Das neue Datenschutzgesetz der Schweiz
Die Schweiz hat ein neues Datenschutzgesetz (revDSG) verabschiedet, das am 1. September 2023 in Kraft tritt. Dieser Beitrag gibt einen Überblick über die wichtigsten Änderungen und deren Bedeutung.
Grundsätzlich lässt sich festhalten: Je sensibler und je grösser die Menge an Personendaten ist, die Sie bearbeiten, desto höher sind die Anforderungen an den Schutz der entsprechenden Daten. Es gibt also keine allgemeingültige exakte Regel, an der sich die Anforderungen an den Datenschutz festlegen lassen. Die erforderlichen Datensicherheitsmassnahmen bestimmten sich nach dem Risiko, dass mit der Bearbeitung zusammenhängt. Beispielsweise sind die Anforderungen an die Datensicherheit bei einer Arztpraxis wesentlich höher als bei einem Coiffeur, weil in der Arztpraxis viel sensiblere Personendaten bearbeitet werden.
Hintergrund des neuen Gesetzes
Das erste Bundesgesetz über den Datenschutz wurde 1992 eingeführt. Seitdem hat sich die Technologie rasant entwickelt und mit ihr die Art und Weise, wie die Schweizer Bevölkerung Daten nutzt und teilt. Das Aufkommen des Internets, von Smartphones oder sozialen Netzwerken hat die Notwendigkeit einer Überarbeitung des Datenschutzgesetzes deutlich gemacht. Das revDSG soll nicht nur Privatpersonen einen zeitgemäßen Datenschutz bieten, sondern auch die Kompatibilität des Schweizer Rechts mit dem EU-Recht, insbesondere der Datenschutzgrundverordnung (DSGVO), sicherstellen.
Wesentliche Änderungen des revDSG
Geltungsbereich
Das Gesetz bezieht sich ausschliesslich auf den Schutz Daten natürlicher Personen. Daten von juristischen Personen sind ausgenommen.
Besonders schützenswerte Daten
Genetische und biometrische Daten werden neu als besonders schützenswert eingestuft.
Privacy by Design
Unternehmen müssen den Datenschutz von Anfang an in ihre Produkte und Dienstleistungen integrieren und sicherstellen, dass die höchste Sicherheitsstufe standardmäßig aktiviert ist.
Privacy by Default
Diese Regelung dient dem Schutz von weniger technisch versierten Personen. Es wird verlangt, dass standardmässig immer die datenschutzfreundlichste Einstellung gewählt wird. Änderungen müssen vom Nutzer ausdrücklich vorgenommen werden.
Folgenabschätzungen
Bei hohem Risiko für die Persönlichkeit oder Grundrechte müssen Unternehmen eine Risikobewertung durchführen.
Meldepflicht bei Datenverletzungen
Bei Verletzungen der Datensicherheit muss der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) schnell informiert werden.
Verzeichnis der Bearbeitungstätigkeiten
Unternehmen müssen ein solches Verzeichnis führen, wobei KMU unter bestimmten Bedingungen ausgenommen sein können.
Wichtig für Ihre Webseite: Die Informationspflicht
Im Zusammenhang mit Webseiten mit Fokus auf Schweizer Kunden:
- Datenschutzerklärung auf der Webseite einfügen
- Im Vergleich zur DSGVO, bei der eine explizite Einwilligung zur Datenerfassung erforderlich ist, besteht in der Schweiz lediglich eine Informationspflicht. Das bedeutet, dass ein reiner Hinweis (z. B. in Form einer Cookie Notice) ausreicht.
- Bei Formularen muss mindestens der Hinweis auf die Datenschutzpflicht erfolgen (Informationspflicht). Wir empfehlen hier jedoch explizit die Einwilligung für die Datenverarbeitung einzuholen.
Im Zusammenhang mit Webseiten mit Fokus auf Schweizer UND EU-Kunden:
Wir empfehlen in diesem Zusammenhang mit Juristen zusammenzuarbeiten und ein Datenschutzkonzept zu erstellen, darin wird auch festgehalten, ob das Unternehmen sich an der DSGVO oder DSG-Bestimmungen orientiert.
Wir erklären die wichtigsten Begriffe rund ums neue Datenschutzgesetz
Datenschutz:
Datenschutz ist der Schutz von (1) Personendaten vor unzulässigen (2) Bearbeitungen.
- Personendaten…
…sind alle Daten, die einen Rückschluss auf einen Menschen erlauben. - Bearbeitungen…
…sind alle Vorgänge im Zusammenhang mit Personendaten, wie das Erheben, Speichern, Verändern, Lesen, Übermitteln oder Löschen
Wann sind Datenbearbeitungen zulässig?
Bearbeitungen sind erlaubt, solange die Bearbeitungsgrundsätze eingehalten werden.
