Zusammenfassung:

  • Am 1. September 2023 tritt in der Schweiz das nDSG in Kraft.
  • Das Gesetz zielt darauf ab, das Schweizer Datenschutzrecht auf das Niveau der EU anzuheben.
  • Daraus ergeben sich wesentliche Änderungen, darunter strengere Sanktionen, erweiterte Informationspflichten und die Pflicht zur Erstellung eines Bearbeitungsverzeichnisses.
  • Unternehmen müssen sicherstellen, dass sie die Anforderungen des neuen Gesetzes erfüllen.

Das revidierte Datenschutzgesetz in der Schweiz

Das Datenschutzrecht in der Schweiz durchläuft gerade eine bedeutende Veränderung. Die Hauptmotivation hinter dieser Revision besteht darin, das Datenschutzniveau der Schweiz mit dem der EU gleichzusetzen. Während das nDSG viele Ähnlichkeiten mit der DSGVO aufweist, behält es auch seine einzigartigen Aspekte. Unter den Neuerungen finden sich strengere Sanktionen und zusätzliche Informationspflichten.

Erweiterung der Informationspflichten: Das nDSG hat die Informationspflichten ausgebaut. Jedes Unternehmen muss jetzt bei der Beschaffung von Personendaten bestimmte Mindestanforderungen erfüllen, es sei denn, es liegt eine gesetzliche Ausnahme vor.

Hier sind die wichtigsten Punkte:

KategorieBeschreibung
BearbeitungszweckWarum werden die Daten erhoben?
Identität und Kontaktdaten des VerantwortlichenWer ist für die Datenverarbeitung verantwortlich?
DatenempfängerWem werden die Daten weitergegeben?
Datenübertragung ins AuslandIn welche Länder werden die Daten übertragen und welche Sicherheitsmaßnahmen werden getroffen?

Verschärfte Sanktionen und Ausbau der Befugnisse des EDÖB: Das nDSG bringt klarere und strengere Sanktionen mit sich. Verstöße gegen bestimmte Verpflichtungen können zu Bussen von bis zu CHF 250’000 führen. Es ist daher unerlässlich, dass Unternehmen sich der neuen Vorschriften bewusst sind und entsprechend handeln.

Privacy by Design und Privacy by Default: Das Prinzip des „Privacy by Design“ ist nun im Schweizer Recht verankert. Es bedeutet, dass Datenschutz von Beginn an in einem Projekt integriert sein muss. Zudem muss standardmäßig nur das nötige Minimum an Daten verarbeitet werden („Privacy by Default“).

Beachte

Wenn Dein Unternehmen nicht der DSGVO unterliegt, musst Du keinen Cookie-Banner haben.

Meldung einer Datensicherheitsverletzung und Folgenabschätzung: Bei einer Verletzung der Datensicherheit, die ein hohes Risiko für betroffene Personen darstellt, muss der EDÖB „so schnell wie möglich“ informiert werden. Zudem müssen Unternehmen nun eine Datenschutz-Folgenabschätzung durchführen, wenn eine Datenverarbeitung ein hohes Risiko darstellt.

Weshalb ist die Einhaltung des nDSG entscheidend?

  • Nichteinhaltung kann zu hohen Strafen und Imageverlust führen.
  • Durch Einhaltung stärken Sie das Kundenvertrauen und demonstrieren Ihr Bekenntnis zum Datenschutz.
  • Sicherer und verantwortungsbewusster Umgang mit personenbezogenen Daten wird gewährleistet, wodurch der Einzelne Kontrolle über seine Daten behält.
  • Konformität mit EU-Standards: Das nDSG ermöglicht den fortgesetzten freien Datenfluss mit der EU und hält Schweizer Unternehmen wettbewerbsfähig.

Erste Schritte für Unternehmen im Hinblick auf das nDSG:

  1. Datenschutz als Priorität setzen.
  2. Datenschutz-Gap-Analyse durchführen:
    • Bewertung der aktuellen Datenschutzpraktiken.
    • Identifikation von Datenschutzschwachstellen und -risiken.
    • Entwicklung einer Strategie zur Risikominimierung.
  3. Ernennung eines Datenschutzbeauftragten zur Überwachung und Beratung.
  4. Erstellung eines Verzeichnisses der Datenverarbeitungsaktivitäten.
  5. Etablierung interner Prozesse für Datenhandhabung, -nutzung, -transfer und -löschung.
  6. Verfahren für Auskunftsrechte, Umgang mit Datenverletzungen und Datenschutz-Folgenabschätzung definieren.
  7. Schulung des Personals zu den Anforderungen des nDSG und allgemeinen Datenschutzthemen.

