Zu Content springen
Deutsch – Schweiz
Kontaktieren Sie uns
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

Was sind die wesentlichen Neuerungen des Schweizer Datenschutzgesetzes (DSG)?

Vom Parlament wurde in seiner Herbstsession 2020 das neue Bundesgesetz über den Datenschutz verabschiedet.

Das neue Datenschutzgesetz (zukünftig abgekürzt als «nDSG» auftretend) ist, gemeinsam mit den Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) und der neuen Verordnung über Datenschutzzertifizierungen (VDSZ), am 1. September 2023 in Kraft getreten.

Wie bisher regelt auch das nDSG die Bearbeitung von Personendaten durch «private (natürliche) Personen» und Bundesorgane, allerdings werden «juristische Personen», d. h. Unternehmen wie AGs oder GmbHs, Vereine und Stiftungen vom neuen Datenschutzgesetz nicht mehr erfasst.

Zwar werden viele Regelungen der EU-DSGVO ins nDSG übernommen. Aber der wesentlich pragmatischere Charakter des Schweizer Ansatzes bleibt erhalten.

  • Zum Verständnis: In der Schweiz gilt das gesetzliche Grundprinzip der «Erlaubnis (in diesem Fall einer Datenbearbeitung) mit Verbotsvorbehalt». In der EU ist es genau umgekehrt: Hier gilt der Grundsatz des «Verbots mit Erlaubnisvorbehalt», d. h. Personendaten dürfen dort nur «ausnahmsweise» (mit entsprechender Zweckbestimmung sowie Rechtsgrundlage) bearbeitet werden.

Das nDSG bringt unter anderem folgende wesentliche Veränderungen für Schweizer Unternehmen mit sich:

  • Mit Inkrafttreten des nDSG am 1. September 2023 bezieht sich, wie erwähnt, die Datenbearbeitung von Personendaten künftig nur noch auf natürliche Personen; dabei sind Sachverhalte anwendbar, die sich im Schweizer Raum auswirken.
  • In die Definition besonders schützenswerter Daten werden «genetische und biometrische» Daten aufgenommen.
  • Es werden die Grundsätze «Privacy by Design» und «Privacy by Default» eingeführt.
    • Bei «Privacy by Design» (Datenschutz durch Technikgestaltung) geht es darum, dass Entwickler den Schutz und den Respekt der Privatsphäre der Nutzerinnen und Nutzer («User») in die Struktur der Produkte oder Dienstleistungen einbauen, über die Personendaten gesammelt werden (sollen).
    • Bei «Privacy by Default» (Datenschutz durch datenschutzfreundliche Voreinstellungen) soll sichergestellt werden, dass schon bei der Markteinführung des Produktes oder der Dienstleistung die höchste Sicherheitsstufe vorhanden ist, und zwar als Standardeinstellung, d. h. alle nötigen Massnahmen für den Datenschutz und die Einschränkung der Datennutzung sind aktiviert, ohne dass «User» notwendigerweise eingreifen müssen. Konkret: Sämtliche Soft- und Hardwareprodukte sowie Dienstleistungen müssen bereits bei der Entwicklung so konfiguriert sein, dass die Daten geschützt sind und die Privatsphäre der «User» gewahrt wird.
  • Sogenannte Datenschutz-Folgenabschätzungen (DSFA) müssen für Datenbearbeitungen durchgeführt werden, bei denen ein hohes Risiko für die Verletzung der Persönlichkeits- oder die Grundrechte der betroffenen Personen besteht.
  • Die Informationspflicht wird ausgeweitet: Bei jeder Beschaffung von Personendaten, egal wie schützenswert sie sind, muss die betroffene Person vorgängig vom «Verantwortlichen» informiert werden. Die Informationspflicht wird in der Regel über die Veröffentlichung einer «Datenschutzerklärung» auf der Website eines «Verantwortlichen» erfüllt. [ Artikel 19 (Informationspflicht bei der Beschaffung von Personendaten) nDSG].

Die Form, in der die Information zu erfolgen hat, ist nicht vorgeschrieben. Artikel 13 (Modalitäten der Informationspflicht) DSV konkretisiert die Modalitäten:

«Der Verantwortliche muss der betroffenen Person die Information über die Beschaffung von Personendaten in präziser, transparenter, verständlicher und leicht zugänglicher Form mitteilen.»

Über welches Medium die Information erteilt wird, spielt grundsätzlich keine Rolle.

  • Ein «Verzeichnis der Bearbeitungstätigkeiten» wird (weitestgehend) obligatorisch, wobei die Verordnung zum Datenschutzgesetz (DSV) eine Ausnahme für KMU vorsieht, deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt, oder wenn in einem Unternehmen weniger als 250 Mitarbeitende an der Datenbearbeitung beteiligt sind.

Notabene: Ob man hinsichtlich der Wahrnehmung einer Ausnahmemöglichkeit deshalb auf das Führen eines «Bearbeitungsverzeichnisses» (zur Gewährleistung eines «ordentlichen» Datenschutzes) verzichten kann, ist sehr anzuzweifeln.

  • Wenn die Datensicherheit verletzt wurde, ist eine «rasche» Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) erforderlich.

Notabene: Mit «rasch» ist «so rasch als möglich» gemeint, d. h. ab dem Zeitpunkt der Kenntnisnahme hat ein «Verantwortlicher» rasch zu handeln und darf die Meldung nicht verzögern. Man kann sich (zur Orientierung) zwar an der EU-Regelung (DSGVO) festhalten, die eine 72 Stundenfrist diktiert, muss dies aber nicht.

Das Schweizer Datenschutzgesetz erlaubt einen gewissen «Ermessensspielraum»; massgebend dabei ist unter anderem dass Ausmass der Gefährdung gegenüber betroffenen Personen: je erheblicher die Gefährdung und je höher die Anzahl der vom Verstoss betroffenen Personen, um so schneller muss ein Verantwortlicher handeln.

  • Die Begriffe «Profiling» (die automatisierte Bearbeitung von Personendaten) sowie «Profiling mit hohem Risiko» wurden in das Gesetz aufgenommen.

Auf der Website des EDÖB (Das neue Datenschutzgesetz) finden sich ausführlichere Informationen zu den durch das nDSG eingeführten Veränderungen.