LEGAL Services

Neues Datenschutzrecht per 1. September 2023 – Wichtigste Neuerungen im Überblick

Alica Köb
Von:
insight featured image
Per 01.09.2023 tritt in der Schweiz das revidierte Datenschutzrecht in Kraft. Der Fokus der Totalrevision liegt auf der Anpassung der Bestimmungen des Datenschutzgesetzes (DSG) an die weit fortgeschrittenen Technologien und veränderten gesellschaftlichen Bedingungen. Konkrete Ausführungsbestimmungen zum Datenschutzgesetz werden neu in der Datenschutzverordnung (DSV) verankert. Zudem wird eine Annäherung des schweizerischen Datenschutzstandards an die Standards der Europäischen Datenschutz-Grundverordnung (DSGVO) angestrebt, sodass der länderübergreifende Datenaustausch innerhalb Europas ohne massgebliche Einschränkungen und rechtskonform weiterhin möglich sein sollte. Zentral ist dabei nicht zuletzt, dass das DSG und die DSV für sämtliche Sachverhalte gelten, die sich in der Schweiz auswirken, selbst wenn diese im Ausland veranlasst wurden.
Inhalt

Nachfolgend finden Sie eine Übersicht der zentralen Neuerungen des Datenschutzgesetzes:

Betroffene Daten

Bislang galt das Datenschutzgesetz für das Bearbeiten von Daten natürlicher und juristischer Personen. Die Bestimmungen des revidierten Datenschutzgesetzes und der Datenschutzverordnung sind neu nur noch auf Daten natürlicher Personen anwendbar.

Besonders schützenswerte Daten

Für die rechtmässige Bearbeitung besonders schützenswerter Personendaten sind seit jeher höhere Schutzstandards einzuhalten. Neu wurden im revidierten Datenschutzgesetz genetische und biometrische Daten ergänzt, welche nun ebenfalls per Definition «besonders schützenswerte Daten» sind und einen entsprechend höheren Schutz geniessen.

«Privacy by Design» und «Privacy by Default»

Die Grundsätze «Privacy by Design» und «Privacy by Default» werden mit der Revision neu eingeführt. Unternehmen sind gemäss diesen Prinzipien künftig verpflichtet, die Datenschutzbestimmungen bereits bei der Entwicklung von Soft- und Hardware zu berücksichtigen (Privacy by Design / Datenschutz durch Technikgestaltung). Zudem müssen Voreinstellungen, etwa auf Websites oder in Apps, standardmässig so datenschutzfreundlich wie möglich sein (Privacy by Default / Datenschutz durch datenschutzfreundliche Voreinstellungen).

Informationspflicht

Die Informationspflicht der Datenbearbeiter wird mit der Revision ausgeweitet. Bei jeder (beabsichtigten) Beschaffung von Personendaten muss die betroffene Person informiert werden. Diese Information muss wiederum mindestens folgende Angaben enthalten: Identität und Kontaktdaten des Verantwortlichen, Zweck der Bearbeitung und allfällige Empfänger und Länder, an welche die Personendaten bekanntgegeben werden.

«Profiling»

Der Begriff des «Profiling» wird neu in das Datenschutzgesetz aufgenommen. Gemeint sind damit (Einzel-) Entscheidungen, die ausschliesslich auf der automatisierten Bearbeitung von Personendaten beruhen. Bei solchen muss die betroffene Person informiert und ihr auf Antrag die Möglichkeit gegeben werden, ihren Standpunkt darzulegen. Weiter muss ihr gegebenenfalls die Option gewährt werden, die Entscheidung von einer natürlichen Person überprüfen zu lassen.

Datenbearbeitungsverzeichnis

Das revidierte Datenschutzrecht sieht für Unternehmen eine Pflicht zur Führung eines Datenbearbeitungsverzeichnisses vor. Mit dieser Dokumentation soll die Transparenz der Datenbearbeitungen verbessert werden. Eine Ausnahme besteht einzig für Unternehmen mit weniger als 250 Mitarbeitenden sofern sie (i) nicht in grossem Umfang besonders schützenswerte Personendaten bearbeiten und (ii) kein Profiling mit hohem Risiko betreiben.

Datensicherheitszverletzung («Data Breach»)

Wird eine Datensicherheitszverletzung festgestellt, die voraussichtlich zu einem hohen Risiko für die Rechte der betroffenen Person führt, muss diese neu «so rasch als möglich» dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Weiter muss die betroffene Person informiert werden, sofern eine solche Meldung für ihren Schutz erforderlich ist oder der EDÖB es verlangt.

Datenschutz-Folgenabschätzung

Bei einer beabsichtigten Datenbearbeitung, die zu einem hohen Risiko für die Rechte der betroffenen Personen führen kann, müssen die Unternehmen neu zunächst eine Folgenabschätzung durchführen. Ergibt sich aus dieser, dass die beabsichtigte Bearbeitung – trotz vorgesehener Massnahmen – ein hohes Risiko für die Rechte der betroffenen Personen zur Folge hat, muss vor der Datenbearbeitung die Stellungnahme des EDÖB eingeholt werden.

Es wird sämtlichen Unternehmen in der Schweiz – respektive allen Rechtsträgern, die personenbezogene Daten bearbeiten – empfohlen, ihre Prozesse und Dokumentationen zu überprüfen und gegebenenfalls zu aktualisieren respektive entsprechend einzuführen. Für Unternehmen, welche ihre Prozesse bereits an die europäische DSGVO angepasst haben, werden im Regelfall nur punktuelle Änderungen erforderlich sein – zu einem präzisen Abgleich wird jedoch ausnahmslos geraten. Da das neue Gesetz keine Übergangsbestimmungen enthält, muss die Umsetzung der neuen gesetzlichen Vorschriften des revidierten Datenschutzrechts bereits per 01.09.2023 erfolgt sein.

Gerne unterstützen und begleiten wir Sie und Ihr Unternehmen in Bezug auf die Neuerungen des revidierten Datenschutzgesetzes. Wir freuen uns auf Ihre Kontaktaufnahme.