO an und trägt den veränderten technologischen und gesellschaftlichen Verhältnissen Rechnung. Zusätzlich sollen die neuen Regelungen zu mehr Selbstbestimmung im Umgang mit den eigenen Daten und damit zu höherer Transparenz und Sicherheit bei Datenbearbeitungen führen.
Folgende wichtigste Änderungen kommen auf die Unternehmen zu:
- Führung eines Datenbearbeitungsverzeichnisses: Neu ist das Führen eines Verzeichnisses mit den gesamten Bearbeitungstätigkeiten Pflicht. Ausnahmen von dieser Pflicht bestehen nach Art. 12 Abs. 5 nDSG nur, wenn die Datenbearbeitung von KMUs mit weniger als 250 Mitarbeitenden vorgenommen wird und nur ein geringes Risiko von Persönlichkeitsverletzungen birgt.
- Meldepflicht bei Verletzungen der Datensicherheit: Verletzungen der Datensicherheit wie unbeabsichtigtes Löschen, Verändern oder Offenlegen bzw. Zugänglichmachen von Personendaten an Unbefugte müssen so rasch als möglich dem EDÖB gemeldet werden, sofern diese Verletzungen ein hohes Risiko für die betroffene Person darstellen könnten.
- Datenschutz-Folgeabschätzungen: Bei heiklen Datenbearbeitungen, welche ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen, müssen Unternehmen neu eine Datenschutz-Folgeabschätzung vornehmen. Die Datenschutz-Folgeabschätzung muss sich dabei über die Wahrscheinlichkeit einer Verletzung der Datensicherheit äussern.
- Informationspflicht bei der Beschaffung von Personendaten (Datenschutzerklärung): Unternehmen müssen betroffene Personen vor jeder beabsichtigten Beschaffung von Personendaten vorgängig und angemessen über die Datenbeschaffung informieren.
- «Privacy by Design» und «Privacy by Default»: Applikationen etc. müssen so ausgestaltet werden, dass die gesammelten Daten standardmässig anonymisiert oder gelöscht werden. Bei den Voreinstellungen muss dafür gesorgt werden, dass grundsätzlich nur die für den Verwendungszweck unbedingt notwendigen Daten bearbeitet werden.
Auch nach Inkrafttreten der neuen Bestimmungen muss eine Datenbearbeitung nach den bisher geltenden datenschutzrechtlichen Grundsätzen wie u.a. dem Prinzip der Datensparsamkeit, der Rechtmässigkeit, der Datenrichtigkeit und der Datensicherheit erfolgen. Zu den bestehenden Pflichten kommen jedoch die erwähnten neuen, umfassenden Pflichten im Zusammenhang mit der Datenbearbeitung hinzu. Dies führt dazu, dass nebst den Bundesorganen auch private Unternehmen und Organisationen (Vereine, Stiftungen usw.) ihre bestehenden Richtlinien und Datenschutzerklärungen den neuen Bestimmungen anpassen sollten.
Bei Nichteinhaltung der neuen Datenschutzbestimmungen drohen teilweise hohe Strafen (Bussen bis CHF 250'000.-), weshalb es sich lohnt, sich tiefgründig mit den neuen Regelungen auseinanderzusetzen.
Für die Beantwortung von Fragen und Mithilfe bei der Vorbereitung auf die neuen Bestimmungen stehen wir gerne zur Verfügung.