Vergleich: DSGVO und neues DSG

Die DSGVO und das DSG haben viele Gemeinsamkeiten, wie z.B. strenge Strafmaßnahmen und Meldungspflicht bei Verstößen und einen Schwerpunkt auf Datenschutz. Es gibt jedoch auch einige Hauptunterschiede:

ThemaNeues DSGDSGVO
DatenschutzbeauftragterOptional, aber empfohlenVorgeschrieben nach Art. 37 DSGVO
Meldung von DatenschutzverstößenSofortige MeldungspflichtMeldungspflicht innerhalb von 72 Stunden
StrafenStrafen bis zu CHF 250’000 für verantwortliche EinzelpersonenStrafen bis zu EUR 20 Mio. oder 4% des globalen Jahresumsatzes
InformationspflichtEinfachere Vorgaben für Datenschutzrichtlinien, aber Angabe aller Transferländer erforderlichSpezifizierte Mindestinhalte nach Art. 13 DSGVO
DatenexporteGenehmigung durch den BundesratGenehmigung durch die Europäische Kommission. Anwendung von Standardvertragsklauseln
Verzeichnis der VerarbeitungstätigkeitenMit Angabe des ExportziellandesNach Art. 30 DSGVO
Datenschutz-FolgenabschätzungKonsultation mit Datenschutzbeauftragtem oder EDÖB bei hohem RisikoVerpflichtende Konsultation mit den Aufsichtsbehörden bei hohem Risiko

FAQ: Umgang mit dem Schweizer Datenschutzgesetz (SDSG)

Was solltest Du als Schweizer Unternehmen bezüglich Datenschutz berücksichtigen?

Falls Dein Unternehmen bereits der DSGVO folgt, sind nur minimale Anpassungen erforderlich.

Bei ausschließlicher Orientierung am vorherigen SDSG musst Du bis zum 1. September 2023 zahlreiche Maßnahmen durchführen, wie Prüfungen von Datentypen, technische Schutzmaßnahmen, Datenschutz-Folgenabschätzungen und Anpassungen an Datenschutzerklärungen.

Was ist „Datenschutz durch Technik“ und „datenschutzfreundliche Voreinstellungen“ für Dich?

Mit Artikel 7 des SDSG eingeführt, geht es darum, dass Du bereits bei der Datenerhebungstechnik sicher und datensparsam handelst. Nur notwendige Daten dürfen erhoben werden und hohe Sicherheitsstandards sind zu berücksichtigen.

Brauchst Du in der Schweiz ein Cookie Banner?

Während nicht notwendige Cookies laut DSGVO ausdrückliche Zustimmung benötigen, erfordert das SDSG von Dir nur einen Hinweis. Doch die DSGVO kann bei grenzüberschreitendem Internet stärker sein.

Wann brauchst Du in der Schweiz eine Datenschutzerklärung?

Immer, wenn Du personenbezogene Daten online erfasst, sei es ein privater Blog oder ein Unternehmensportal. Die Erklärung muss Kontaktinformationen der datenschutzverantwortlichen Person enthalten.

Kannst Du die DSGVO-Datenschutzerklärung in der Schweiz verwenden?

Ja, es gibt viele Überschneidungen. Bei einer gemeinsamen Nutzung empfehlen wir Dir, Begriffsunterschiede zu erläutern.

Wann ist für Dich ein Auftragsbearbeitungsvertrag laut Schweizer Datenschutzgesetz notwendig?

Bei weisungsgebundener Datenbearbeitung durch einen Subunternehmer. Das SDSG schreibt keinen Vertrag vor, die DSGVO schon.

Welche Angaben benötigt Dein Verzeichnis der Bearbeitungstätigkeiten?

Informationen über den Verantwortlichen, den Bearbeitungszweck, betroffene Personen, Empfänger, Aufbewahrungsdauer, Maßnahmen zur Datensicherheit und ggf. Datenübermittlungen ins Ausland.

Was ist bei Datenverletzungen zu tun?

Bei hohem Risiko musst Du den EDÖB und betroffene Personen schnellstmöglich informieren, inklusive Details der Verletzung und möglichen Konsequenzen.

Was tust Du, wenn Dein Unternehmen außerhalb der Schweiz ansässig ist?

Ein Vertreter in der Schweiz muss von Dir benannt werden, der als Kontaktperson für den EDÖB und betroffene Personen fungiert.

Wie machst Du Deine Webseite für das Schweizer Datenschutzgesetz fit?

Passe Deine Datenschutzerklärung an, aktualisiere Deine Richtlinien, richte einen EDÖB-Meldeweg ein, prüfe Datentransfers und benenne einen lokalen Ansprechpartner.

Welche Schweizer Aufsichtsbehörde ist für Dich zuständig?

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) überwacht den Datenschutz und die Einhaltung des SDSG.

Schlusswort

Die Änderungen im neuen Schweizer Datenschutzgesetz erfordern eine proaktive Herangehensweise von Unternehmen, sowohl in der Schweiz als auch im Ausland. Die Einhaltung des Gesetzes ist nicht nur aus rechtlichen Gründen wichtig, sondern stärkt auch das Vertrauen von Kunden und Geschäftspartnern. Es ist empfehlenswert, dass Unternehmen ihre Datenschutzpraktiken überprüfen und gegebenenfalls aktualisieren, um den neuen Anforderungen gerecht zu werden. Wer sich bereits an der EU-DSGVO orientiert hat, hat einen guten Ausgangspunkt, sollte aber die spezifischen schweizerischen Regelungen berücksichtigen.

Hinweis

Die in diesem Artikel bereitgestellten Informationen dienen lediglich allgemeinen Informationszwecken und stellen keine rechtliche Beratung dar. Es wird keine Gewähr für die Aktualität, Korrektheit oder Vollständigkeit der bereitgestellten Informationen übernommen. Bei konkreten rechtlichen Fragen solltest Du Dich immer an einen qualifizierten Rechtsanwalt oder eine andere entsprechende Fachkraft wenden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert