Das neue Schweizer Datenschutzgesetz (DSG)

Einleitung

Am 1. September 2023 ist das neue Schweizer Datenschutzgesetz (DSG) in Kraft getreten. Ziel des neuen DSG ist es, die Transparenz bei der Verarbeitung personenbezogener Daten zu erhöhen und den Schutz persönlicher Informationen zu stärken. Gleichzeitig soll die Kompatibilität mit der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union sichergestellt werden.

Was ist zu tun?

Das neue Datenschutzrecht bringt für Verantwortliche zahlreiche Pflichten mit sich – einige davon bestehen bereits, andere sind neu hinzugekommen. Nachfolgend erhalten Sie einen Überblick über die wichtigsten Anforderungen.

Grundsätze der Datenbearbeitung

Die bestehenden Bearbeitungsgrundsätze bleiben weitgehend unverändert: Personendaten dürfen nur rechtmäßig, nach Treu und Glauben sowie verhältnismäßig bearbeitet werden. Daten dürfen nur für den Zweck genutzt werden, zu dem sie erhoben wurden, und dieser Zweck muss für die betroffene Person erkennbar sein (Zweckbindung). Abweichungen können Persönlichkeitsverletzungen darstellen, es sei denn, sie sind durch ein überwiegendes Interesse oder eine Einwilligung gerechtfertigt.

Löschen von Personendaten

Personendaten müssen gelöscht oder anonymisiert werden, sobald sie für den ursprünglichen Zweck nicht mehr erforderlich sind.

Inventar der Bearbeitungen

Unternehmen mit mindestens 250 Mitarbeitenden müssen ein Inventar sämtlicher Bearbeitungen führen. Kleinere Unternehmen sind davon befreit, es sei denn, sie verarbeiten besonders schützenswerte Daten in großem Umfang oder betreiben risikobehaftetes Profiling.

Informationspflichten und Datenschutzerklärung

Betroffene Personen müssen über Umfang und Zweck der Datenbearbeitung informiert werden, meist über eine leicht zugängliche Datenschutzerklärung auf der Website. Bestehende Datenschutzerklärungen müssen gegebenenfalls aktualisiert werden.

Auftragsbearbeiter

Bei der Zusammenarbeit mit Dienstleistern wie Hostpoint ist ein Auftragsbearbeitungsvertrag (ADV/DPA) erforderlich, der insbesondere technische und organisatorische Maßnahmen (TOMs) regelt. ADV nach DSGVO sind zulässig, sollten jedoch auch auf das Schweizer DSG verweisen.

Datensicherheit

Der Zugriff auf Personendaten muss technisch und organisatorisch abgesichert sein. Bei Datenschutzverletzungen mit hohem Risiko muss der Vorfall dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden.

Datenbekanntgabe ins Ausland

Werden Daten ins Ausland übermittelt, ist sicherzustellen, dass entweder ein angemessenes Datenschutzniveau besteht oder zusätzliche Schutzmaßnahmen getroffen werden (z. B. EU-Standardvertragsklauseln mit Swiss Amendments).

Betroffenenrechte

Betroffene Personen haben unter anderem das Recht auf Auskunft, Berichtigung und Löschung ihrer Daten. Anfragen müssen in der Regel innerhalb von 30 Tagen kostenlos beantwortet werden.

Einwilligung

Einwilligungen müssen freiwillig erfolgen und über deren Konsequenzen muss informiert werden. Besonders schützenswerte Daten oder risikobehaftetes Profiling erfordern eine ausdrückliche Einwilligung.

Privacy by Default und Privacy by Design

Datenbearbeitungen müssen technisch und organisatorisch so gestaltet werden, dass die Datenschutzvorgaben eingehalten und datenschutzfreundliche Voreinstellungen gewählt werden.

Kleines Berufsgeheimnis

Geheime personenbezogene Daten, die im Rahmen beruflicher Tätigkeit anvertraut werden, müssen vertraulich behandelt werden. Eine Offenlegung ist nur zulässig, wenn vorher klar darüber informiert wurde.

Datenschutz-Folgenabschätzung

Bei neuen Datenbearbeitungen mit hohem Risiko für die betroffenen Personen ist eine Datenschutz-Folgenabschätzung erforderlich.

Datenschutzberater und Vertreter in der Schweiz

Ein freiwilliger Datenschutzberater kann ernannt werden. Verantwortliche mit Sitz im Ausland, die personenbezogene Daten von Personen in der Schweiz bearbeiten, müssen unter bestimmten Bedingungen einen Vertreter in der Schweiz benennen.

Strafbarkeit

Ab dem 1. September 2023 können Verletzungen bestimmter Datenschutzpflichten strafrechtliche Konsequenzen für natürliche Personen haben. Besonders betroffen sind Verstöße gegen Informationspflichten, die fehlende Absicherung von Daten oder unrechtmäßige Bekanntgaben ins Ausland.

Umsetzung in der Praxis

Empfohlen wird, eine verantwortliche Person für den Datenschutz im Unternehmen oder Verein zu bestimmen, die grundlegende Kenntnisse im Datenschutzrecht erwirbt und als Ansprechperson dient.