Neues Datenschutzgesetz: Welche Änderungen erwarten KMU?

Blogbeitrag von Nathali Delavy

Die Schweiz wartet schon lange auf ein neues Datenschutzgesetz und bald ist es so weit: Am 1. September 2023 tritt das neue DSG in Kraft. Zusammen mit Experten von AXA-ARAG und STUIQ haben wir dieses Thema in einem Webinar aufgegriffen. Keine Sorge, falls Sie das Webinar verpasst haben. Wir fassen in diesem Beitrag die wichtigsten Veränderungen des Datenschutzgesetzes zusammen. 

Das revDSG – die Gründe und Ziele dahinter

Seit dem Inkrafttreten im Jahre 1993 wurde das Schweizer Datenschutzgesetz nur teilweise erneuert. Im Zuge der raschen Bedeutungszunahme von Daten wurde klar, dass eine Totalrevision nötig ist. Mit der Totalrevision, die am 01.09.2023 in Kraft tritt, soll das Gesetz nun den Stand der aktuellen technologischen und gesellschaftlichen Verhältnisse reflektieren. Die Hauptziele des neuen Gesetzes sind die Verbesserung der Transparenz von Datenverarbeitungsprozessen, die Stärkung der Selbstbestimmung betroffener Personen über ihre Daten und die Angleichung an die Datenschutz-Grundverordnung der EU (DSGVO). 

Grundsätze der Datenverarbeitung

Die Grundsätze der Datenverarbeitung des neuen DSGs, die in Art. 6-8 revDSG definiert sind, bleiben im Wesentlichen unverändert. Dies sind:

  • Rechtmässigkeit
  • Verhältnismässigkeit
  • Treu und Glauben
  • Zweckbindung
  • Erkennbarkeit
  • Datenrichtigkeit
  • Datensicherheit

Die Datenverarbeitung ist wie bis anhin zulässig, solange kein spezifisches Verbot herrscht und man die Grundsätze der Verarbeitung einhält. Möchte man Daten entgegen diesen Grundsätzen bearbeiten, so bedarf man einer Rechtfertigung (bspw. die Einwilligung der betroffenen Person oder ein überwiegendes Interesse).

Änderungen des Datenschutzgesetzes

Nun zur wichtigsten Frage: Was ändert sich konkret für KMU mit dem neuen Datenschutzgesetz? 

Geltungsbereich
Das revDSG umfasst neu nur noch den Datenschutz natürlicher Personen. Juristische Personen (bspw. AGs, GmbHs und Vereine) sind vom Gesetz nicht mehr erfasst. Damit entspricht der Geltungsbereich des revDSG demjenigen der EU-DSGVO. 

Besonders schützenswerte Personendaten
Bisher umfasste der Katalog der «besonders schützenswerten Personendaten» diese Kategorien:

  • Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten / Tätigkeiten
  • Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse
  • Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen 
  • Daten über Massnahmen der sozialen Hilfe 

Zu diesem Katalog kommen drei neue Kategorien dazu:

  • Daten über die Zugehörigkeit zu einer Ethnie
  • genetische Daten
  • biometrische Daten (sofern damit eine Person eindeutig identifiziert werden kann)


Grundsätze «Privacy by Design» und «Privacy by Default»
Das revDSG verankert zwei neue Grundsätze: «Privacy by Design» (Datenschutz durch Technik) und «Privacy by Default» (Datenschutz durch datenschutzfreundliche Voreinstellungen). Diese Änderungen verpflichten Behörden und Unternehmen, schon bei der Planung der Datenverarbeitung die Bearbeitungsgrundsätze des revDSG einzuhalten, indem sie technische und organisatorische Schutzmassennahmen (sog. TOMs) treffen. 

Konkret heisst das:

  • Applikationen müssen so ausgestaltet werden, dass Daten standardmässig anonymisiert oder gelöscht werden («Privacy by Design»).
  • Die Standardeinstellungen müssen bei der Nutzung von privaten Online-Angeboten so gestaltet sein, dass nur die Personendaten, die für den Verwendungszweck unbedingt nötig sind, verarbeitet werden. Dies gilt, sofern die betroffene Person keine anderen Bearbeitungen autorisiert hat («Privacy by Default»).


Verzeichnis der Bearbeitungstätigkeiten
Neu muss ein Verzeichnis der Datenverarbeitungstätigkeiten geführt werden. Dies gilt grundsätzlich für alle Unternehmen, ausser, diese Punkte werden erfüllt:

  • Es werden weniger als 250 Mitarbeitende beschäftigt.
  • Die Datenbearbeitung des Unternehmens bringt nur ein geringes Risiko von Persönlichkeitsverletzungen von betroffenen Personen mit sich.


Folgenabschätzungen
Datenschutz-Folgenabschätzungen (DSFA) sind in der Schweiz aktuell nur für Bundesorgane Pflicht. Mit dem revDSG werden Folgenabschätzungen auch für private Verantwortliche obligatorisch. Konkret heisst das, wenn eine Bearbeitung von Daten mit einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person einhergeht, muss zuerst eine Folgenabschätzung gemacht werden. Wird bei der DSFA ein hohes Risiko erkennbar, muss eine Stellungnahme des EDÖB eingeholt werden.


