Blog: Das neue Schweizer Datenschutzgesetz 2023

Übersicht

Das neue Schweizer Datenschutzgesetz 2023

Das neue Schweizer Datenschutzgesetz 2023

  • Freitag, 12. Mai 2023
  • 1'054 Wörter
  • 5 Minuten

Ab dem 01. September 2023 wird in der Schweiz ein neues Datenschutzgesetz in Kraft treten.

Die Totalrevision des Schweizer Datenschutzrechts hat das Ziel, es auf das Niveau der EU anzuheben. Die Einführung des neuen Datenschutzgesetzes bringt zahlreiche Anpassungen an die EU-DSGVO mit sich. Bei einem Verstoss gegen diese Regeln kann eine empfindliche Strafe drohen. In der Schweiz kann eine solche Busse bis zu CHF 250'000.- betragen. Die Konsequenzen bei Verletzung der Sorgfaltspflichten sind ebenso mit Busse in der selben Grössenordnung strafbar. Diese Pflichtverletzung kann unter anderem durch falsche oder irreführende Angaben in Bezug auf den Geschäftsbetrieb, die Dienstleistungen oder Produkte, die Nichtinformierung über Risiken oder die Nichtbeachtung von gesetzlichen Vorschriften verursacht werden. Unabhängig davon können Zivilklagen der betroffenen Personen oder Unternehmen gegen Sie eingeleitet werden.

Inhaltsverzeichnis


Am 1. September 2023 tritt das Schweizer nDSG in Kraft

Mit der Angleichung an das EU-Datenschutzgesetz können Unternehmen einfacher sowohl in der Schweiz als auch in der EU tätig sein und die Datenschutzanforderungen erfüllen. Das nDSG wird dazu beitragen, den Schutz personenbezogener Daten in der Schweiz zu stärken und die Rechte der Bürgerinnen und Bürger zu wahren. Es wird auch die Rolle der Datenschutzbehörden stärken und es ihnen besser ermöglichen, Verstösse zu verfolgen. Insgesamt bedeutet die Totalrevision einen wichtigen Schritt, um den Datenschutz in der Schweiz an die modernen Anforderungen anzupassen.

Unter anderem werden die Vorschriften zur Einwilligung der betroffenen Personen bei der Verarbeitung von Daten verschärft und die Sanktionen bei Verstössen gegen das Gesetz erhöht. Es ist wichtig, dass sich Unternehmen und Behörden rechtzeitig auf die Änderungen vorbereiten, um rechtskonform zu handeln und Vertrauen in ihre Verarbeitungsprozesse zu schaffen. Insgesamt ist das neue Datenschutzgesetz ein wichtiger Schritt zur Sicherung und Stärkung der Grundrechte auf informationelle Selbstbestimmung.

Aus Sicht des Datenschutzbeauftragten ist es wichtig, dass die Bussen für ein Unternehmen relativ hoch sind. Denn nur so kann er sicherstellen, dass das Unternehmen die Datenschutzbestimmungen ernst nimmt, seine Mitarbeiter sensibilisiert und dass in Zukunft keine datenschutzrechtlichen Verstosse mehr vorkommen.

Wer ist von diesem Gesetz betroffen?

Das Datenschutzgesetz und die dazugehörige Verordnung gelten für alle, die Personendaten bearbeiten - egal ob es sich um Unternehmen, Vereine oder Privatpersonen handelt. Während die meisten von uns in der Regel nicht umhinkommen, datenschutzrechtliche Vorgaben zu berücksichtigen, gibt es Ausnahmen für Privatpersonen: Solange diese Personendaten ausschliesslich zum persönlichen Gebrauch verarbeitet werden, fallen sie nicht unter das Datenschutzgesetz. Allerdings ist diese Ausnahme lediglich für enge Freundschaften und Familienmitglieder gültig.

Was versteht man eigentlich unter Personendaten?

Wenn von Personendaten die Rede ist, sprechen wir von Daten, die sich auf eine konkrete oder sogar nur potentiell mögliche Person beziehen. In der Praxis kann diese Definition sehr weitreichend sein. In manchen Fällen kann es sogar ausreichen, eine einfache IP-Adresse als Personendaten zu betrachten.

Persönlich identifizierbare Informationen (PII) umfassen alle Informationen, die zur Unterscheidung oder Rückverfolgung der Identität einer Person verwendet werden können, wie Name, Sozialversicherungsnummer, Geburtsdatum und -ort, Mädchenname der Mutter oder biometrische Aufzeichnungen; und alle anderen Informationen, die mit einer Person verknüpft sind oder verknüpft werden können, wie medizinische, bildungsbezogene, finanzielle und beschäftigungsbezogene Informationen.

Es handelt sich hierbei um sensible Informationen, die aufgrund ihrer persönlichen Natur besonders schützenswert sind. Unternehmen und Organisationen müssen sehr vorsichtig mit dem Umgang dieser Daten umgehen, um Datenschutzverletzungen zu vermeiden.

