Datenschutz

Neues Datenschutzgesetz

27. August 2021 - 
Diverses

Das totalrevidierte DSG (nDSG) wurde am 25. September 2020 durch das Parlament verabschiedet. Damit es in Kraft treten kann, müssen die Bestimmungen der Verordnung zum DSG (VDSG) noch angepasst werden. Diese befinden sich momentan und bis zum 14. Oktober 2021 in der Vernehmlassung. 

Ausgangslage

Das aktuell geltende Bundesgesetz über den Datenschutz (DSG) wurde 1992 erlassen. Heute gilt es, vor allem aufgrund der rasanten technologischen sowie gesellschaftlichen Entwicklung, als nicht mehr zeitgemäss.

Durch das Inkrafttreten der neuen Datenschutz-Grundverordnung der Europäischen Union (DSGVO) im Jahr 2018 ist das DSG zusätzlich unter Druck geraten. Die DSGVO gilt für den gesamten Europäischen Wirtschaftsraum (EWR).

Die Revision des DSG ist notwendig, damit die Schweiz aus Sicht der DSGVO weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkannt wird und damit die grenzüberschreitende Datenbekanntgabe weiterhin relativ unkompliziert möglich ist.

Das totalrevidierte DSG (nDSG) wurde am 25. September 2020 durch das Parlament verabschiedet. Damit es in Kraft treten kann, müssen die Bestimmungen der Verordnung zum DSG (VDSG) noch angepasst werden. Diese befinden sich momentan und bis zum 14. Oktober 2021 in der Vernehmlassung. Voraussichtlich werden das nDSG sowie die geänderten Bestimmungen der VDSG in der zweiten Jahreshälfte 2022 in Kraft treten.
 

Eckpunkte der Revision

Das nDSG soll vor allem die Transparenz von Datenbearbeitungen verbessern und die Selbstbestimmung der betroffenen Personen über ihre Daten stärken. Folgende Aspekte sind dabei zentral:

  • Erhöhung der Transparenz und Stärkung der Rechte der betroffenen Personen
  • Förderung der Prävention und der Eigenverantwortung der Datenbearbeitenden
  • Stärkung der Datenschutzaufsicht (durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB)
  • Verschärfung der Strafbestimmungen mit Folgen für die verantwortlichen Mitarbeitenden
  • Ausbau der Governance-Pflichten

Ausgewählte Neuerungen im Detail

Nachfolgend sind ausgewählte, wesentliche Neuerungen gegenüber dem geltenden DSG aufgeführt:

1

Kein Schutz mehr von Daten juristischer Personen 

Künftig werden nur noch, analog der EU-DSGVO, natürliche Personen durch das nDSG geschützt. Juristische Personen müssen sich auf ihr Firmenrecht oder andere Bestimmungen der Rechtsordnung berufen.
 

2

Ausgeweitete Rechte der betroffenen Person

Betroffene Personen müssen über die Beschaffung ihrer Daten informiert werden. Die Information muss mindestens Angaben zu den Verantwortlichen, zum Bearbeitungszweck sowie gegebenenfalls zu den Empfängerinnen und Empfängern der Personendaten enthalten. Diese Information kann beispielsweise über eine Datenschutzerklärung erfolgen.

Die betroffenen Personen haben zudem Anspruch auf jede Information, welche für sie erforderlich ist, um ihre Rechte nach dem nDSG geltend zu machen. Dazu gehören, nebst den oben genannten informationspflichtigen Auskünften, insbesondere Informationen über die bearbeiteten Personendaten als solche sowie die Aufbewahrungsdauer bzw. die Kriterien zur Bestimmung der Aufbewahrungsdauer von Personendaten.

3

Schärfere Sanktionen

Bei den Sanktionen verschärft das nDSG die Massnahmen deutlich. Die Bussen für Verletzungen der Informations-, Auskunfts- und Sorgfaltspflichten sowie der beruflichen Schweigepflicht oder dem Missachten von Verfügungen des EDÖB können neu bis zu 250'000 Franken betragen (früher max. 10'000 Franken).

Im Gegensatz zur EU-DSGVO, bei der lediglich Unternehmen oder Organisationen im Fokus stehen, richten sich die Sanktionen in der Schweiz direkt gegen die verantwortliche natürliche Person. Es ist von entscheidender Bedeutung, dass die Verantwortlichkeiten und Prozesse verbindlich festgelegt werden, um Sanktionen vorzubeugen.

4

Neue Governance-Pflichten

Neu gibt es sowohl für die Verantwortlichen über die Datenbearbeitungen als auch für Auftragsbearbeitende, diese bearbeiten Daten im Auftrag der Verantwortlichen, die Pflicht zur Führung eines Verzeichnisses ihrer jeweiligen Datenbearbeitungen. Ausnahmen für kleinere Unternehmen (weniger als 250 Mitarbeitende) werden in der Verordnung geregelt.

Weiter sind Verantwortliche verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen kann.

Zudem gilt neu eine Meldepflicht der Verantwortlichen an den EDÖB, wenn eine Datenschutzverletzung mit grossen Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen stattgefunden hat.

Empfehlung

Das nDSG wurde verabschiedet und es ist nun klar, welche Vorschriften für Unternehmen in der Schweiz künftig bei Datenbearbeitungen gelten. Zwar ist noch offen, wann genau das nDSG in Kraft tritt, trotzdem empfehlen wir, dass die Umsetzung der neuen Bestimmungen in Angriff genommen wird. Insbesondere zu beachten sind:

  • die Umsetzung der Governance-Pflichten,
  • die Festlegung und Dokumentation von Verantwortlichkeiten und Prozessen,
  • die Beachtung ausgeweiteter Informationspflichten und Anpassung der Datenschutzerklärungen sowie
  • die Erarbeitung von Prozessen für Auskunftsbegehren und Meldepflichten.

Seminar:

Die hier aufgeführten Neuerung sind auch Inhalt des Halbtagesseminar Neues Datenschutzgesetz am Mittwoch, 2. November 2022. Zur Anmeldung und weiteren Informationen gelangen Sie hier.

Dr. Ursula Sury

Prof. Dr.
 
Ursula
 
Sury

Vizedirektorin Hochschule Luzern, Professorin für Informatikrecht, Datenschutzrecht und Urheberrecht

Blog abonnieren

Möchten Sie keinen Blogartikel verpassen? Abonnieren Sie hier unseren Blog.