Dies ist eine Zusammenfassung des Blogbeitrages von datenschutzgesetze.ch. Der dortige Artikel geht tiefer auf rechtliche Details und enthält weiterführende Dokumente.
Das neue Schweizer Datenschutzgesetz (nDSG) tritt in anderthalb Monaten in Kraft, und alle Schweizer Unternehmen müssen bis zum 1. September 2023 die datenschutzrechtlichen Anforderungen erfüllen. Das Gesetz bringt insbesondere Neuerungen bei den Informations-, Dokumentations- und Meldepflichten mit sich.
Eine wichtige Neuerung betrifft erweiterte Informationspflichten. Unternehmen müssen bestimmte Mindestangaben bereitstellen, wie die Identität des Verantwortlichen, die Bearbeitungszwecke der Personendaten, die Empfänger bei der Datenweitergabe und die Sicherheitsgarantien für Datenübertragungen ins Ausland. Diese Informationen sollten präzise, transparent und leicht zugänglich sein.
Unternehmen müssen auch bei Auslandstransfers von Personendaten sicherstellen, dass angemessene Datenschutzgarantien vorhanden sind. Eine Liste der Länder mit angemessenem Datenschutzniveau wird vom Bundesrat veröffentlicht. Es wird empfohlen, die Dienstleister sorgfältig auszuwählen und die Anforderungen an die Datensicherheit zu erfüllen. Bei der Auslagerung von Daten an Dritte, wie Cloud-Dienste oder externe Dienstleister, bleibt das Unternehmen für den Datenschutz verantwortlich. Es wird empfohlen, Auftragsbearbeitungsverträge abzuschließen und die Auftragsbearbeiter regelmäßig zu überprüfen.
Bei Datenschutzverletzungen müssen Unternehmen, die ein hohes Risiko für betroffene Personen darstellen, den Vorfall so schnell wie möglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) melden. Betroffene Personen sollten ebenfalls schnellstmöglich informiert werden. Bei Verletzung der Datenschutzpflichten können Bußgelder von bis zu 250.000 Franken verhängt werden. Hier werden natürliche Personen zur Verantwortung gezogen und gebüßt.
Das nDSG enthält auch Regelungen zur Verletzung der Sorgfaltspflicht, zur Führung eines Bearbeitungsverzeichnisses, zum Umgang mit sensiblen Personendaten und Datenbearbeitungen mit hohem Risiko sowie zur Privacy by Design und Privacy by Default. Es wird empfohlen, einen Datenschutzberater zu ernennen, der die Einhaltung der Datenschutzvorschriften überwacht und Unternehmen in Datenschutzfragen berät. Externe Unterstützung kann in Anspruch genommen werden, um die Anforderungen effektiv umzusetzen.
Personen haben das Recht, Auskunft über die sie betreffenden Daten zu erhalten. Unternehmen müssen bestimmte Informationen herausgeben, wie Empfänger der Daten und den Zweck der Datenverarbeitung. Personen haben auch das Recht, ihre Daten in einem gängigen elektronischen Format herauszufordern. Das Recht auf Löschung, Sperrung oder Berichtigung von Daten besteht ebenfalls. Unternehmen sollten daher Prozesse zur effizienten Löschung von Daten etablieren, die nicht mehr benötigt werden.
Setzen Sie sich für weitere Informationen zum Thema jederzeit mit uns in Verbindung. Bei der Umsetzung sowie beim Feinschliff der Massnahmen zur Anpassung Ihrer Unternehmensstrukturen an die (neuen) gesetzlichen Datenschutzbestimmungen helfen wir Ihnen gerne.
Wir beraten Sie auch gerne unverbindlich in einem ersten Gespräch (z. B. MS-Teams) über pragmatische und unkomplizierte Lösungsmöglichkeiten, die Ihren Datenschutz wesentlich erleichtern und definitiv Aufwand und Kosten sparen.