Eine Zusammenstellung der gängigsten PII


Die nachfolgende Aufstellung soll Ihnen einen Überblick darüber geben, welche Angaben häufig im Zusammenhang mit persönlich identifizierbaren Informationen (PII) in Zusammenhang gebracht werden. Die Liste ist nicht abschliessend.

Name: vollständiger Name, Mädchenname, Mädchenname der Mutter, Alias, Benutzername (Pseudonym im Internet)

Persönliche Identifikationsnummern: Sozialversicherungsnummer, Reisepassnummer, Führerscheinnummer, Steuerzahleridentifikationsnummer, Patientenidentifikationsnummer, Finanzkontonummer oder Kreditkartennummer

Persönliche Adressdaten: Anschrift oder E-Mail Adresse, persönliche Telefonnummern, geografische Angaben (Breitengrad und Längengrad)

Persönliche Merkmale: Fotografien (insbesondere von Gesichtern oder anderen identifizierenden Merkmalen wie Tattoos), Handschriften, Unterschriften

Biometrische Daten: Fingerabdrücke, Netzhautscans, Stimmsignaturen oder Gesichtsgeometrie

Elektronische Identifikation: Internet Protocol (IP)- oder Media Access Control (MAC)-Adressen, die durchgängig mit einer bestimmten Person verbunden sind

Unternehmen sollten ihre Datenschutzerklärung anpassen

Unternehmen müssen ihre Datenschutzerklärung bis 01. September 2023 unbedingt anpassen, um den neuen Anforderungen zu entsprechen. Gleichzeitig ist zu prüfen, ob eine Pflicht besteht, ein sogenanntes Datenbearbeitungsverzeichnis zu erstellen. Ferner ist bei der Auftragsdatenverarbeitung darauf zu achten, dass die Verträge mit den jeweiligen Dienstleistern den gesetzlichen Vorgaben entsprechen. Sollten personenbezogene Daten in Drittländer übermittelt werden, ist eine vorherige Identifikation und Überprüfung dieser Länder erforderlich.

Weiterhin müssen die Unternehmen einen Prozess zur Datenschutz-Folgenabschätzung (DSFA) einrichten, bzw. den bestehenden an die neuen Vorgaben anpassen. Der Zweck der DSFA ist die Selbstbeurteilung eines datenschutzrechtlich relevanten Vorhabens. Auch in Bezug auf die Meldung und Bearbeitung von Verletzungen betreffend Datensicherheit haben Unternehmen Prozesse einzuführen oder – falls vorhanden – gegebenenfalls anzupassen.

Um Betroffenenrechte zu gewähren, sollten Unternehmen eine zuständige Stelle bestimmen


Es gibt noch viele Unternehmen, die keine zuständige Stelle für den Datenschutz benennt haben. Dabei ist es wichtig, dass Betroffene ihre Rechte wahrnehmen können. Nur so kann sichergestellt werden, dass das Unternehmen datenschutzkonform handelt. Zudem hat das Unternehmen automatisierte Einzelentscheide innerhalb der Organisation zu identifizieren und, wenn nötig, neu zu regeln. Nicht zuletzt sind Unternehmen gut beraten, ihre Mitarbeiter im Kontext des Datenschutzes und allfälliger drohender Sanktionen zu schulen und periodisch weiterzubilden.

Erweiterung des Berufsgeheimnisses

Die Erweiterung der bisherigen Schweigepflicht einzelner Berufsgruppen (Rechtsanwälte, Ärzte, etc.) auf alle Berufstätigen ist eine bemerkenswerte Neuregelung.

Auch wenn der Gesetzestext vieles unklar lässt, sollte man sich als Arbeitnehmer darauf einstellen, dass die Pflicht zur Geheimhaltung künftig weitergehend sein wird. Denn nach dem Wortlaut des Gesetzes ist jede Person, die Kenntnis von den Daten hat, verpflichtet, diese geheim zu halten. Das bedeutet im Klartext: Auch Arbeitnehmer sind künftig verpflichtet, die Kundendaten ihres Arbeitgebers geheim zu halten.

Die Folgen einer Verletzung der Geheimhaltungspflicht können gravierend sein. Abhängig von der Schwere des Vergehens können sie von einer Abmahnung bis hin zur fristlosen Kündigung reichen. In schwerwiegenden Fällen kann es auch zu strafrechtlichen Folgen kommen.

Haben Sie Fragen zu diesem Blog-Beitrag?

Wenn Sie Fragen zu diesem Blog-Beitrag haben, Hilfe benötigen oder mehr über unsere Produkten und Dienstleistungen erfahren möchten, zögern Sie nicht, uns zu kontaktieren. Wir sind hier, um Sie zu unterstützen. Wir freuen uns darauf, von Ihnen zu hören.

Jetzt Kontakt aufnehmen