Ausweitung Informationspflicht
Ein Ziel des revDSGs ist die Verbesserung der Transparenz der Datenverarbeitungen. Als Konsequenz wird die Informationspflicht für Unternehmen ausgebaut. Bis anhin schrieb das Gesetz vor, dass nur bei der Beschaffung von besonders schützenswerten Personendaten die betroffene Person vorgängig informiert werden musste. Neu gilt die Informationspflicht für jede Beschaffung von Personendaten. Unternehmen müssen also ihre Datenschutzerklärungen entsprechend anpassen.


Meldepflicht EDÖB
Bei einer Verletzung der Datensicherheit, zum Beispiel durch einen Cyberangriff, welche zu einem hohen Beeinträchtigungsrisiko der Persönlichkeit oder der Grundrechte der Betroffenen führen könnte, muss der EDÖB informiert werden. Die Meldung muss so rasch wie möglich erfolgen. Erfolgreich abgewehrte oder untaugliche Cyberangriffe sind von dieser Meldepflicht ausgeschlossen.


Begriffsaufnahme «Profiling»
Mit dem revDSG wird der Begriff «Profiling» ins Gesetz aufgenommen. Profiling umfasst die automatisierte Bearbeitung von personenbezogenen Daten. 


Sanktionen
Auch die Sanktionsbestimmungen werden mit der Revision des DSG angepasst. Privaten Personen, die vorsätzlich handeln oder unterlassen, droht eine Busse von bis zu 250’000 Franken. Fahrlässigkeit hingegen wird nicht bestraft. Nur auf Antrag verfolgt werden:

  • Missachtung von Informations-, Auskunfts- und Meldepflichten,
  • Verletzung von Sorgfaltspflichten und 
  • Verletzung der beruflichen Schweigepflicht.

Grundsätzlich gilt, dass natürliche Personen gebüsst werden, es kann aber auch Unternehmen treffen. Verursacht die Ermittlung der strafbaren natürlichen Person innerhalb des Unternehmens einen unverhältnismässigen Aufwand, so kann das Unternehmen selbst mit bis zu CHF 50’000 gebüsst werden.


Vorbereitungen auf das neue DSG

Es kommen also einige Änderungen auf uns zu, an die wir uns anpassen müssen. Die Experten empfehlen zur Vorbereitung auf das neue Datenschutzgesetz, folgende Fragen innerhalb des Unternehmens zu prüfen:

  • Wer ist verantwortlich?
  • Wann werden in unserem Unternehmen Daten bearbeitet?
  • Werden die Grundsätze der Datenbearbeitung eingehalten?
  • Benötigt das Unternehmen einen Datenschutzberater?
  • Benötigt das Unternehmen ein Datenverarbeitungsverzeichnis?
  • Ist die Datensicherheit gewährleistet?

Wer sich genügend informiert und entsprechend vorbereitet, hat vor dem neuen Datenschutzgesetz nichts zu befürchten.

Brauchen Sie Unterstützung bei einer Rechtsfrage?

Nutzen Sie jetzt unser kostenloses Beratungsangebot für eine kompetente Ersteinschätzung.

Zur Rechtsberatung

Häufige Fragen zum Datenschutzgesetz

Was ist das absolute Minimum, was man zwingend machen muss? 
Das Minimum hängt von der konkreten Bearbeitung von Daten in Ihrem Unternehmen ab. Sie sollten daher in einem ersten Schritt analysieren, welche Daten wie bearbeitet werden. Daraus können Sie anschliessend die konkreten Schritte ableiten. Zudem sollten Sie eine klare Verantwortlichkeit festlegen. 

Werden die Cookies nicht verschwinden? 
Cookies sind für gewisse Website-Funktionalitäten unumgänglich und das wird sich auch nicht so schnell ändern. Was aber zusehends verschwinden wird, sind die sog. Third Party Cookies, die von Dritten (z. B. Meta oder Google) zur Verfügung gestellt und seitens Website-Betreiber zu Tracking- und Marketingzwecken eingebunden werden. Folglich wird es schwieriger, digitale Werbung zu personalisieren und man sollte für diese Zwecke auf andere/neue Technologien sowie vermehrt auf First Party Daten (selbst gesammelte/generierte Daten) ausweichen. 

Die Webseite wird in der EU gehostet und die Daten werden in der EU verarbeitet. Welches Recht gilt? 
Der Hoster wird die EU DSGVO anwenden müssen.

Was ist unter dem schwammigen Begriff «berechtigtes Interesse» zu verstehen? 
Das berechtigte Interesse ist in der Tat ein unbestimmter Rechtsbegriff. Damit soll eine Abwägung der Interessen des Datenbearbeiters und des Betroffenen ermöglicht werden. Anschauliche Beispiele finden Sie auf der Seite der liechtensteinischen Datenschutzstelle (das Gesetz basiert auf der DSGVO): berechtigtes Interesse gem. Art. 6 Abs. 1 Bst. f DSGVO (Datenschutzstelle)

Möchten Sie die Aufzeichnung unseres Praxis-Webinars ansehen?

Aufzeichnung anfordern


Quellen:

Zur Übersicht