- Zweckgebundenheit:
Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde oder der aus den Umständen ersichtlich ist. - Verhältnismässigkeit:
Eine Bearbeitung ist verhältnismässig, wenn sie sich auf das Nötigste beschränkt. - Richtigkeit und Speicherbegrenzung
Die Daten müssen richtig sein und gelöscht werden, sobald sie nicht mehr gebraucht werden.
Werden die Bearbeitungsgrundsätze nicht eingehalten, ist die Bearbeitung trotzdem zulässig, wenn ein Rechtfertigungsgrund vorliegt.
- Einwilligung:
Erklärung des Betroffenen, mit der Bearbeitung einverstanden zu sein. - Gesetzliche Erfordernis
Eine gesetzliche Regelung erfordert eine Bearbeitung. - Überwiegendes Interesse
Die Interessen des Bearbeiters überwiegen denjenigen der betroffenen Person.
Welche weiteren Pflichten gelten?
- Informationspflicht: Information der betroffenen Personen in leicht verständlicher Weise über die Datenbearbeitung
- Meldepflichten: Meldepflicht bei Cyberangriffen und Datenverlusten – hier mehr dazu
- Datensicherheit: Schutz vor unberechtigter Einsicht, Manipulation und Verlust
- Betroffenenrechte
- Auskunft
- Löschung
- Berichtigung
- Pflichten bei der Weitergabe von Personendaten ins Ausland:
Wann darf ich Personendaten ins Ausland weitergeben – hier mehr dazu
Welche Sanktionen drohen?
Bei einem Datenschutzverstoss drohen drei verschiedene Sanktionen bzw. Verfahren
- Verwaltungsmassnahme: Verwaltungsrechtliches Verfahren
- Zweck: Wiederherstellung des rechtmässigen Zustandes
- Zuständigkeit: EDÖB ist zuständig. Leitet selbstständig das Verfahren ein
- Sanktion: Verwaltungsmassnahmen + Bussenandrohung bis zu 250’000.-
- Busse: Strafrechtliches Verfahren
- Zweck: Bestrafung eines datenschutzrechtlichen Verstosses
- Zuständigkeit: Staatsanwaltschaft ist zuständig. Einleitung durch Anzeige
- Sanktion: Busse von bis zu 250’000.- gegen verantwortliche Person
- Klage: Zivilrechtliches Verfahren
- Zweck: Durchsetzung von Ansprüchen aus Persönlichkeitsverletzungen
- Zuständigkeit: Zivilgericht ist zuständig. Einleitung durch Klage
- Sanktion: Schadenersatz, Gewinnherausgabe, Unterlassung
Datenschutzerklärung – einfach gemacht: PrivacyBee
Eine Datenschutzerklärung gehört zur Informationspflicht und ist deshalb mit allen Webseiten mit Cookies eine Pflicht. Wie erstellen Sie eine rechtskonforme Datenschutzerklärung? Wir empfehlen, dass Sie mit einer / einem Anwältin / Anwalt zusammenarbeiten, der sich auf Datenschutz spezialisiert hat, da das Thema jede Datenverarbeitung betrifft und nicht nur die Webseite.
Das Erstellen einer Datenschutzerklärung für die Webseite kann mit PrivacyBee jedoch schnell erledigt werden. Das bietet die Datenschutzerklärung von PrivacyBee:
- Automatische Erkennung der verwendeten Dienste
- Erstellung einer Datenschutzerklärung basierend auf den verwendeten Diensten
- Immer aktuell – regelmässige Überprüfung der Texte durch spezialisierte Rechtsanwälte
- Juristisch fundiert – ohne hohen Anwaltskosten
Wichtig: Die Datenschutzerklärung von PrivacyBee deckt nur die Informationspflicht für die Webseite vollumfänglich ab. Für Datenbearbeitungen ausserhalb der Webseite ist PrivacyBee nicht ausreichend.
Fazit
Das revDSG ist ein wichtiger Schritt für die Schweiz, um den Datenschutz ihrer Bürger in einer sich ständig weiterentwickelnden digitalen Welt zu gewährleisten und gleichzeitig die Kompatibilität mit dem EU-Recht sicherzustellen. Unternehmen sollten sich frühzeitig mit den neuen Regelungen vertraut machen, um sicherzustellen, dass sie ab dem 1. September 2023 konform sind.
Links
- Personendaten – Was sind Personendaten?
- Cookie-Banner – Brauche ich einen Cookie-Banner?
- Sanktionen – Bussen im neuen Datenschutzgesetz?
- Bearbeitungsverzeichnis – Was ist ein Bearbeitungsverzeichnis?
- Datenschutzberater – Brauche ich einen Datenschutzberater?
- Privacy by Design und Default – Privacy by Design und Privacy by Default?
- Informationspflicht/Datenschutzerklärung – Brauche ich eine Datenschutzerklärung?
- Löschen – Richtiges Löschen von Personendaten?